Lab 7-1

分析在文件Lab07-O1.exe中发现的恶意代码。

问题

1.当计算机重启后，这个程序如何确保它继续运行（达到持久化驻留）?

1.通过CreateServiceA注册系统服务,并在第六个参数设置成开机自启动服务(SERVICE_AUTO_START–0x00000002)来达到持久驻留.

2.为什么这个程序会使用一个互斥量?

1.防止多个相同的exe同时重复执行.因为下面的代码是注册服务和创建子线程,不需要重复执行,重复可能会出错.

3．可以用来检测这个程序的基于主机特征是什么?

1.都会注册一个名为"HGL345"的互斥体.

2.电脑上会有一个名为"Malservice"的系统服务.

4.检测这个恶意代码的基于网络特征是什么?

1.恶意代码会使用"Internet Explorer 8.0"代理访问网络.

2.会访问名为"http://www.malwareanalysisbook.com"的URL.

5.这个程序的目的是什么?

1.把自身注册称服务程序并设置成开机自启,等到2100年1月1日0时0分,并创建20个线程去访问"http://www.malwareanalysisbook.com"这链接,然后主程序进行无限等待.像是一个DDoS攻击.

6.这个程序什么时候完成执行?

1.sleep函数填入了-1,无限等待.不过也有可能等待4294967295毫秒才能执行完.(49天)