恶意代码分析实战Lab0603

问题1、2、3、4：分析main函数

多的函数是401130

使用的参数是lpExistingFileName，a1是一个标记变量，以switch为分类进行操作

根据不同的API函数功能，a1不同取值

a1=‘a’：创建新目录

a1=‘b’：复制文件

a1=‘c’：删除文件

a1=‘d’：注册表操作

a1=‘e’：睡眠100s

其他值：输出“Error 3.2: Not a valid command provided”

问题5、6：恶意代码的本地特征以及功能目的

本地特征是各种特征字符串

注册表的修改以及本地文件的更新：C:\\Temp\\cc.exe

在0602程序的基础上，实现了对木马功能的实现