恶意代码分析实战 — Lab 03-03

Lab 03-03

打开Process monitor & process explorer

运行exe程序,在PE中发现程序Lab 03-03.exe运行后一闪而过

并且只留下一个svchost孤儿进程

双击svchost孤儿进程,在strings中查看memory,发现一个log文件,有键盘特殊按键的标识

在PM中过滤查找pid = 3428此进程,并且添加对创建文件以及写入文件操作的过滤

在同一路径下,已经可以看到自动创建的log文件

可以监视到对此log文件的不断读写操作

新建一个txt文件,随便输入一些内容,然后就可以在此log文件中查看到输入的记录

此恶意程序就是一个键盘记录器

您可能还喜欢...