问题
1、当你使用Process Explorer工具进行监视时,你注意到了什么?
打开Process Explorer,再运行Lab03-03.exe,创建了应该名为svchost.exe的程序,然后Lab03-03.exe就消失了。
2、你可以找出任何的内存修改行为吗?
可以发现它会创建一个日志文件,并且有abcdefghijklmnopqrstuvwxyz、ABCDEFGHIJKLMNOPQRSTUVWXYZ以及[SHIFT]、[ENTER]等字符串,可以判断这是一个键盘记录器。
3、这个恶意代码在主机上的感染迹象特征是什么?
可以看到,恶意代码在不断地调用CreateFile与WriteFile这两个函数,并且将键盘操作记录在日志文件中。
4、这个恶意代码的目的是什么?
创建一个键盘记录器。