1. Process Explorer 로 이 악성코드를 모니터링 했을 때 무엇을 알아냈는가? → 처음에 Lab03-03.exe. 프로세스가 생기고, 자식 프로세스로 svchost.exe 가 생성되었다. 그리고 Lab03-03.exe 프로세스가 사라져서 svchost.exe는 고아 프로세스가 되었다. 2. 실시간 메모리 변조를 확인할 수 있는가? → svchost.exe의 속성의 Strings를 살펴보니 Image String 과 Memory String 이 다름을 알 수 있다. 3. 악성코드임을 의미하는 호스트 기반 표시자는 무엇인가? → 우선 svchost.exe 에서 practicemalwareanalysis.log 와 [ENTER] 같은 문자열을 볼 수 있는데 이는 일반적으로 발견되지 않는 문자열이다..