我有两份关于静态和动态恶意软件分析的报告,实际上我的静态报告中有一些MSVCRT的dll API(例如_p_commode,_setusermatherr,...),它们没有动态报告。我不知道在动态报告中确实有相同的API吗?为什么他们不在动态报告中?
答案 0 :(得分:1)
当您在沙箱中运行恶意软件一段时间并监控其行为时,会创建动态报告。例如,您在沙箱或虚拟系统(如vmware或虚拟机)中运行恶意软件exe文件两分钟,并监控该恶意软件的API调用但不能保证恶意软件在两分钟内执行所有API!也许某些API是基于事件的,例如当受害者访问google.com页面,恶意软件执行某些代码或用户访问具有“' bank”等标题的页面时,'登录'或者......恶意软件调用键盘监控API来记录键盘。