恶意windows程序
Lab07-01.exe分析(DOS攻击)
1.当计算机重启后,这个程序如何确保它继续运行(达到持久化驻留)?
创建Malservice服务实现持久化
先分析sub_401040桉函数
尝试获取名为HGL345互斥量句柄,如果不存在则直接结束流程;如果存在继续往下执行
2.为什么这个程序会使用一个互斥量?
保证同一时间只有一个实例在运行
3.可以用来检测这个程序的基于主机特征是什么?
1、互斥量HGL345的创建
2、服务Malservice的创建
4.检测这个恶意代码的基于网络特征是什么?
程序创建20个线程访问http://www.malwareanalysisbook.com这个地址
5.这个程序的目的是什么?
进行ddos攻击
从上一步创建20个线持续访问网站可以看出
6.这个程序什么时候完成执行?
进入无限执行,不会终止
Lab07-02.exe分析(显示恶意网页)
1.这个程序如何完成持久化驻留?
没有进行持久化,运行一次就退出了
2.这个程序的目的是什么?
访问并显示一个网页
3.这个程序什么时候完成执行?
完成网页的显示之后就退出了
Lab07-03.exe、Lab07-03.dll分析(创建后门的恶意程序)
1.这个程序如何完成持久化驻留,来确保在计算机被重启后它能继续运行?
2.这个恶意代码的两个明显的基于主机特征是什么?
3.这个程序的目的是什么?
4.一旦这个恶意代码被安装,你如何移除它?
原文地址:https://blog.csdn.net/qq_29647709/article/details/142438439
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!