2.2 实验:UPX脱壳--《恶意代码分析实战》
Lab01-02.exe
实验内容:
1、将文件上传到http://www.VirusTotal.com 进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?
2、是否有这个文件被加壳或混淆的任何迹象?如果是这样,这些迹象是什么?如果该文件被加壳,请进行脱壳。
3、有没有任何导入函数能够暗示出这个程序的功能?如果是,是哪些导入函数,他们会告诉你什么?
4、哪些基于主机或基于网络的迹象可以被用来确定这个恶意代码感染的机器?
1.StydyPE+ 查壳
文件类型:Unknown EXE Type
节区:三个UPX节,表明是UPX壳
2.UPX脱壳
使用 Free UPX 进行脱壳 - 点击 Decompress
脱壳后的文件: