Lab 7-3

对于这个实验，我们在执行前获取到恶意的可执行程序，Lab07-03.exe，以及DLL,Lab07-03.dll。声明这一点很重要，这是因为恶意代码一旦运行可能发生改变。两个文件在受害者机器上的同一个目录下被发现。如果你运行这个程序，你应该确保两个文件在分析机器上的同一个目录中。一个以127开始的IP字符串（回环地址）连接到了本地机器。(在这个恶意代码的实际版本中，这个地址会连接到一台远程机器，但是我们已经将它设置成连接本地主机来保护你。)

这个实验可能比前面那些有更大的挑战。你将需要使用静态和动态方法的组合，并聚焦在全局视图上，避免陷入细节。

问题

1.这个程序如何完成持久化驻留，来确保在计算机被重启后它能继续运行?

1.通过Lab07-03.exe,把kernel32.dll导入进来,然后将其导出表的数据移植到Lab07-03.dll的导出表位置上,然后把Lab07-03.dll更改称'kerne132.dll',写到'C:\windows\system32'下伪装称kernel32.dll.(作业中没有把修改好的Lab07-03.dll替换掉原来的Lab07-03.dll)

2.然后修改C盘下的所以exe文件,将exe文件的导入表中的kernel32.dll改成伪装dll'kerne132.dll'.

3.这样就完成了导入表hook,每当c盘下的exe运行就会加载伪装的dll.

2.这个恶意代码的两个明显的基于主机特征是什么?

1.C:\windows\system32下有个'kerne132.dll'的伪装dll.

2.有个名为'SADFHUHF'的互斥体.存在在本机.

3.这个程序的目的是什么?

通过exe把dll驻留到主机内,在通过IAThookC盘的进程达到持久运行.通过socket通讯接收信息,如果收到'exec'消息就会运行程序,如果收到'sleep'就会进入休眠.

4.一旦这个恶意代码被安装，你如何移除它?

1.修复C盘下被改的exe,将kerne132.dll改回kernel32.dll.

2.将恶意程序kerne132.dll删了,把kernel32.dll改成kerne132.dll.

3.就是删除入口函数的恶意代码.(直接让其return).

4.重装系统.