0

我有两份静态和动态恶意软件分析报告,在我的静态报告中确实有一些 MSVCRT 的 dll 的 API(例如 _p_commode,_setusermatherr ,...)在动态报告中没有。我不知道动态报告中是否有等效的 API?为什么他们不在动态报告中?

4

1 回答 1

1

当您在沙盒中运行恶意软件一段有限的时间并监控其行为时,会创建动态报告。例如,您在沙盒或虚拟系统(如 vmware 或虚拟盒)中运行恶意软件 exe 文件两分钟,并监控该恶意软件的 API 调用,但不能保证恶意软件在两分钟内执行所有 API !!!。也许某些 API 是基于事件的,例如当受害者访问 google.com 页面时,恶意软件执行一些代码,或者当用户访问标题为“银行”、“登录”或...的页面时,恶意软件调用键盘监控 API 来记录键盘。

于 2016-08-23T08:34:00.107 回答