Lab07-01.exe分析（DOS攻击）

1.当计算机重启后，这个程序如何确保它继续运行(达到持久化驻留)?

创建Malservice服务实现持久化
先分析sub_401040桉函数
尝试获取名为HGL345互斥量句柄，如果不存在则直接结束流程；如果存在继续往下执行

2.为什么这个程序会使用一个互斥量?

保证同一时间只有一个实例在运行

3.可以用来检测这个程序的基于主机特征是什么?

1、互斥量HGL345的创建
2、服务Malservice的创建

4.检测这个恶意代码的基于网络特征是什么?

程序创建20个线程访问http://www.malwareanalysisbook.com这个地址

5.这个程序的目的是什么?

进行ddos攻击
从上一步创建20个线持续访问网站可以看出

6.这个程序什么时候完成执行?

进入无限执行，不会终止

Lab07-02.exe分析（显示恶意网页）

1.这个程序如何完成持久化驻留?

没有进行持久化，运行一次就退出了

2.这个程序的目的是什么?

访问并显示一个网页

3.这个程序什么时候完成执行?

完成网页的显示之后就退出了

Lab07-03.exe、Lab07-03.dll分析（创建后门的恶意程序）

1.这个程序如何完成持久化驻留，来确保在计算机被重启后它能继续运行?

2.这个恶意代码的两个明显的基于主机特征是什么?

3.这个程序的目的是什么?

4.一旦这个恶意代码被安装，你如何移除它?