Lab1-1
Question:
1.上传文件至VirusTotal,有相应的反病毒特征
2.使用PEview无法查看文件编译时间,但virustotal结果显示:
Creation Time
2010-12-19 16:16:38
Creation Time
2010-12-19 16:16:19
3.文件并未加壳,通过PEiD简单判断是否加壳
4.使用Dependency Walker 查看导入函数:FindFirstFile\FindNextFile\CopyFile\WS2_32.dll(提供联网功能)
5.使用string查看可看字符串:C:\Windwods\System32\kerne132.dll的字符串(主机特征码)
6.DLL文件含有私有地址127.26.152.13(网络特征码)
7.EXE安装DLL后门程序
Lab1-2
Question:
1.病毒查杀引擎有响应的文件记录
2.用PEiD进行文件查壳UPX加壳
3.发现CreatServices\InternetOpen
4.string发现网站
Lab1-3 略
Lab1-4 略
实验总结:
1.上传检测恶意代码
1.上传检测恶意代码
2.判断文件是否加壳(PEiD)/(PEVIEW查看节的虚拟内存跟实际内存)
3.查看字符串(String)
4.查看导入表(Dependecy Walker)
5.找查主机或网络迹象
6.熟悉DLL导入函数使用方法
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
