查看: 46474|回复: 82
收起左侧

[技术原创] 如何进行基础的病毒分析(简单,高手略过,混精华用)

  [复制链接]
BSCH
发表于 2010-5-2 02:23:38 | 显示全部楼层 |阅读模式
本帖最后由 107 于 2010.8.15 10:50 编辑

斑竹行行好,看在偶写这么多字的份上,给个精华吧
本贴目的:
给初学的朋友,介绍个简单的病毒行为分析方法。因为本贴的用户群体是初学者(但是必须要有基本的电脑操作基础知识),因此本贴的内容会比较简单。希望高手别喷我。另外,发表本贴的目的,对我而言,就是混技术精华,好增加等级,可以下样本评测区的样本。。。(啥时候才能快速提高等级呀。。。

工具:
1:电脑(废话,没电脑玩个屁),要求,电脑配置稍高,至少cpu2.0意思,内存尽可能2g以上(略小于也没事,但是。。。)
2:虚拟机(推荐用vmware)
3:行为检测工具,比如(File Monitor, Registry Monitor, installwatch, 或者任意一个你熟悉,喜欢的hips软件)

步骤及说明:
1:安装vmware,建议别用精简版,用完整版吧,官网注册个,然后下个keygen,或者网上搜个sn吧。具体不多说了。
2:vmware里面装操作系统winxp(这步不懂的话,网上搜下vmware吧,得自己会装操作系统,如果不会,顺道练习吧。)因为这个系统,主要是用来跑病毒,分析病毒的,因此,得图速度快,内存分配个256内存,应该差不多了——不要影响主系统呀。。。嗯,之前忘记提一点了,看的后面的朋友的回帖,才知道漏了个,装完操作系统后,千万要记得装VMWare Tools呀,这是VMware的一个驱动,其中最重要的一个功能是,可以直接把主系统(host)里面的文件,通过鼠标拖拽方式,跟客户系统(guest)互传。
3:操作系统装完后,根据自己的需求考虑是否给vmware里面的操作系统打补丁,因为有些病毒是利用漏洞的,如果要搞这类病毒,那么就不能打补丁,否则,病毒没漏洞可用,那还看个屁的行为呀。。。如果纯粹就是膜拜下,想弥补下自己的好奇心才看看病毒的行为的话,就打吧。
4:跟据自己的习惯,往vmware里面的xp装些自己用的顺手的常规软件。虽然这个系统的主要目的,就是为了跑病毒,但是,根据经验发现,有些时候的操作,还是在里面搞,会比较方便,比如,我就是firefox的忠实用户,必装的啦。。。比如,如果看官您功力高深,想完全,详细,认真的分析病毒行为,可以考虑ollydbg??话又说回来了,能用ollydbg的,怎么的,也看不上咱为了混精华而写的贴吧。。。
5:重点了,往系统里面装些“行为”检测软件。我个人而言,常用的就是File Monitor, Registry Monitor,后面会介绍这俩软件的使用。当然,您也可以用InstallWatch这款软件,这个软件也很强悍,我后面会对这款软件做个说明性介绍,不会介绍使用。或者,你也可以装个你喜欢的hips软件,因为一个好的,优秀的hips软件,也能对行为作出完整的监控。
6:系统布置好后,一个很关键的一步,千万别忘记,忘记的话,就痛苦了。。。就是,给这个布置好的系统,做一个镜像。在这里,我介绍下镜像,方便对vmware这款软件不熟悉的朋友做个简单的了解。vmware的镜像,顾名思义,就是对你配置好的系统做个备份,你在后面的操作中,会对vmware里面的系统,跑病毒,或者可能做些别的恶意性,破坏性操作的话,可以通过还原镜像,达到恢复到你备份镜像的时候的状态。嘿嘿,这个功能就很彪悍,对我们非常非常有用,试想下,你不想等着因为跑病毒把vmware里面的系统破坏后,在重新按照本贴从头来过吧???

至此,准备工作已经做完,可以开始实战了。
如果准备工作做好的话,实战其实非常简单。
就是,把一个病毒拖到虚拟机里面,然后双击运行:)
当然,运行前,必须按照前面提到的行为监控软件,运行起来,这样,这些行为监控软件,会监控出病毒的行为,然后,您就可以知道病毒大概,表面上做了哪些了。(如果高手看到这,别拍砖,本文是写给初学者的)。
然后,完毕了~~。看官们得注意下,每次,只能跑一个病毒,因为,如果一次,跑了多个病毒的话,病毒的行为会混杂在一起,你会搞不清楚到底某个行为是哪个病毒的行为。
换句话说,跑完一个病毒,就得恢复次镜像,回到备份状态。然后跑下一个。

行为监控软件介绍:
hips软件:这类软件,就没必要多说了吧。比如,可以考虑下微点??你在跑病毒的时候,他会把行为都监控到,然后给你提示。这样,你就能看到病毒到底做了哪些东西了,我不是微点用户,也从不用微点,提这个纯粹是举例说明。你可以考虑别的。

InstallWatch:这款软件我用的不多,但是也非常不错,偶不喜欢它,只是嫌他慢而已。其实,它还是款非常不错的软件。这款软件,在你运行某个软件前运行,它会记录出这时候的系统里面的状态(文件,注册表)然后,你开始跑病毒,这年头病毒的表面行为通常是,把自己拷贝到某个地方,或者从网上下个病毒到某个地方,然后在注册表里面添加某些选项,这些行为都能监控到。跑完病毒后,InstallWatch会重新计算当前状态,并且跟之前一次的状态做对比,这样,就会判断出哪里多了些文件,哪里少了些文件,哪里的文件被修改过,哪里多了些注册表项,哪里少了些注册表项,哪里的注册表项被修改过。嘿嘿,会了这,就可以自己手工清除病毒了:)

File Mointor, Registry Monitor:这两款软件,我比较喜欢,比较小巧。顾名思义,File Mointor是文件监控器,Registry Monitor是注册表监控器。作用跟Install Watch差不多,不过差别比较大,InstallWatch,是计算两次状态,然后前后两次状态做对比,File Monitor, Registry Monitor不是这样,它是实时监控计算机里面程序的运行。我简要说明下这两款软件的用法。两块软件的用法,界面都差不多,我就选一款说了。双击软件运行后,你会发现屏幕刷刷的往上翻,不要紧,这是因为你没对这款软件做设置,监控的比较多。通常情况下,explorer.exe 的记录会比较多,可以考虑把这个进程的记录给过滤,右键explorer,然后选择排除(英文单词是啥忘记了,自己凑合看吧),然后把些很明显的,刷的很多的进程给排除掉,这样,就会干净很多,这样在进行病毒行为监控的时候,就会有目的的看,否则大片干扰数据,嘿嘿。
另外,建议下,把查询的记录给关掉,操作失败的记录,也可以考虑关掉。因为查询的记录实在太多了,杂七杂八的数据也很多,严重干扰分析,根据经验,病毒通常会在某个位置拷贝自己,或者释放个文件,或者写注册表,这些东西都是在写操作中能成功的,因此,打开写成功,就会好了,查询一定要关闭呀。就这么简单介绍到这吧。

题外话:如果想监控些网络的话,比如,想看病毒从哪里下病毒的话,可以考虑下tcpview之类的软件。总之,你想看啥行为,就用啥监控软件。

再次注明:本贴的主要目的是混精华,希望斑竹高抬贵手下,给个精华增加等级。。。
如果有朋友有兴趣,但是还是有地方看不懂,欢迎回帖。

偶比较懒,就不上图了,如果回帖过程中,发现实在有必要,那时候再上吧。。。

评分

参与人数 6经验 +30 人气 +5 收起 理由
Markel.Scofield + 1 不错,写的很不错!
屁颠屁颠 + 1 原创内容
dl123100 + 1 加人气鼓励
wo1234 + 1 这个不错,谢谢楼主
英仔 + 1 加分鼓励

查看全部评分

小松鼠
发表于 2010-5-2 06:34:35 | 显示全部楼层
本帖最后由 小松鼠 于 2010-5-3 15:01 编辑

谢谢分享!!

注意身体.凌晨2点是胆排毒的时间。应该休息的重要时间。
107
发表于 2010-5-2 16:09:02 | 显示全部楼层
支持下
sky1987
发表于 2010-5-2 16:15:32 | 显示全部楼层
楼主写的不错,支持了
cncmoo
发表于 2010-5-2 22:45:24 | 显示全部楼层
  
谢谢楼主指教我等小白!
cncmoo
发表于 2010-5-2 22:46:30 | 显示全部楼层
我能再弱弱 的问

虚拟机到底怎么安呢?

唉 我自己研究吧    ...
a2120258
发表于 2010-5-3 08:00:16 | 显示全部楼层
不错!支持一个
evilbat123
发表于 2010-5-3 08:15:07 | 显示全部楼层
支持一下
evilbat123
发表于 2010-5-3 08:15:56 | 显示全部楼层
回复 6# cncmoo


    下载原版VMware~~~~~然后安装就行了  VMware tools是必须要安装滴 ~~~
vfan127
发表于 2010-5-3 08:24:10 | 显示全部楼层
vmware有免安装版
对新手可能更方便
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 23:23 , Processed in 0.127886 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表