Lab 3-3

問題

1.當你使用Process Explorer工具進行監視的時候，你注意到了什麼？

解答： 這種沒有明確目的的題目，我們先開始

執行很多次之後會發現，Lab03-03.exe會啟動svchost.exe，每點一次啟動一個 svchost.exe

然後仔細觀察（把系統cpu和記憶體調小點，這樣執行起來就會慢一點）

會發現Lab03-03.exe建立了一個svchost.exe

然後Lab03-03.exe退出，只留下svchost.exe

而題目的書上解答是

惡意程式碼執行了對svchost.exe檔案的替換

這個的確沒想到那麼一步

2.你可以找到任何的記憶體修改的行為嗎？

解答： 安裝書中的解答方式

我們用Process Explorer點中那個單獨出來的svchost.exe

然後在Image和Memory單選按鈕之間切換

會發現這兩個明顯不一樣

然後把Memory中的字串往下拖會發現

書中提到的practicalmalwareanalysis.log的字串，還有就是[ENTER]和[SHIFT]

這都是不會在正常的svchost.exe出現的

正常svchost.exe的Image

正常svchost.exe的Memory

正常的svchost.exe的都是相同的

然後出現了[ENTER]這些字串，書中說，這個很可能是個擊鍵記錄器

我們隨便開啟虛擬機器介面開一個文字亂敲一下看

然後根據PID來在procmon中建立一個過濾器

比如這樣設定的話

我們就可以發現這個程式一直在不斷的CreateFile和WriteFile

然後我們找到這個log檔案，其實就在可執行程式的同一個目錄下

1檔案是我為了測試新建的

然後開啟這個log檔案，就可以看到記錄下來的資訊了

注意文中出現的[ENTER]

3.這個惡意程式碼在主機上的感染跡象特徵是什麼？

解答： 根據上面的分析，跡象就是建立了一個praticalmalwareanalysis.log檔案

4.這個惡意程式碼的目的是什麼？

解答： 根據上面的分析，是個鍵盤記錄器

本文完