20145233计算机病毒实践7之动态分析3

Lab03-03动静态分析

PEiD

• 可以看出来没有被加壳了
  

• 详细的PE文件信息
  

Process Explorer

• 打开proex来实时监控一下，双击打开03-03.exe程序，因为我手速慢没有捕捉到那个一闪而过的程序，只见它留下了一个孤儿进程（pid为2440）
  

• 查看一下是否有任何内存修改行为
  

• 查看属性选择内存，发现了很多shift，enter等符号，这时我们还发现了一个.log日志文件，我们这会就有理由怀疑这可能是记录键盘录入信息的恶意程序

• 再次选择磁盘映象，但是没有找到好像有用的信息
  

• 以上两张图的结果表明，磁盘映像和内存的不一样，说明被修改过

行为特征

• 双击直接打开这个.log文件
• 发现里面记录了我刚才操作的键盘记录
  

Process Monitor

• 打开Process Monitor，里面有很多叫这个孤儿进程的的，但是不是我们要寻找的
• 点击上面的过滤，选择pid为2440加入到里面，点击确认
• 可以得到如下图结果，可以看到它的写文件过程，就是写入到刚才的.log文件中
  

程序说明

• 通过分析这个Lab03-03基本就可以得出一个结论，它留下一个和系统名一样的进程来记录你的键盘录入信息，把记录的信息都存在.log日志中