馬上注冊,結交更多好友,享用更多功能。
您需要 登錄 才可以下載或查看,沒(méi)有帳號?注冊
x
網(wǎng)上找來(lái)的。感謝這位網(wǎng)友的貢獻。。!
如何提取病毒樣本
其實(shí)很簡(jiǎn)單
就病毒代碼的存在形式來(lái)說(shuō),有兩種,一種是病毒自身是個(gè)獨立的程序文件,另一種是它附著(zhù)在正
常的程序文件上,即所謂的感染,所以,病毒樣本其實(shí)就是指懷疑為病毒或染毒的文件
不過(guò)實(shí)際上,病毒程序并不一定象你說(shuō)的那樣清清楚楚的有個(gè)主程序,現在的病毒木馬,都是幾個(gè)
程序文件組成,相互保護、相互調用運行,它們都是病毒樣本
病毒的發(fā)作狀態(tài),有些是能察覺(jué)出來(lái)的,比如:增加了進(jìn)程、電腦速度或網(wǎng)速變慢、系統運行報錯
等等,有些病毒發(fā)作時(shí),幾乎沒(méi)有外在表現,很隱蔽
病毒其實(shí)就是一段程序,一是一,二是二,一點(diǎn)也不可怕和神秘,只要不運行它,它就是死的,非
常安全,如果你怕在提取過(guò)程中誤運行了病毒,可以把病毒程序文件的擴展名改一下,改為不可被
執行或被直接打開(kāi)的擴展名即可,或根本就不要擴展名,這樣在拷貝、傳輸過(guò)程中就非常安全了
1 、 蠕蟲(chóng) /特洛伊木馬類(lèi)
這類(lèi)病毒一般不感染其它的正?蓤绦形募,它會(huì )像正常的軟件一樣 "安裝 "在系統中,只不過(guò)
"安裝 "過(guò)程是秘密的。它們一般會(huì )更改系統配置文件及注冊表:
一、更改系統的相關(guān)配置文件(這種情況主要是針對 95/98/me系統)。
病毒可能會(huì )更改 autoexec.bat,只要在其中加入執行病毒程序文件的語(yǔ)句即可在系統啟動(dòng)時(shí)自
動(dòng)激活病毒。
更改 drive:\windows\win.ini或者 system.ini文件。病毒通常會(huì )在 win.ini的 "run="后面加
入病毒自身的文件名,或者在 system.ini文件中將 "shell="更改。
二、更改注冊表健值。
目前,只要新出的蠕蟲(chóng) /特洛伊木馬類(lèi)病毒一般都有修改系統注冊表的動(dòng)作。它們修改的位置
一般有以下幾個(gè)地方:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
說(shuō)明:在系統啟動(dòng)時(shí)自動(dòng)執行的程序
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
說(shuō)明:在系統啟動(dòng)時(shí)自動(dòng)執行的系統服務(wù)程序
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
說(shuō)明:在系統啟動(dòng)時(shí)自動(dòng)執行的程序,這是病毒最有可能修改 /添加的地方。例如:
Worm.Netsky.h病毒將增加:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"antivirus" = "%WINDIR%\maja.exe -
antivirus service"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
說(shuō)明:此鍵值相當于在 Win.ini的 "run="加入病毒自身文件名,能使在系統啟動(dòng)時(shí)自動(dòng)激活病毒
。 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
說(shuō)明:此鍵值相當于在 System.ini的 "shell="加入病毒自身文件名,能使在系統啟動(dòng)時(shí)自動(dòng)激活
病毒。 HKEY_CLASSES_ROOT\exefile\shell\open\command
說(shuō)明:此鍵值能使病毒在用戶(hù)運行任何 EXE程序時(shí)被運行,即文件關(guān)聯(lián)鍵值。以此類(lèi)推,
..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便實(shí)現病毒自動(dòng)運行的功能。
另外,有些鍵值還可能被利用來(lái)實(shí)現比較特別的功能:
如有些病毒會(huì )通過(guò)修改下面的鍵值來(lái)阻止用戶(hù)查看和修改注冊表:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
System\DisableRegistryTools =
從以上鍵值找出可疑文件文件名,然后全盤(pán)查找這些文件作為附件上報。
2 、 宏病毒類(lèi)
1 )可直接將 Word、 Excel、 PowerPoint的模板文件 (Word 為 Normal.dot、 Excel 位于
xlStart 目錄下所有文件 )拷貝下來(lái)即可,可以用查找方式找到,然后作為附件上報。
2 )使用瑞星殺毒軟件掃描時(shí)報告有“ Unkown Macro Viru*”病毒名(即未知宏病毒)的文件,
作為附件上報。
3 、 電子郵件病毒
收到可疑的電子郵件,如包含附件是: .**e、 .com、 .scr、 .pif、 .lnk、 .bat等的特殊郵件
,請用戶(hù)將這封郵件(含其附件)作為附件上報。
4 、 感染文件的病毒(文件型)
此類(lèi)病毒在 dos/Win3x時(shí)代是最常見(jiàn)的,現在已經(jīng)不是很常見(jiàn)了。此類(lèi)病毒最明顯的特征是將自
身代碼加入到正常文件中,因此一般情況下(也有特例,使用壓縮功能將代碼放置于文件的冗余處
使得文件長(cháng)度不變)受感染的文件字節長(cháng)度會(huì )增加。
簡(jiǎn)單的判斷方法是與正常的系統文件進(jìn)行比較,字節增加的就是可疑文件。如果不放心可使用
系統自帶的比較命令 "fc.exe"進(jìn)行比較:
例如:將可疑的 notepad.exe文件改名為 notepad-vir.exe,再將此文件與正常的 notepad.exe文
件放在同一個(gè)目錄中,執行: fc notepad-vir.exe notepad.exe 如果不同,則會(huì )提示兩個(gè)文件的
不同代碼位置;如果相同,則會(huì )提示“找不到相異處”。
5 、 腳本 /惡意代碼類(lèi)
1)此類(lèi)病毒很多利用 ie漏洞進(jìn)行傳播,一般都是 .js、 .htt、 .as、 .vbs、 .htm、 .html、
.asp等類(lèi)型文件。比如 redlof(紅色結束符病毒)更改系統的 folder.htt文件。這類(lèi)病毒有的會(huì )
更改本地的網(wǎng)頁(yè)文件( asp,htm,php等),一般會(huì )在正常文件后部增加腳本代碼。找到這些被修改
的網(wǎng)頁(yè)文件作為附件上報。
2 )用瑞星殺毒軟件掃描時(shí)報告為 Unkown Script Virus(未知腳本病毒)的文件請作為附件上報
。
3 )如果瀏覽某網(wǎng)站后出現系統異常,用戶(hù)可以利用瑞星聽(tīng)診器上傳提取的報告,并在郵件正文描
述具體的計算機中病毒的現象。
在病毒已經(jīng)激活的情況下,比較常見(jiàn)的病毒都可通過(guò)以上方法找到其樣本文件
關(guān)于提取活性樣本要注意以下方面:
必須知道樣本所在的位置,也就是路徑和文件名。如果是使用殺毒軟件發(fā)現的樣本,通常殺毒
軟件會(huì )報告出病毒的位置,但為了保持活性,這時(shí)候不要使用殺毒軟件的殺毒功能,一旦殺了病毒
也就失去活性了。而且需要注意殺毒軟件的實(shí)時(shí)防護往往會(huì )阻止對此病毒的任何操作,所以要提取
出它還要暫時(shí)停止殺毒軟件的實(shí)時(shí)防護,此時(shí)用帶密碼壓縮的方式即可將樣本安全取出。然后再打
開(kāi)殺毒軟件將其清除。
但如果沒(méi)有殺毒軟件或殺毒軟件沒(méi)有識別,但是感覺(jué)有中毒跡象,這個(gè)時(shí)候要找出病毒就比較
麻煩了,往往需要一些專(zhuān)業(yè)知識,這個(gè)我就不作說(shuō)明了。但也可以借助一些輔助工具來(lái)發(fā)現未知病
毒,比如防毒軟件的主動(dòng)防御系統可以自動(dòng)偵測出絕大多數未知木馬和病毒,而且將樣本舉報的過(guò)
程全部自動(dòng)化,這是一個(gè)不錯的方法。
|