木马分析和防备电脑死机实用技巧

棋禅一道

木马分析  
工欲善其事，必先利其器。希望这个帖子能为有兴趣进入反病毒行业的朋友提供一些基本信息。

先说说硬件：
条件允许的情况下，2条不同网络运营商提供的线路，2台或以上的电脑，具体配置自己感觉满意就行
虽然用虚拟机也可以，但难免某些恶意代码有虚拟机检测机制，所以能用真机就尽量用了


接下来是必备软件：
Windows XP（别嫌弃老，老有老的好处，轻便+省事）
IDA Pro（虽然市面上还有别的反汇编工具，一是因为IDA强大，二是因为反病毒行业必备，如果哪位兄弟非要用别的，面试时被BS千万别说没提醒过。另外Hex-rays的反编译插件确实很强大，但是太贵了没闲钱买，另一方面养成自己动手丰衣足食的好习惯后其实也不差那个插件）
OllyDbg（同上，行业必备。但说实话，个人很少用，不是说它不好，而是IDA的注释太重要了，能静态IDA的绝不调试，即便实在要调试，能用IDA自带的调试器搞定的就直接搞定了，实在不行再换Olly）
WinDbg（同上，行业必备，调试驱动利器。和前者一样，个人很少用，也不是说它不好，只不过大多驱动直接用IDA静态也就够了）
Wireshark（截数据包必备利器。和前者一样，个人很少用，也不是说它不好，只是分析时我很少会真让恶意代码彻底跑起来，有需要或是静态逆出来，或是直接从调试器里抓出来了）

还有几款小软件，个人比较喜欢，但不是必须的
010 Editor
DeDe
Ghost
Hiew
LordPE
WinHex

除此之外还需要一些监测小软件，其实有很多免费的或共享的，但出于减少被恶意代码忽悠的考虑，所以个人觉得能写的还是自己写好，就算不能写，也尽量选个不知名的。

系统变化监测
API监测
Rootkit监测

其他用于测试的备用软件：
各类服务器（HTTP, SMTP, FTP, IRC等等）
各类常见IM（QQ，MSN，YAHOO等等）
Microsoft Office（各个版本的安装文件）
Adobe Acrobat Reader（各个版本的安装文件）
Adobe Flash Player（各个版本的安装文件）

最后提一下恶意代码样本的基本分析流程（不包含特征码提取）：
1. 恢复系统镜像（避免在已感染的环境下被其他信息误导）
2. 快速查看是否有可疑字符串
3. 快速查看代码入口地址是否有被感染痕迹
4. 运行，监测并记录系统变化以确定是否是恶意代码
5. 如果需要的话，用IDA静态分析
6. 如果需要的话，写一些辅助脚本或代码协助分析
7. 如果需要的话，用调试器调试
8. 如果需要的话，对相关域名，服务器，邮件地址等做背景调查
9. 文档化相关内容
10. 备份所有相关文件  
防备电脑死机实用技巧   
电脑的死机现象令所有电脑爱好者都头疼不已，但是死机又 是不可避免的，不过您不用担心，因为还有不少有效减少电脑死 机的方法，其方法就在我们平时使用电脑的点点滴滴当中。这里 为您收集了一些导致电脑死机的故障原因和防治方法，希望对您 有所帮助。 　　

1.CPU最好不要超频过高 　　

现在的CPU和显示 卡由于采用了新工艺，所以都具有不错的超频性能，追逐高频、 超频CPU也成为时下攒机的流行。但是，就在您欣喜于超频为您带 来的高速工作时，死机正在静静地威胁着您的电脑。 　　

超频极 易引起系统的不稳定甚至死机。对于由超频引起的死机现象，应当及时予以降频，或恢复其额定工作频率，以保证电脑稳定工作。 　　

2.硬拔硬件设备时要小心 　　

硬拔硬件设备时要小心操作，以防止板卡接触不良。有些朋友非凡是DIY迷们频繁地插拔板卡，这样做最轻易导致卡件与插槽接触不良而产生死机现象。在更换CPU后一定要插好。有些启动时的死机就是因为CPU没有插好。 　　

3.BIOS设置要恰当 　　

在减少电脑死机的诸多方法中，有一个会被频频提起的单词“BIOS”。虽然提倡BIOS最优设置，但所谓最优是相对的，有时最优的设置反倒会引起启动或者运行死机。 　　

若由于BIOS设置不当引起死机，应立即将BIOS恢复到出厂时的缺省设置。还有，在升级主板或是显示卡的BIOS之前，一定要先确定所要升级的BIOS的版本号是否与板卡的型号相符，同时建议您备份原来的版本，以防万一。 　　

4.少用来历不明的软盘 　　

少用来历不明的盘，不要轻易解包、运行Email中的附件，以免传染病毒。例如，前段时间很流行的“爱虫”（ILoveYou）病毒就是通过这种途径传播的。 　　

5.软件未正常结束不能关机 　　

在应用软件未正常结束时，不要关机，否则可能会造成系统文件的损坏而导致死机。对于Win鄄dows95/98/NT等系统来说，这点非常重要。此外，在安装应用软件出现是否覆盖文件的提示时，最好不要覆盖。通常系统文件是最稳定的，不能根据时间的先后来决定覆盖文件。 　　

6.加载软件时要注重先后次序 　　

在加载某些软件时，要注重先后次序。有些软件由于编程不规范，不能先运行，而应放在最后运行，这样才不会引起系统治理的混乱。在运行大型应用软件时，最好不要在退出以前运行很多别的程序，否则有可能会引起Windows98系统的崩溃。 　　

7.较小内存勿运行较大程序 　　

假如你的爱机内存较小（如8MB、16MB），最好不要运行占用内存较大的应用程序，否则在运行时极易出现死机。建议在运行这些程序时应及时保存当前正在使用的文档。 　　

8.及时清理机箱灰尘 　　

空气中蕴藏着大量的灰尘，久而久之机箱中便会积攒大量的灰尘，这时应当及时清理，否则严重影响散热效果，且灰尘接触板卡电路时会引起短路，从而引起死机。 　　

另外，尽量不要使用盗版的软件，因这些软件里有可能隐藏着杀机。

MENGXIUYUAN

这都啥时候的啊，还8MB内存

pigshead

用hips。比较省事

sunkistwu

学习中。。。。。。。。。。

热火朝天

高手都用IDA，反正我不会

pigshead

其实。最简单的方法就是花票子。

KK院长

少用来历不明的软盘 ?   现在想用也用不到了.

ccfoe

这得是几年前的文章了。。