因为temple文件来说,它是一个临时文件,临时文件在对应的这个目录下,目录下的文件是具有可读可写可访问的操作这个权限。因此我们一些恶意代码meanwhile会非常愿意通过temple这个文件来进行对应的写入操作,那么这里我们也给出一个链接,方便大家进行对应的这个查看,为什么恶意软件安装程序在感染windows系统时,使用temple、文件和temple文件夹,那么这里他非常的详细介绍了相关的内容,并且给出了我们对应的这个优点。
使用windows临时文件夹来说,它有以下几个优点,首先它的速度很有可能是要比其他的这个磁盘文件系统会更快一些,那么一般情况下选在temple当中。当然另外一个优点也是它特别重要的一个优点,temple文件对咱们当前登录系统的这个用户是具有访问读写权限,可以说它具有最高的权限。因此它可以解决咱们软件安装程序,在没有适当权限情况下,试图将按软件安装在目标位置时出现的任何文件系统权限相关的错误。因此我们文件通常会被用作一个暂存点,一旦它进行了对应的写入,再进行对应的转存,转移到他目标的这个位置,那么此时通过temple作为一个中间跳点,可以避免在写入过程中出现的这种权限的问题。
那么同时这里也给了一个详细的写入过程,你可以自己去进行一个查看。但是在这里我们给大家查看一个位置,那么一般情况下它会拷贝我们对应的这个内容,到我们对应的 tmp.exe当中,那么这个 meanwhile是它的文件名,那么一般情况下很有可能它会出现这样一个类似的文件名,这也是我们稍后介绍分析过程中将要展现的一个案例。如果你想详细的查看,那么你可以通过链接来继续学习,我就不再一一读文档给大家做介绍了。
那么我们现在已经找到了对应的这个目录,并且知道为什么要查看对应的目录。接下来,我们就来进行对你的分析,分析的话,我们可以使用windowtotal这样一个在线检测的网站查看,对应的这些批文件或者是特别大的temple,文件是否是一些恶意代码,那我们进行筛选,首先我们可以点击为类型,那么在这里我们会找到有很多的这个有三个exe文件以及有DLL文件,以及我们对应的temple文件,但是我们并没有找到特别大,比如说十几m或者是几千个这个KB的文件,因此我们暂时先不看temple文件,但是我们发现这个 exe和DLL比较可疑,那么因此我们可以打开为了tota ls来进行对应的这个分析,那么打开之后,首先我们将对应的文件进行了对应的复制,复制到我们当前的这个系统当中,同时我们也使用total进行对应分析。先这是一个小马激活工具,也就是我们这样一个工具所分析的一个结果。