本实验的病毒样本来自 经典病毒分析——熊猫烧香 - 『病毒分析区』 - 吾爱破解 。
要感染的系统为实验3中已经安装的 Windows XP Professional With SP3 x32 (英文版) ,在分析入侵过程时关闭了虚拟机的网络链接,并预先创建了快照。
病毒程序分析的环境继续采用了实验4中的 iQpenshi 在吾爱破解提供的集成了吾爱破解工具的Win7_X64 VMWare虚拟机(第二版),原帖地址:Win7_X64虚拟机集成吾爱破解工具_v2 - 『逆向资源区』 - 吾爱破解 。
首先,创建一个虚拟机快照,作为一个安全的还原点。
进行测试前,将虚拟机的网络关闭:
这是我们本次分析的病毒样本:
执行后C盘根目录多了这样几个文件:
说明双击打开C盘时会启动病毒程序。
没有观察到其他的变化,打算重启试试看。
再次运行病毒程序,发现任务管理器打不开(⼀打开就会被杀掉)。
但是我们可以使用 tasklist /m 来观察:
运⾏msconfig,观察到系统中多了这个程序的启动项。