1.将文件上传至 http://virustotal.com 进行分析并查看报告,文件匹配到了已有的反病毒软件特征吗
2.这些文件是什么时候编译的?
2.1 Lab01-01.exe
2.2 Lab01-01.dll
3. 这两个文件中是否存在迹象说明它们是否被加壳或混淆了?如果是,这些迹象在哪里?
3.1 Lab01-01.exe,使用peid检测是否被加壳.
3.2 Lab01-01.dll
3.3 未被混淆,dll中的函数很多,Lab01-01.exe.
3.4 Lab01-01.dll.
4. 是否有导入函数显示出了这个恶意代码是做什么的?如果是,是哪些导入函数?
4.1 可以看到这个Lab01-01.exe恶意程序能够打开或操作进程.
4.2 对文件进行操作,Lab01-01.exe.
4.3 可以看到WS2_32.dll,在Lab01-01.dll中,作用如下.
5. 是否有任何其他文件或基于主机的迹象,让你可以在受感染系统上查找?
5.1 Lab01-01.dll使用strings程序查看,其中存在远程主机ip.
6. 是否有基于网络的迹象,可以用来发现受感染机器上的这个恶意代码?
未发现
7. 你猜这些文件的目的是什么?
用来操作文件,进程,网络等功能的恶意功能.