恶意代码分析实战 — Lab 03-04

Lab 03-04

PEid查看导入表,在kernel32.dll中有关于获取系统目录,以及文件创建、写入、拷贝、删除等的操作

在advapi32.dll中有关于service服务的操作,调用ws2_32.dll会用到联网操作

使用strings查看字符,发现有疑似GET访问某个站点www.pracxxx.com,并且有-cc -re -in等疑似后门命令

运行程序,发现在PE中监控到exe调用子进程cmd.exe并且退出,而Lab 03-04.exe会自动删除

添加一个Filter

创建了一个cmd.exe进程

此cmd的命令就是调用del删除自身,实现自毁

您可能还喜欢...