恶意代码实战分析Lab 10-2 Windows逆向 Lab 10-2 该实验的文件为Lab10-02.exe。 问题 1.这个程序创建文件了吗?它创建了什么文件? 1.创建了文件"C:\Windows\System32\Mlwx486.sys”. 2.是一个驱动文件,文件放在了资源表,资源序号0x65; 2.这个程序有内核组件吗? 有一个sys驱动程
恶意代码实战分析Lab 9-3 Windows逆向 title: 恶意代码实战分析Lab 9-3 id: 68d557cc-1b00-4218-bbdf-2dbe66e96626 date: 2024-08-18 11:46:56 auther: 1256455767 cover: null excerpt: Lab 9-3 使用OllyDbg和ID
恶意代码实战分析Lab 9-2 Windows逆向 Lab 9-2 用OllyDbg分析恶意代码文件Lab09-02.exe,回答下列问题。 问题 1.在二进制文件中,你看到的静态字符串是什么? 一些dll名和导入的函数名,一些打印消息,还有一个"cmd"字符串. 2.当你运行这个二进制文件时,会发生什么? 1.没有任何反应.进程一运行就结束了. 3
恶意代码实战分析Lab 9-1 Windows逆向 title: 恶意代码实战分析Lab 9-1 id: 2c36360e-4651-4655-ae7f-790a19c56946 date: 2024-08-16 20:23:20 auther: 1256455767 cover: null excerpt: Lab 9-1 用OllyDbg和IDA
恶意代码实战分析Lab 7-3 Windows逆向 Lab 7-3 对于这个实验,我们在执行前获取到恶意的可执行程序,Lab07-03.exe,以及DLL,Lab07-03.dll。声明这一点很重要,这是因为恶意代码一旦运行可能发生改变。两个文件在受害者机器上的同一个目录下被发现。如果你运行这个程序,你应该确保两个文件在分析机器上的同一个目录中。一个
恶意代码实战分析Lab 7-2 Windows逆向 title: 恶意代码实战分析Lab 7-2 id: cdee3175-d904-426f-9af4-3fdee47bf5ce date: 2024-08-16 20:23:20 auther: 1256455767 cover: null excerpt: Lab 7-2 分析在文件Lab07-0
恶意代码实战分析Lab 10-3 Windows逆向 Lab 10-3 本实验包括一个驱动程序和一个可执行文件。你可以从任意位置运行可执行文件,但为了程序能够正常运行,必须将驱动程序放到C:\WindowslSystem32目录下,这个目录在受害者计算机中已经存在。可执行文件是Lab10-3.exe,驱动程序是Lab10-03.sys. 问题 1.这个
恶意代码实战分析Lab 11-1 Windows逆向 Lab 11-1 分析恶意代码Lab11-01.exe。 问题 1.这个恶意代码向磁盘释放了什么? 在exe名为"TGAD"资源节中提取数据并在当前目录下生成了名为"msgina32.dll"的dll文件. 2.这个恶意代码如何进行驻留? 1.通过给注册表'SOFTWARE\Microsoft\Wi
恶意代码实战分析Lab 11-2 Windows逆向 Lab 11-2 分析恶意代码Lab11-02.dll。假设一个名为Lab11-O2.ini的可疑文件与这个恶意代码一同被发现。 问题 1.这个恶意DLL导出了什么? 导出了一个安装函数:installer安装函数负责保持dll启动. 2.使用rundll32.exe安装这个恶意代码后,发生了什么?
恶意代码实战分析Lab 12-1 Windows逆向 Lab 12-1 分析在Lab12-01.exe和Lab12-01.dll文件中找到的恶意代码,并确保在分析时这些文件在同一目录中。 问题 1.在你运行恶意代码可执行文件时,会发生什么? 1.每2分45秒会跳一个提示框,提示框上面写着"Practical Malware Analysis %d”,%
