Lab 11-1 分析恶意代码Lab11-01.exe。 问题 1．这个恶意代码向磁盘释放了什么? 在exe名为"TGAD"资源节中提取数据并在当前目录下生成了名为"msgina32.dll"的dll文件. 2．这个恶意代码如何进行驻留? 1.通过给注册表'SOFTWARE\Microsoft\Wi

Lab 11-2 分析恶意代码Lab11-02.dll。假设一个名为Lab11-O2.ini的可疑文件与这个恶意代码一同被发现。 问题 1．这个恶意DLL导出了什么? 导出了一个安装函数:installer安装函数负责保持dll启动. 2．使用rundll32.exe安装这个恶意代码后，发生了什么?

Lab 12-1 分析在Lab12-01.exe和Lab12-01.dll文件中找到的恶意代码,并确保在分析时这些文件在同一目录中。 问题 1．在你运行恶意代码可执行文件时，会发生什么? 1.每2分45秒会跳一个提示框,提示框上面写着"Practical Malware Analysis %d”,%

title: 恶意代码实战分析Lab 11-3 id: a2d4bff7-05a4-407c-8baa-2ad9fb88606b date: 2024-08-16 20:36:06 auther: 1256455767 cover: null excerpt: Lab 11-3 分析恶意代码Lab1

Lab 12-2 分析在Lab12-02.exe文件中找到的恶意代码。 问题 1.这个程序的目的是什么? 1.这个程序主要是加载键盘记录器到全局按键消息里. 2．启动器恶意代码是如何隐蔽执行的? 1.将恶意代码加密后放到了资源资源段里. 2.通过进程替换把恶意代码放到了"C:\window\syst

Lab 12-3 分析在Lab 12-2实验过程中抽取出的恶意代码样本，或者使用Lab12-03.exe文件。 问题 1.这个恶意负载的目的是什么? 1.加载一个全局键盘记录器到系统中,并记录按键保存在当前目录"practicalmalwareanalysis.log"文件中. 2.恶意负载是如何注

Lab 12-4 分析在Lab12-04.exe文件中找到的恶意代码。 问题 1.位置0x401000的代码完成了什么功能? 1.通过pid判断是否是我们查找的进程,本文中是”winlogon.exe“. 2.代码注入了哪个进程? 1.“winlogon.exe“进程. 3.使用LoadLibrar

title: 恶意代码实战分析Lab 10-1 id: c647854c-6e0c-49de-b816-eb04485f82f7 date: 2024-08-16 20:23:20 auther: 1256455767 cover: null excerpt: Lab 10-1 本实验包括一个驱动程

Lab13-1 分析恶意代码文件Lab13-01.exe。 问题

Lab 7-1 分析在文件Lab07-O1.exe中发现的恶意代码。 问题 1.当计算机重启后，这个程序如何确保它继续运行（达到持久化驻留）? 1.通过CreateServiceA注册系统服务,并在第六个参数设置成开机自启动服务(SERVICE_AUTO_START–0x00000002)来达到持久