Lab1-2本节实验使用样本Lab01-02.exe。 VT检测 跟Lab1-1相似,也是基本报木马病毒。 除了最基本的杀软检测,我们还可以看一下评论(Community),会有安全专家将...,我们一般需要先对其进行脱壳再分析,UPX壳比较好脱,其中可以直接使用UPX官方的工具进行脱壳。Lab1-3 本节实验使用样本Lab01-03.exe。 VT检测 这次...
在上题处选中该局部变量,然后按x查看那个地方调用这个局部变量,可以发现只有 一个地方,双击跳转到该处 查看\cmd.exe/c的交叉引用,定位到sub_1000FF58函数, 这个函数的参数是SOCKET,是一个网络连接,还有很多字符串可以给出提示信息Encrypt Magic Number For This Remote Shell Session [0x%02x]\r\n。根据不同系统...
lab20-01 1sub_401040函数使用,参数this,用ecx来传递这个参数 在sub_401040函数内部,也可以证实这点,而且URL就是上面的http://www.practicalmalwareanalysis.com/cpp.html 可以看到程序非常简单,就在上面那个URL下载文件到c:\tempdownload.exe Lab20-02 1注意字符串 关键函数是sub_401... ...