手杀:200903231-200903234(增加200903235)8楼考考大家识别病毒眼力

dl123100

等答案 我也要写策划

tawny2008

我也等答案，我还要改规则，。。-_-#

银砾石

看来没其他人参与了，公布下我的思路：
首先是容易的，msexe.exe，大家也说了，它的时间不是正常程序干得出来的
然后，根据msexe.exe的大小查看有没相同的，可惜没有
再后，测试日期是2009-3-23，那么应该特别注意下日期是2009-3-23的，但是，不一定那个日期的都
有问题，这时，可以根据文件名来作一个先期判断，也就是看文件名的合理性，比如Skj9pRhxKPy.dll这种
随机，大小写，数字都有，除了一些安全程序的驱动外，就只会是病毒了，特别是“新系统，基本不安装新软件”
排除安全程序的可能。依此，我们可以认定2009-3-23日期的大部分
再后，还有2008-4-14及2008-11-22的及最后三个那几个呢？......
2008-11-22的共有三个，前面两个从名字上看是VBOX的相关程序，那么第三个呢？暂时把它也归到VBOX里
2008-4-14的判定我是依据两点，一：仍是名字，简单而言，名字显得无意义，符合一般病毒的习惯；2：还是“新系统，基本不安装新软件”，也就是我上面提到的很少伪造的，就是文件的位置。对于一个新系统来说，所有的一切都是有序的，由于基本不安装新软件，也排除由于安装打乱这种次序，在创建文件的时候，文件系统安排目录项是顺序进行的，写完一个写下一个，而不可能是写了一个，跳到另一个地方再写一个，SO，首先名字的无意义扩大了是病毒的可能性，而写入的位置是和前面已经确认的病毒是交替的，设想下，它们在和病毒争抢着写入，那么，它们是什么的？不言而喻，也是病毒。
现在，最后三个文件，在病毒后写入，我们又没装新软件，又是相同大小的，那么，也是。
最后，需要确定开始写入的地方，也就是说，是第三个开始还是第四个开始还是第八个开始呢？
2008-4-14和已经确认的病毒是同一日期，扩大了是病毒的可能性，我们需要确认的是：他们是否是系统文件
这里有两种比较容易的方法：搜索、和系统文件比较，还有一个是地址（不能作为唯一依据，要和上面配合考虑）
4800-4672=128，都是短文件名，正常距离是4864-4832=32，参看下面的
也就是说第三个2008-11-22和第四个2008-4-14中间曾经删除过文件，对于基本不安装新软的系统来说，删除系统目录SYSTEM32下的文件是基本不会的，SO ，判断2008-4-14的全部都是（和上面的综合起来考虑）
2008-11-22的为VBOX的文件
最后验证，搜索下就知道了。

[ 本帖最后由 银砾石 于 2009-3-23 22:58 编辑 ]

tawny2008

很透切，谢谢石头，不过我有个疑问：
=============================
也就是说第三个2008-11-22和第四个2008-4-14中间曾经删除过文件，对于基本不安装新软的系统来说，删除系统目录SYSTEM32下的文件是基本不会的，SO ，判断2008-4-14的全部都是（和上面的综合起来考虑）
=============================

请教如何才能看出“第三个2008-11-22和第四个2008-4-14中间曾经删除过文件”呢？

银砾石

4800-4672=128,中间空了3个，4*32=128
扣除正常的32，剩下为3个的位置，系统写入的时候，删除的项目是暂时保持删除状态的，优先写后面

tawny2008

原帖由 银砾石 于 2009-3-24 08:00 发表
4800-4672=128,中间空了3个，4*32=128
扣除正常的32，剩下为3个的位置，系统写入的时候，删除的项目是暂时保持删除状态的，优先写后面

原来如此，看来火流星很这个功能很不错

Beloved

看了楼上的，貌似有点乱，还是我太笨了

我只觉得数字和英文混用的，有点不正常，而且创建和修改日期都是 3-23

其他的没看出来

jskkkkk

支持一下,路过........................

ximo

单从名字和创建日期等出发，说实话，没多大意义，或许楼主的本意只是提高大家的对病毒的触觉和明锐度吧，呵呵