實驗三

Lab03-03.exe

1.當使用 Process Explorer 工具進行監視的時候，注意到了什麼？
2.可以找出記憶體修改的行為嗎？
3.這個惡意程式碼在主機上的感染跡象特徵是什麼？
4.這個惡意程式碼的目的是什麼？

1.執行程式，發現建立了子程序 svchost.exe，主程序 Lab03-03.exe 結束。

2.分析 svchost.exe 映像和記憶體中字串的不同

Process Explorer 右鍵 Properties 屬性，對比 String 項中 Image 和 Memeory 兩種情況。

parcticalmalwareanalysis.log字串的存在，加上[ENTER]和[CAPS LOCK]這樣的字串，表明程式可能是一個鍵盤記錄器。

3.通過 Process Monitor 檢視程序行為

我們開啟一個文字，隨便輸入資訊，在檢視 Process Monitor 所記錄的 svchost.exe 行為。

發現會寫入 parcticalmalwareanalysis.log 檔案，開啟後發現是記錄鍵盤資訊。

惡意程式碼在 svchost.exe 程序上進行了程序替換，來啟動一個擊鍵記錄器。

實驗四

Lab03-04.exe

1.執行檔案時，發生了什麼？
2.什麼原因造成了動態分析無效？
3.是否有其他方式來執行這個程式？

1.雙擊檔案後，程式被刪除。

2.可能是缺少命令列引數，或者程式缺失部件

分析字串，發現除了域名、登錄檔名稱外，DOWNLOAD和UPLOAD這樣的命令字串，以及HTTP/1.0等，說明可能是一個HTTP惡意程式。
-cc,-re,-in可能是命令列引數。

3.嘗試用命令列執行惡意程式。

嘗試使用 Lab03-04.exe -in 或 -cc 或 -c 或 -re等執行，均以失敗告終，程式還是會刪除自身（使用上面字串的 del 刪除的），Process Monitor 中發現 Process Create 操作，命令列就是刪除檔案的。

第9章的實驗會揭示如何執行，刨析這個惡意程式。