本帖最后由 Hacker29cn 于 2011-6-2 00:41 编辑
掌握证据,揪出元凶——跟我学习CIMA,让更多人了解病毒的行为(之二)
紧接第一部分的讲解,本部分理解有些难度,希望我的例子能够帮助你 基础部分请看
2、病毒为什么叫病毒?(为什么标号是2?因为这是第三大节的第二个小问题,不明白的请看 ) 说起电脑病毒,那话就长了,我不想在这里长篇大论的讲原理,那个没用。咱讲实用的: 不知大家是否得过感冒?(废话!你没得过?  )流感病毒的威力不容小觑,这么多年我们都没有彻底干掉流感,在于它具有: (1)传染性,不管是通过空气、飞沫传播也好,还是通过亲嘴传播也罢,反正容易感染他(她)人; (2)潜伏性,话说刚刚传染上的时候,乃并不知道,还像没事人儿一样,一般都有潜伏期,一旦它露出狰狞的面孔,乃不是高烧就是流涕,而且发病迅速; (3)爆发性,乃们不见,一旦流感大爆发,几乎人人都谈流感色变,传播很快。 之所以一段程序叫电脑病毒,那还不是因为它具有和生物病毒很类似的特征 (1)感染性,不管是通过U盘还是网络,一旦进入宿主很容易感染正常文件 (2)潜伏性,这里指病毒的隐身特征,一般你是很难发现病毒感染操作系统的,除非你触发了病毒运行的条件——如双击(大部分病毒),日期4月26日(如臭名昭著的CIH),武汉男生(就是熊猫烧香啊)等等,平常你的系统也像没事人儿一样,一旦病毒被运行(发作),乃就会发现:系统频繁蓝屏或死机,动不动就运行缓慢,文件被改的烂七八糟……(电脑捂着脑袋告诉你,它不行了)! (3)爆发性,同生物病毒一样,一旦恶性病毒爆发,就会感染几百万甚至上千万台的电脑,大家谈毒色变,比如臭名昭著的Auto病毒,熊猫烧香病毒等。 正是由于它们具有如此多的共性,我们的电脑高手们就形象的称呼这些恶意程序为病毒了。 (只为大家理解方便,本身忽略了高深的理论讲解) 3、病毒行为大曝光 一般正常的程序也会读写磁盘,占用资源,但是它们都很规矩,一般不会越雷池半步,但是病毒就不同了,它们有的很会伪装如SVCHOST是正常的进程,但是病毒的名字叫SVCH0ST,只不过字母“O”变成了数字“0”;有的很妖艳,极具诱惑力,如美女.EXE,帅哥.EXE,和我接吻.EXE,惊艳!美女流水了.EXE,帅哥××.EXE……不胜枚举,以便吸引你点击,注意不要上当! 一般病毒具有以下行为(但不仅限于以下行为): (1)自我复制,从一个地方复制到另一个地方,就像盖公章那样简单; (2)隐藏自身,一旦得手,你如果不通过特殊手段,根本不知道它在哪儿; (3)修改注册表的关键键值,通过修改注册表达到加载服务,开机启动,保护自身的目的; (4)自我修复,即使进程崩溃了,会再生成一个,往往还有守护进程的进程,一旦主进程被KILL,立即能够死而复生; (5)插入(注入)其它进程,主要涉及“强奸”的流氓行为,比如在违背QQ的“意志”下,强行插入(注入)QQ,以便盗号; (6)欺骗,不管是图标变换还是诱惑点击,都带有欺骗的性质; (7)加载驱动,你不知道怎么回事突然摄像头亮了,然后乃的隐私就曝晒于天光之下 …… 当然还有很多,不在一一列举,到时候CIMA会告诉我们的! 4、我也来揪毒,实战病毒行为分析(详解报告,结合实例解释病毒行为) (1)这是一个病毒的分析报告 上传报告 通过这份报告,我们清楚的看出了该病毒的所做所为 危险的部分CIMA已经用红色标出 该恶意软件的恶意行为主要有:(次要的我就不说了,单挑红色的) 创建文件 图 删除正常的文件 图 创建DOS进程 图 创建及运行恶意脚本 拷贝文件(自身)到系统文件夹下(盖棺定论,罪无可逭!) 图 (2)上一个病毒的恶意行为并不是很多,下面我们看个多的 上传示例 这是截获的一个病毒,它的恶意行为就较多了 很多分析与上例相同,仅讲述不同部分 创建注册表键和键值 图 调用API和DNS劫持 图 CIMA的行为描述 A.自我复制 B.随系统的启动而启动(建立自启动记录) C.自我隐藏(删除自己) D.插入其它进程(流氓行为) (3)开始闯荡样本区吧 乃们可以自己试验(禁止实机运行,请在虚拟机中上传) 样本区传送门 这两篇有我的回帖,大家可以参考分析 还有一篇,难度高一些,大家可以自己分析一下看看 这个病毒较厉害,做的恶也比较多,大家可以看看我的回帖,那里有CIMA分析地址 传送门 经过历练,你也能成为高手!让我们一起努力! 这样两期的教程到此结束,由于许多分析需要积累经验,对操作系统也要有所了解,由于本文只是入门教程,很详细的分析就不再赘述!大家看完教程,能够对病毒的行为有个大致的了解,我就心满意足了!谢谢大家的支持! 互助分享,大气谦和! | 
[复制链接]
发表于 2011-4-24 17:16:06
楼主
发表于 2011-4-24 17:41:15
