# 資訊安全概論 HW9 ## Q1 ![](https://i.imgur.com/6IneFLI.png) ## Q2 It did nothing. ## Q3 ![](https://i.imgur.com/iXddzjW.png) In order to execute the code below line 65, the name of program itself must be "ocl.exe". ## Q4 ![](https://i.imgur.com/Wsx5NTC.png) 在將原本一個個宣告的char轉成連續存在stack裡面的類似string的結構,也就是1qaz2wsx3edc、ocl.exe等,為了讓人不要一按shift+f12就看到。 ## Q5 ![](https://i.imgur.com/gQ6KYEF.png) 1qaz2wsx3edc這個字串以及一個一個pointer。 ## Q6 我們會發現0x00401089其實是將1qaz2wsx3edc字串解密為"www.practicalmalwareanalysis.com"。 ## Q7 ![](https://i.imgur.com/EQyRWLR.png) 隱藏hostname的加密手段為XOR。 ## Q8 ![](https://i.imgur.com/X1TaDlU.png) SW_HIDE會導致cmd視窗隱藏。接下來會開啟socket,並把所有由socket進入的流量導到cmd,所有cmd的ouput由socket導出。