Lab 9-2

用OllyDbg分析恶意代码文件Lab09-02.exe，回答下列问题。

问题

1.在二进制文件中，你看到的静态字符串是什么?

一些dll名和导入的函数名,一些打印消息,还有一个"cmd"字符串.

2．当你运行这个二进制文件时，会发生什么?

1.没有任何反应.进程一运行就结束了.

3．怎样让恶意代码的攻击负载（payload）获得运行?

1.将当前进程名字改成"ocl.exe"才能正常运行下去否则直接退出了.

2.text:00401240 74 0A jz short loc_40124C或者更改进程二进制代码把jz改成jmp.

4.在地址0x00401133处发生了什么?

1.在栈中生成了一段字符串:“1qaz2wsx3edc”;

5．传递给子例程（函数）0x00401089的参数是什么?

一共有两个参数:

参数1是一段被加密的字符串,参数2是一段解密字符串(栈中生成的字符串).

6．恶意代码使用的域名是什么?

1.通过0x00401089处的函数解密出来的字符串:www.practicalmalwareanalysis.com,也就是恶意代码使用的域名.

7．恶意代码使用什么编码函数来混淆域名?

1.通过字符串异或来实现域名混淆的.

8．恶意代码在0x0040106E处调用createProcessA函数的意义是什么?

打开cmd进程,将套接字的数据当成控制台输入输出控制管道句柄.