文中提到的观看程序的最后修改写入时间和创建时间对于分析一些文件是否被病毒木马篡改变动比较有用,这个方法虽然效率低些,但是不得不说在手工分析病毒时候确实是有帮助的。不过还是存在一定的漏洞和不足的
这个漏洞很简单,那就是没有考虑到病毒木马会重新改变文件的那些写入修改时间
具体怎么体现呢,我自己简单制作立刻一个小程序,在程序里一共有三行,第一行是试验的文件位置,第二行一句话是要写入文件的内容,第三行则是这个文件目前的修改时间,如下图,我们用桌面上的一个新建的文本所示范
然后右击文本选择属性,里面没有内容,所以大小是 0 字节,再看看它目前的创建和修改时间
然后再打开这个监视工具,它能监控系统里所有的行为和一举一动,需要详细了解这个工具的朋友可以下载电子书:[url=http:/[在论坛广告被屏蔽]/gongju/5491.html]http:/[在论坛广告被屏蔽]/gongju/5491.html[/url]学习下
现在将该工具设置为只监视我的这个小程序
好了,现在我点击按钮,现实已经成功将那句话写入到了文本里,而我们的监视工具也检测到确实写入成功
双击打开文本,再打开属性,里面却是添加进了一句话,而且访问和修改时间自然也变成最新的了
继续吧,点击恢复时间的按钮,提示恢复时间成功
再回头看看文本吧,里面内容没变化,但是属性里面的时间已经被恢复成原样了
大家可以在到上面和第二张图做个比较,是不是文本的内容和大小发生了变化,但时间没变?因为我们很轻松地将修改时间给恢复了
通过上面的示范只是说明了一点:即使像我这样的新手都能很容易的编程实现文件时间的修改(代码不复杂),那么病毒木马作者也可以同样做到,当然现在很多病毒木马似乎没有这个功能,我想不是他们不会做或者不愿做,估计只是一时没想到或忘了而已吧!
所以希望可以以本文提醒一下和我一样正在学习安全和杀毒知识的入门新手们,安全技巧很重要,但是不要轻易迷信或完全放心,病毒很狡猾,学习无止境。在安全维护设置方面一定要尽可能考虑周全,方法多样化,以便弥补不足
发表于 2011-4-30 10:49:46
发表于 2011-4-30 11:32:42
新手无毒……
