专业人士进！！！

sanhu35

病毒分析师也用杀毒的

-oAo-

楼主想成为一种职业？

chujunci

-oAo- 发表于 2011-6-22 19:38
楼主想成为一种职业？

嗯！！是的！！！！

-oAo-

chujunci 发表于 2011-6-22 19:38
嗯！！是的！！！！

努力

chujunci

-oAo- 发表于 2011-6-22 19:43
努力

可是不知道从哪努力？

-oAo-

chujunci 发表于 2011-6-22 19:44
可是不知道从哪努力？

从零开始学，楼上不是告诉你学什么了吗

小林制药

如果你想成为一名初级的手动杀毒者，请先学习ARK（Anti-Rootkit）软件的使用方法，此类软件的代表有冰刃，狙剑，wsyscheck等。同时需要熟练的掌握WinPE的相关知识，比如用PE引导系统，利用PE修复系统等等。还需要掌握在命令行下修复系统的相关知识，需要的命令以及命令参数要牢记，常用的比如有Fdisk /mbr，attrib等等。也需要掌握常识，比如如何判断某个文件是不应该存在的文件，判断中毒的现象猜测病毒可能使用的技术手段，一旦中了病毒后能找到病毒的可能寄生位置等……还需要学习数据恢复软件的使用方法，以便杀毒失败后的补救行动。而且对于病毒要有充分的了解，举个例子说，面对那种会对抗ARK（一运行ARK就蓝屏）工具的病毒，应该找到合适的办法绕过病毒等等……
多少学点汇编，高档病毒通常都使用汇编语言编写，至于现在流行的木马……都是些个鸡鸣狗盗之徒，想让自己称为反毒者，千万不能认为解决了一些个样本区的小马自己就天下无敌了~
扯远了~
如果想晋升一级，学习使用脱壳软件，沙箱系统，虚拟机，以至于反编软件都是至关重要的，不过说实话，这个对你来说恐怕有点难……先把初级的问题搞定了再说……原谅我话说直白吧。
最高级的家伙就是那种能综合利用手头资源，而且扫一眼代码就知道病毒编写技巧，结构，思路如何的家伙……

最后，有一个灵活的思想是很重要的。计算机上的事情没有一个定式，比如要打开一个文件，用鼠标可以，用键盘也行。这就需要灵活的思维找到不同的路。一个防御系统也是非常重要的，如果你觉得杀毒软件没有用，HIPS是你的好选择，但是前提是你要足够的熟练，并且有足够的知识。

P.S.杀毒软件是很重要的，至少可以省去你很多麻烦，比如当时Viking（熊猫烧香它爷）泛滥的时候，我们手工是能把病毒感染到EXE的那一段杀掉（其实这一系列的病毒很初级，只是简单的把代码附加到可执行文件的尾部，十分好找且好杀），但是面对上千甚至更多的EXE的时候，谁有那个耐心一个一个的干掉它？

chujunci

小林制药 发表于 2011-6-22 21:04
如果你想成为一名初级的手动杀毒者，请先学习ARK（Anti-Rootkit）软件的使用方法，此类软件的代表有冰刃，狙 ...

跪谢！！！！学习了！！！

chujunci

小林制药 发表于 2011-6-22 21:04
如果你想成为一名初级的手动杀毒者，请先学习ARK（Anti-Rootkit）软件的使用方法，此类软件的代表有冰刃，狙 ...

自己可以搞个专杀么！

小林制药

chujunci 发表于 2011-6-22 21:06
自己可以搞个专杀么！

做专杀的前提是建立在你足够了解的基础上。我还是拿Viking举例子。假设我要做它的专杀，抛开实际的编程不谈，我首先要弄清楚它究竟干了什么。虚拟机，沙箱等等都可以有效的获取关于这个病毒的动作信息，但不一定全面。我还要试图把它脱壳，然后进一步试图反编，找到程序的结构，作者的思路等等……当这一切准备信息都做足了，我还需要去把它脱钩（如果有的话），还要卸除病毒加载的驱动（如果有的话），还要停止并删除病毒的服务，还要确定哪些文件是被感染了的，修复的时候还要保证文件的完整性等等……这是一个不简单的过程，需要你有在编程方面一定的造诣，同时也考验你的知识面。一般来说，做到初阶已经很不容易了，你要做专杀最基本也要达到中等偏上的水平。

给你讲个故事吧，几年前我遇到过一种病毒，最棘手的是一旦感染后很难找到病毒体。病毒会在开机时候自启动并且驻留内存，同时向硬盘Windows\system32中写一个随机文件名的病毒体，并且该病毒体被内存中相关的模块保护，大部分ARK都报错退出，注册表，组策略都无法运行，安全模式加载失败，绝大部分安全软件进程被终止。而后在关机时病毒会将原来的那个随机名的病毒体文件删掉，改头换面写入Windows文件夹下面的随机一个文件夹内，下次开机时被加载，重复之前的过程。如果遇到这个问题，你会怎么办呢？