

恶意代码分析

下方课件区域方向键控制翻页，f 键全屏。

作业

警告：在虚拟机中进行本次实验。

本次作业需要多个工具来完成分析。

ProcessMonitor 分析进程行为

7-Zip 解压缩病毒样本

火绒剑观察并尝试清理病毒

下载或安装 Windows 7 或 Windows 10 虚拟机，在虚拟机中进行本次实验。

虚拟机中安装客机增强件，开启双向拖放，以便你能够将上述软件以及病毒样本放入虚拟机中。

安装 7-Zip 解压缩软件，安装火绒剑，解压 Process Monitor 以及病毒样本得到一个 1.exe。

病毒样本解压密码请在群中搜索聊天记录，关键词"病毒样本密码"。

使用 Process Monitor 设置过滤器捕获 1.exe 的行为，双击运行 1.exe ，观察并保存在非管理员权限下病毒执行的过程。

再次使用 Process Monitor 设置过滤器捕获 1.exe 的行为，右键管理员权限运行 1.exe ，观察并保存在管理员权限下病毒执行的过程。

对比两次执行病毒的执行过程，观察并记录病毒在进程、注册表、文件等方面的行为。

管理员权限执行火绒剑，尝试通过结束进程、清除注册表项、删除文件等操作来清理病毒。

将上述行为写成实验报告并提交到作业仓库，截止 2022-01-05 。