笔记动态分析基础，这部分还没涉及到看反汇编进行分析，主要是运行程序，然后通过监控软件检测程序运行的内容使用沙箱查看运行报告，可以获取一部分信息首先要在虚拟机上运行恶意代码：如果是DLL，可以通过rundll32.exeDLLName,ExportFun来进行执行如果是服务DLL，则需要运行其中导出的安装服

目录样本信息字符串信息导入表信息样本分析样本运行时检查运行条件：查杀思路总结技巧样本信息字符串信息导入表信息样本分析样本运行时检查运行条件：命令行参数个数是否大于1如果参数等于1，检查注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\XPS\Configuration如

目录样本信息字符串信息导入表信息资源信息样本分析Lab03-03.exe分析资源分析动态分析查杀思路总结技巧样本信息字符串信息导入表信息资源信息通过浏览这个资源感觉这个资源里的内容是与0x41异或之后的内容还原之后是一个PE文件样本分析Lab03-03.exe分析从

目录样本信息字符串信息导入表信息导出表信息样本分析查杀思路总结技巧样本信息字符串信息导入表信息导出表信息样本分析Install函数ServiceMain函数SetAgent创建工作线程ThreatProc线程功能连接C2，接收C2指令（Y29ubmVjdA（继续下一次接收）、cXVpdA（关

目录样本信息壳信息字符串信息导入表信息样本分析IDA分析以行为作为切入点推测查杀思路总结技巧样本信息壳信息无(PEID显示有壳，但其实仅仅是用汇编写的，加入了太多的混淆。)字符串信息导入表信息样本分析IDA分析样本有太多的花指令影响静态阅读代码。好在代码不多。