Lab 11-1

分析恶意代码Lab11-01.exe。

问题

1．这个恶意代码向磁盘释放了什么?

在exe名为"TGAD"资源节中提取数据并在当前目录下生成了名为"msgina32.dll"的dll文件.

2．这个恶意代码如何进行驻留?

1.通过给注册表'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon'增加值'GinaDLL'并向值写入释放文件的路径.这样就可以启动winlogon时加载释放的dll.

3．这个恶意代码如何窃取用户登录凭证?

1.通过dll劫持导出了个修改过的WlxLoggedOutSAS函数.

4．这个恶意代码对窃取的证书做了什么处理?

在WinLogon.exe目录下创建了名为"msutil32.sys"的文件,里面记录了打印信息"日期 时间 - UN WLX_MPR_NOTIFY_INFO->pszUserName DM WLX_MPR_NOTIFY_INFO->pszDomain PW WLX_MPR_NOTIFY_INFO->pszPassword OLD WLX_MPR_NOTIFY_INFO->pszOldPassword”.

5．如何在你的测试环境让这个恶意代码获得用户登录凭证?

以管理员权限运行exe,后重新启动系统.只在当前账户退出是记录登录凭证.