恶意代码分析实战 第三章课后实验

问题1：

导入函数与字符串列表如下：

 

 

问题2：

创建了一个WinVMX32的互斥量。

通过上图显示的内容可以知道，程序有一些联网的操作。

 

 

通过Procmon监测

 

第三条监控结果则说明了程序添加了名为VideoDriver的自启动项。通过在注册表中进行查看，可以发现，它所要启动的是vmx32to64.exe程序。

通过对比发现，这个程序和我们这次的实验文件的大小相等，那么可以认为这两个就是同一个文件。

  

 

动态分析

问题1：

安装rundll32.exe Lab03-02.dll,installA

 

问题2：

利用regshot,可以发现，恶意程序添加了一个名为IPRIP的服务。发现ImagePath后有一个svchost，说明恶意程序会在这个svchost中实现启动。恶意程序基于本地计算机的特征DisplayName以及Description。

启动成功了。

问题3：

利用Procexp搜索Lab03-02.dll

问题4：

在procmon中设置PID值为1160即可进行过滤。

问题5：

一共有五个导出函数，ServiceMain和UninstallService是服务函数。通过installA这个函数进行安装。然后再看一下导入表。在OpenServiceA和wininet.dll联网操作。

问题6：

问题1：

打开Procexp,再点击运行Lab03-03.exe时创建了一个名为 svchost.exe的程序，然后Lab03-03.exe就消失掉了，只剩下了svchost

问题2：

点击svchost.exe，然后点击Strings,在memory选项中看到了上图，可以看到有一个.log，已及许多和键盘上一样的，这些在lmage中都没有看到，这就是内存修改行为。可以推测这个恶意程序为一个键盘记录器。

问题3：这个恶意代码会在桌面上创建一个practicalmalwareanalysis记事本，用来记录.

这是一个很明显的键盘记录器，记录按下键盘的每一下操作。

问题4：这个恶意代码的目的是什么？

目的就是创建一个svchost，以混淆视听。然后通过这个程序，就可以启动一个键盘记录器。

 

 

问题1：

双击运行文件直接自动删除。

问题2：

这次使用Prcess Monitor来进行监控。然后运行这次的实验程序。Prcess Monitor没有给我们有效的信息。可以看一下关于进程的监控，可以发现程序创建了一个进程，程序调用了cmd.exe这个程序，然后通过DOS命令删除掉了恶意程序自身。由于这个程序可能需要参数才能有效执行，所以我们的动态分析难以有效实施。或者说这个程序本身就有问题，使得无法有效分析。

问题3：

现在没有其他方法。