Lab 12-4

分析在Lab12-04.exe文件中找到的恶意代码。

问题

1.位置0x401000的代码完成了什么功能?

1.通过pid判断是否是我们查找的进程,本文中是”winlogon.exe“.

2.代码注入了哪个进程?

1.“winlogon.exe“进程.

3.使用LoadLibraryA装载了哪个DLL程序?

1.一共装在了2个dll,一个是"psapi.dll”,另一个是"sfc_os.dll”.

4．传递给CreateRemoteThread调用的第4个参数是什么?

1.第四个参数是sfc_os.dll文件中导出序号为2的函数地址,我上网了解到是一个名为SfcTerminateWatcherThread,描述:用于禁用 Windows 文件保护 （WFP） 并修改本来会受到保护的文件。SfcFileException 也可以用于此容量。

5．二进制主程序释放出了哪个恶意代码?

1.恶意代码在文件的资源段里,类型为BIN下的0x65序号资源,进行了文件C:\window\system32\wupdmgr.exe覆盖.

6.释放出恶意代码的目的是什么?

1.主要目的是为了更新病毒文件的,流程主要分了两步走.

(1).执行事先备份好的wupdmgr.exe,文件在临时目录里.

(2).下载此链接上的文件'http://www.practicalmalwareanalysis.com/updater.exe',应该是用来跟新病毒文件的.