查看: 3495|回复: 11
收起左侧

[经验分享] 网友查找病毒方法中一些漏洞分析

[复制链接]
真诚走天涯
发表于 2011-3-29 17:52:41 | 显示全部楼层 |阅读模式
本帖最后由 真诚走天涯 于 2011-3-29 17:53 编辑

前两天逛论坛发现了某热心网友给大家贡献出了一个手工检查病毒的技巧,方法很简单,专门给新手看的。话说我这等菜鸟自然不能错过,也学习了起来,具体地址:http://bbs.kafan.cn/thread-942590-1-1.html。没有论坛账号的网友可能看不到图片,不过光看文字也基本可以知道哪些意思和流程了
当我花完几分钟看完这篇技巧后却发现了一些疑惑之处,为了证实下所以动手做了个实验,果然发现该网友提供的技巧方法存在不一定的不足和漏洞。

现在将实践过程记录一下,希望大家也有所了解吧

首先咱们先介绍下作者这个方法的的意思:
先用著名的手工杀毒工具xuetr 给目前系统中所有的进程建立一个快照,就是将目前所有进程和它们的资料都记录保存下来。过去一段时候之后想查查系统是否有异样,就再次给进程做个快照,用一个比较文件的工具对比下前后两个快照内容有啥区别。不同之处就很可能有病毒入侵了

按照这个思路,咱们先对目前系统里进程开始做快照
用的是最新版本的xuetr 0.39,右击任意一个进程,最下面的那个“导出”就是做快照

1.jpg

然后给快照选择保存的位置和名字,这里就直接保存到桌面了,名字就是11.txt

2.jpg
打开这个文件里面就记录了本机所有进程和进程的大多数资料,如下,这些信息的排版不是很漂亮,看着眼花,但我们不需要去仔细观察
3.jpg

然后开始安装作者推荐的比较软件--Beyond Compare,这款软件挺不错的,可以对很多类型的文件和文件夹做比较,明显之处不同之处
下面是安装完后软件的样子

4.jpg
好了,现在重启下系统,再次进入桌面后再次用xuetr 按照前面的方法给进城导出个快照,这次名字是111.txt,于是桌面上有两个快找文件
11.txt是第一次的快照,111.txt是重启后新的快照,都记录了当时系统进程的资料

5.jpg
好了下面开始检测了,将两个快找文件添加到比较软件Beyond Compare 里

6.jpg 7.jpg

软件迅速分析出了两个文件里不同之处,所有的差别都用红色标注了可以很明显的看出来
怎么样,重启系统前后 软件进程的资料出入还是挺多的吧

8.jpg
上图大家看红色字就是差别了,就不一一列举,下面只讲微点主动防御的进程差别为个例子
我框起来的地方是重启前后微点这个进程在内存中位置的变化,包括进程的 id 号码也发生了变化,但进程本质上还是那个进程,并没有升级也没有重新安装,更没有被病毒修改之类

9.jpg
不难看出,重启前后系统中大多数进程的资料都发生了改变。但这个改变并非是中了病毒,而是进程每次结束和打开后必然发生的变化。所以每次重启系统后很多进程都会有所不同。

而且现在病毒技术可高超了,该方法仅仅能查看系统里exe程序进程,对于那些狡猾的喜欢寄生在其它进程里的dll,sys等病毒效果会打些折扣。毕竟稍微有些技术含量的病毒都实现了无进程的特点

不过我再回过头看看文章标题,标题里说明了除了进程外还有驱动启动项目快照对比

10.jpg

那么这个技巧还是有用的,因为启动项特别是驱动文件变化并不算频繁,一般用户很少会经常安装能留下驱动程序的软件,当然如果你经常研究杀软或者安全就除外了
所以说除了进程快照利用价值比较低外,下面的方法还是比较实用的

11.jpg 12.jpg

好啦就分析了这么多,或许有些失误之处大家海涵了,毕竟咱们也只是个菜鸟,不要对我要求太高

评分

参与人数 1经验 +10 收起 理由
tawny2008 + 10 支持讨论

查看全部评分

恶意代码
发表于 2011-3-29 18:05:34 | 显示全部楼层
本帖最后由 恶意代码 于 2011-3-29 18:07 编辑

回复 1楼 真诚走天涯 的帖子

KILLDU的这篇文章。。。
呵呵,首先,谢谢楼主对本帖子的关注,但我并不觉得是漏洞,引用我写的帖子的最后一句

======================================
因为两份快照只是教程用,所以的,进程的PID没有改变
重启系统后,最终结果就不是这个样子了,你试试便知,不过还是会很容易看懂的
======================================

或许是我当时没解释清楚,看对比结果,主要还是看哪里出现空行,出现空行就要注意进程是否存在危险。

进程的快照,用处并不大,因为很多的进程会通过DLL来加载,等等
快照的主要用处,我觉得还是在与启动项和驱动。

同时,这种辨毒方式,对于被感染的“正常程序”,基本是没用的所以,这种方式,仅能作为简单辨毒的方法之一。


评分

参与人数 1经验 +5 收起 理由
tawny2008 + 5 技术交锋

查看全部评分

sanhu35
发表于 2011-3-29 18:12:43 | 显示全部楼层
支持一下
真诚走天涯
 楼主| 发表于 2011-3-29 18:18:21 | 显示全部楼层
哈哈
作者回复的好快,应该说本文只是那个菜鸟将原文中一个不太实用的例子做了个纠正而已
不过这个方法检测启动项和驱动很不错,现在驱动病毒文件不少的
wwdboy
发表于 2011-3-29 18:24:36 | 显示全部楼层
进来学习了
liulangzhecgr
发表于 2011-3-29 18:27:10 | 显示全部楼层
原作者是谁啊?!
恶意代码
发表于 2011-3-29 21:58:33 | 显示全部楼层
liulangzhecgr
发表于 2011-3-30 07:30:03 | 显示全部楼层
回复 7楼 恶意代码 的帖子

是啊!原作者在此...lz在网上找到贴出此板快来啦!

-------------------
请问:你有没有根据md5值,全盘查找文件的工具?!
(xt速度太慢,crc搜索工具是搜索并删除---不删除显示给读者好啦)



恶意代码
发表于 2011-3-30 11:38:17 | 显示全部楼层
回复 8楼 liulangzhecgr 的帖子

http://bbs.kafan.cn/thread-501910-1-1.html

MD5速度太恶心了,你看看这个吧


这个软件原理:
判断文件是否大于5133字节,不是的话就读入文件,并取MD5
是的话,首先,从文件第十三个字节处读入6字节,然后各每5120个字节读入6个字节,读入次数为10次,然后取所有字节的MD5
liulangzhecgr
发表于 2011-3-30 12:54:52 | 显示全部楼层
回复 9楼 恶意代码 的帖子

我有"CRC值创建扫描器"

谢谢! 也要DIY Scaner
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:18 , Processed in 0.142386 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表