Lab 12-2

分析在Lab12-02.exe文件中找到的恶意代码。

问题

1.这个程序的目的是什么?

1.这个程序主要是加载键盘记录器到全局按键消息里.

2．启动器恶意代码是如何隐蔽执行的?

1.将恶意代码加密后放到了资源资源段里.

2.通过进程替换把恶意代码放到了"C:\window\system32\svchost.exe"进程里.

3.恶意代码的负载存储在哪里?

1.在资源表,存储在类型为UNICODE下名为LOCALIZATION中.

4．恶意负载是如何被保护的?

1.通过ROR加密进行保护的.

5．字符串列表是如何被保护的?

1.通过ROR异或0x41导致字符串全部被混淆了.

2.是通过0x00401000函数进行解密的.