計算機病毒常用分析方法
隨著企業(yè)信息化程度的不斷提高,信息安全越來越受到重視,防病毒更是其中的重點。從以往的經(jīng)驗來看,一旦感染病毒,其損失往往是無法用金錢來衡量的。作為信 息從業(yè)人員,我們雖然可以依靠殺毒軟件來完成主要的
日前,信息中心工作人員陸續(xù)接到一些用戶報告,稱其電腦運行緩慢,IE時常彈出異常界面,殺毒軟件卻無任何提示。在查看了感染電腦后,我們手動殺掉了這個病毒,并找到了一個樣本,放到純凈Windows XP系統(tǒng)的虛擬機(建立一個初始快照)中進行分析。
進程分析
在虛擬機中運行病毒后,可以使用XueTr來查看進程,如圖1所示。
圖1
XueTr是 一款優(yōu)秀的ARK(Anti RootKit)工具,功能非常強大,除查看進程之外,其他功能讀者可以自己去嘗試。我們看到,微軟官方的進程都呈現(xiàn)黑色,其他廠商的進程都呈現(xiàn)藍色。注 意“文件廠商”一欄,“MS User”的兩個進程非常的可疑,使用“數(shù)字簽名”校驗功能,發(fā)現(xiàn)文件未通過簽名,由此可以確定這兩個進程為病毒嫌疑進程。值得一提的是,該病毒使用了進 程守護技術(shù),在windows系統(tǒng)任務(wù)管理器中結(jié)束一個進程,另一個進程檢測到之后,還會立即將被結(jié)束的進程“復活”,利用XueTr工具可以同時殺掉兩 個進程。
文件分析
還原windows xp系統(tǒng)初始快照,打開Filemon工具,指定過濾字符為“svchost”,再次運行病毒,我們注意到兩個病毒進程文件的屬性為HS(隱藏、系統(tǒng)),并分別觀察到了它們創(chuàng)建的路徑,如圖2所示。
免責聲明:本文僅代表作者個人觀點,與本站無關(guān)。其原創(chuàng)性以及文中陳述文字和內(nèi)容未經(jīng)本站證實,對本文以及其中全部或者部分內(nèi)容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關(guān)內(nèi)容。
我要收藏
個贊
