**請參考大神的連結：https://blog.csdn.net/baidu_41108490/article/details/80298973#commentBox
Lab1-1
這裡我只是記錄我的學習過程**

2、用PEtools開啟，檢視日期
.exe

.dll

發現.exe和.dll兩個檔案的編譯時間只相差了19秒

4，用dependency walker工具開啟


從圖中可以看出惡意程式碼執行了一些檔案操作行為。建立檔案（CreateFileA）,查詢檔案（FindFirstFileA,FindNextFileA）,複製檔案（CopyFileA）,建立記憶體對映物件（CreateFileMappingA)。dll檔案建立程序執行程式(CreateProcess)，建立互斥量（CreateMutexA,OpenMutexA）,聯網（WS2_32.dll）等行為。

CreateMutex：作用是找出當前系統是否已經存在指定程序的例項。如果沒有則建立一個互斥量。如果成功，返回互斥體物件的控制代碼；0表示出錯。
OpenMutex：為現有的一個已命名互斥體物件建立一個新控制代碼。若成功，返回物件的控制代碼；零表示失敗。

小知識：什麼是互斥量？
互斥量是一個可以處於兩態之一的變數：加鎖和解鎖。

ws2_32.dll是windows sockets應用程式介面，用於支援Internet和網路應用程式。Windows和需要執行TCP/IP網路通訊的應用程式會呼叫動態連結庫ws2_32.dll。如果它不可用，則計算機將連線不到外部網路。

5、用IDA開啟exe

這個檔案可以用來在主機作為惡意程式碼感染的跡象進行搜尋。

6、IDA開啟.dll

結合ws2_32.dll推測它可能連結到這個IP地址，獲取exec命令來執行一個程式，一個sleep是用於命令後門程式進入休眠模式。

Lab1-2
2、用PEID開啟判斷是否加殼

發現加殼了……下面進行脫殼。

首先，用ESP定律法找到程式入口點（回顧一下這個方法）
1）用OD開啟，單步F7
2）觀察此時esp的值，右鍵->資料視窗跟隨
3）在資料視窗右鍵下硬體訪問斷點。
4）F9執行，再單步幾步就到OEP處了。

下面進行脫殼，我直接用外掛OllyDump脫殼

或者用LordPE dump，再用ImportREC修復即可。

再次用PEID檢測，沒有殼了

3、用IDA開啟，開啟Imports欄

4、檢視字串

一個Malservice服務的名稱，一個連結，可以通過監視網路流量檢查被惡意程式碼感染的主機。

Lab1-3
2、用PEID檢測發現是FSG殼

脫殼（手動脫不了FSG1.0的殼/(ㄒoㄒ)/~~）

Label1-4
2、沒加殼
3、用PEtools檢視時間，發現是個不可信時間

4、用IDA開啟，檢視匯入表

5、惡意程式碼建立的程式

6、將資原始檔用Resource Hacker開啟，發現是一個.exe程式

提取出來儲存成.exe檔案，再用IDA開啟，檢視字串，可以看到一個連結，推測wupdmgrd.exe程式是從這個連結下載得到的……（並不能實現？？？？）