恶意代码Lab03-3分析实验

题目

在一个安全的环境中执行给定的文件（Lab03-03.exe）中发现的恶意代码，同时使用基础的静态分析和动态分析工具监视它的行为。

问题

1. 当你使用Process Explorer工具进行监视时，你注意到了什么？
   本次实验环境为虚拟机Windows XP，首先用IDA静态分析Lab3-03.exe，发现包含许多涉及内存、文件、线程的操作，程序的导入函数如下：
   先运行Process monitor和Process Explorer，然后运行Lab3-03.exe，发现PE中Lab3-03.exe运行后一闪而过，并且该程序有对conime.exe文件的操作，而conime.exe是控制台输入法编辑器的相关程序，因此猜测恶意代码可能对这些文件进行了内存的修改
   
   只留下一个svchost.exe孤儿进程，但通常svchost.exe是作为子进程的，但这个svchost.exe进程却是作为父进程。
   
2. 你可以找出任何的内存修改行为吗？
   点开遗留的svchost.exe，查看其字符串页，并选中memory，发现此进程内存中的字符串与其他正常svchost.exe进程的字符串不同，而磁盘映像却与其他正常进程相同，因此可知恶意代码确实对svchost.exe运行时的内存数据进行了修改。（下图中前面两个是正常的svchost.exe进程，后面的是恶意代码遗留的svchost.exe进程）
   
3. 这个恶意代码在主机上的感染迹象特征是什么？
   查看了遗留svchost.exe字符串页发现了[SHIFT]、[ENTER]、[BACKSPACE]等字符串，初步推测该恶意代码可能与键盘敲击有关。
   在Process Monitor中过滤出PID=2268的进程行为，发现了svchost.exe的大量文件操作，目标路径是同一目录下的practicalmalwareanalysis.log文件
   查看该目录发现确实有这个文件
   
   打开该文件，发现其记录了我的键盘操作
   因此创建一个名为practicalmalwareanalysis.log的文件是此恶意代码的感染迹象特征。
4. 这个恶意代码的目的是什么？
   通过分析，此程序就是一个键盘记录器。