恶意代码分析实战 Lab 3-3 习题笔记

Lab 3-3

问题

1.当你使用Process Explorer工具进行监视的时候，你注意到了什么？

解答： 这种没有明确目的的题目，我们先开始

运行很多次之后会发现，Lab03-03.exe会启动svchost.exe，每点一次启动一个 svchost.exe

然后仔细观察（把系统cpu和内存调小点，这样运行起来就会慢一点）

会发现Lab03-03.exe创建了一个svchost.exe

然后Lab03-03.exe退出，只留下svchost.exe

而题目的书上解答是

恶意代码执行了对svchost.exe文件的替换

这个的确没想到那么一步

---

2.你可以找到任何的内存修改的行为吗？

解答： 安装书中的解答方式

我们用Process Explorer点中那个单独出来的svchost.exe

然后在Image和Memory单选按钮之间切换

会发现这两个明显不一样

然后把Memory中的字符串往下拖会发现

书中提到的practicalmalwareanalysis.log的字符串，还有就是[ENTER]和[SHIFT]

这都是不会在正常的svchost.exe出现的

正常svchost.exe的Image

正常svchost.exe的Memory

正常的svchost.exe的都是相同的

然后出现了[ENTER]这些字符串，书中说，这个很可能是个击键记录器

我们随便打开虚拟机界面开一个文本乱敲一下看

然后根据PID来在procmon中创建一个过滤器

比如这样设置的话

我们就可以发现这个程序一直在不断的CreateFile和WriteFile

然后我们找到这个log文件，其实就在可执行程序的同一个目录下

1文件是我为了测试新建的

然后打开这个log文件，就可以看到记录下来的信息了

注意文中出现的[ENTER]

---

3.这个恶意代码在主机上的感染迹象特征是什么？

解答： 根据上面的分析，迹象就是创建了一个praticalmalwareanalysis.log文件

---

4.这个恶意代码的目的是什么？

解答： 根据上面的分析，是个键盘记录器

本文完