Lab1-2

问题

1．将Lab01-02.exe文件上传至 http:/www.VirusTotal.com/进行分析并查看报告。文件匹配到了已有的反病毒软件特征吗?

1.优先于我现在学习的时候，书已经出版很久了，实验文件已经被杀毒软件标记为病毒了。

2．是否有这个文件被加壳或混淆的任何迹象?如果是这样，这些迹象是什么?如果该文件被加壳，请进行脱壳，如果可能的话。

1.查壳工具查出使用了UPX壳,外加PE段目录表发现3个 UPX段,更加确定使用了UPX壳.

2.从UPX github上Releases · upx/upx (github.com) 上下载下来 使用命令 upx.exe -d 文件路径(自动脱壳,脱完的文件会覆盖原文件)

3．有没有任何导入函数能够暗示出这个程序的功能?如果是，是哪些导入函数，它们会告诉你什么?

1.使用了动态加载dll 获取函数地址的方式，所以有些函数是没有出现在导入表的。

2.导入了CreateServiceA函数会创建服务。需要留意。

3.调用了internetOpenA 函数 （初始化应用程序对 WinINet 函数的使用）。

脱壳后:

1.一些常用的函数

2.导入了服务控制管理相关的函数.

3.调用了打开了URL函数,脱壳后使用Strings发现了一个链接,猜测很有可能是这个函数调用的.

4．哪些基于主机或基于网络的迹象可以被用来确定被这个恶意代码所感染的机器?

使用工具Strings 发现里面有个网址但是不完整.

脱壳后:

1.发现完整链接,可以作为被感染特征.

2.发现一个服务名称MalService 不确定会使用此名称.