此样本来自《恶意代码分析实战》第12章的实验练习一。

样本难度不高，如有分析不当的地方还请各位大佬指教。

分析环境：Windows xp操作系统，VMware虚拟机环境

分析工具：

strings（字符串提取）
PEID
PEview
IDA pro
火绒剑

首先观察这个样本，这个样本由一个exe文件和一个dll文件组成，初步猜测dll有可能是在exe文件运行时动态加载进来。

一、静态分析：
1、查壳：
使用PEID查壳

exe文件查壳结果，无壳

dll文件查壳结果，无壳
2、提取字符串：
（1）exe文件：
字符串中出现了explorer.exe，猜测和这个程序的进程有关；
字符串中还出现了Lab12-01.dll说明exe文件与dll文件相关，另外还有psapi.dll文件，这是一个Windows系统进程状态支持模块，猜测恶意程序可能利用这个来获取进程的状态。
其他还有一些导入函数，稍后分析。

explorer.exe是Windows程序管理器或者文件资源管理器，它用于管理Windows图形壳，包括桌面和文件管理，删除该程序会导致Windows图形界面无法使用。不要将此进程与浏览器进程(iexplore.exe)混淆。
（2） dll文件：

一些关于月份、星期的单词的字符串，不清楚作用。

“Press OK to reboot”可能和重启有关，也可能只是一个字符串，还不确定。
“Practical Malware Analysis %d”可能是要打印的字符串，%d可能是输出一个整数。
其他还有导入函数，稍后分析。
3、查看导入表：
（1）exe文件：

这几个导入函数OpenProcess、CreateRemoteThread、WriteProcessMemory、VirtualAllocEx包括了打开进程、创建远程线程、将数据写入进程内存、动态分配内存，这是进程注入的标志，初步判断这个恶意程序使用进程注入技术。

这些就是进程、内存、文件操作，还有环境变量操作，感觉没什么需要分析的。
（2）dll文件：

线程、进程、文件操作，环境变量操作，再就没什么了。
静态分析总结：以上就是静态分析结果，总体来说，能够确定的一点是这个恶意程序应该是一个使用进程注入技术的程序，还涉及到psapi.dll、Lab12-01.dll、explorer.exe文件，下面的分析目标就是找到注入的恶意程序和被害程序，了解运行后的结果，以及如何处理解决。

二、基础动态分析：
双击exe文件运行恶意程序，火绒剑中弹出一个Lab12-01.exe进程，随后进程消失，之后的时间里进程监控没有变化。没有明显的创建或修改任何文件的动作。之后，每隔一分钟，就会弹出一个如下图的消息框，无论点击OK按钮还是点击右上角的×，一分钟后都会重新弹出这个消息框，暂不清楚这个消息框产生的来源。

[招生]科锐逆向工程师培训(2025年3月11日实地，远程教学同时开班, 第52期)！