2020-2021 恶意代码 20181230 实践作业5.2 初步动态分析
目录
实践要求
以静态分析为基础,对相应代码进行初步动态分析,要求体现出:
1.静态分析确定的线索
2.动态分析对上述线索的验证分析过程
3.动态分析的结论
4.动态分析中尚不能确定,有待进一步分析的内容
实践过程
1.静态分析确定的线索
可疑的URL: www.malwareanalysisbook.com及ip184.168.131.241
2.动态分析对上述线索的验证分析过程
Process Explorer
只看到一个进程,Lab01-02-2.exe
Process Monitor
可以看到有读文件,创建可疑文件LAB01-02-2.EXE-38EF1A3E.pf,但经检测无毒。
但是没有发现其他可疑l文件
Wireshark抓包
执行文件抓包,以http协议为条件也一无所获
比对运行前后的摘要值
执行前后哈希值完全一样
3.动态分析的结论
1、这个程序暂时无法根据静态分析达到目的,个人能力有限,还待进一步分析。
2、程序创建了一个LAB01-02-2.EXE-38EF1A3E.pf文件
3.可疑ip地址为外网地址可能导致实验过程出现问题?
4.动态分析中尚不能确定,有待进一步分析的内容
通过查阅资料,了解了该程序的功能,但未能分析出,该程序会利用机器的IE8.0不断访问目标网址。