很多人想知道病毒是怎样破坏系统的,有时看到高手分析病毒样本时罗列出来病毒的详细行为,很是令人惊叹!那么高手们是怎么办到的呢?下面我们来介绍常用的分析方法:
工欲善其事,必先利其器
1、无懈可击——影子系统
影子系统,顾名思义,就是建立在真实的操作系统上的镜像,它和真正的操作系统一模一样。不一样的是,你在影子系统里所做的任何操作在重启或关机后都会被撤销,即便是病毒的破坏也奈何不了它,但是正常的操作也会被还原,所以要注意保存新建的重要文件到移动存储(见图1)。
·简单打造一张不错的旅游明信片·菜鸟也飞飞:打造转转风车动画·用Photoshop打造漂亮的宝宝贺年卡·回忆:用Photoshop打造精致日记本·在线轻松打造闪光字·Photoshop打造宫崎峻之千与千寻·无法抵挡的诱惑:打造紫色钻石·菜鸟学飞:打造转转风车动画·粉嫩动人:打造美女靓丽海报·见证一个唯美女孩的打造过程
软件小档案:
PowerShadow 2.6.0511 官方中文版
软件大小:3709KB 软件性质:共享软件
运行环境:Windows 9x/Me/NT/2000/XP/2003
下载地址:http://www.newhua.com/soft/53416.htm
2、超级侦探——Filemon
这是一款出色的文件监控软件,它就可以完整的将某个文件的所有操作和相应进程的信息都记录下来,这样对付病毒时就不必费神挨个文件夹去翻了。
软件小档案:
FileMon(File Monitor) 7.04 for NT/2000/XP
软件大小:188KB 软件性质:共享软件
运行环境:Windows NT/2000/XP
下载地址:http://www.onlinedown.net/soft/8985.htm
3、瑞士军刀——IceSword
这是很多朋友都熟知的反黑反病毒工具,以往介绍的很多,不在多话(见图2)。
软件小档案:
冰刃 IceSword 1.2 中文版
软件大小:2120KB
软件语言:简体中文 软件性质:免费软件
运行环境:Windows 9x/Me/NT/2000/XP/2003
下载地址:http://www.onlinedown.net/soft/53325.htm
实战sxs.exe病毒
1.布下天罗地网
第一步:保存好文件,断开网络,开启完全影子模式,硬盘盘符上就会出现太极的符号(见图3);
第二步:禁用杀毒软件监控(针对已知病毒)。打开Filemon并开启过滤功能,并且将sxs.exe作为过滤关键词,然后最小化;
第三步:接着打开IceSword等着看就可以了;
第四步:运行病毒程序就可以了。
2.静观病毒发飙
搜集证据:在短暂的假死后,弹出一个出错的对话框,确认后系统恢复正常。打开Filemon仔细看看病毒干了什么:
①sxs将生成的病毒文件和一个Autorun.inf文件复制至硬盘各分区和移动存储☆。
②复制病毒文件htedtp.exe和htedtp.dll到C:\Windows\system32\下(见图4)。
·简单打造一张不错的旅游明信片·菜鸟也飞飞:打造转转风车动画·用Photoshop打造漂亮的宝宝贺年卡·回忆:用Photoshop打造精致日记本·在线轻松打造闪光字·Photoshop打造宫崎峻之千与千寻·无法抵挡的诱惑:打造紫色钻石·菜鸟学飞:打造转转风车动画·粉嫩动人:打造美女靓丽海报·见证一个唯美女孩的打造过程
③创建C:\Windows\system32\QQhx.dat
④病毒在C:\Windows\system32下发现并删除瑞星卡卡助手的kakatool.dll文件,导致卡卡助手无法启动(见图5)。
⑤关闭C:\Windows\system32\RavExt.dll,这个文件和瑞星监控有关(见图6)。
小知识:如何判断病毒进程
有些病毒会将DLL文件插入系统的进程,如果真的遇到有掩护的病毒进程,可以试着结束EXPLORER.EXE进程后再结束病毒进程来解决,因为很多病毒都是靠插入系统进程来保护自己从而达到不死之身的目的。经常被插入的系统进程还有svchost.exe和csrss.exe等等,像这些进程直接结束会有导致系统崩溃,建议对这些插入关键系统进程和创建N个进程互相掩护的可查杀病毒,用杀毒软件自带的DOS杀毒工具在DOS下查杀为佳。顺便提一下,有些朋友不了解系统中的进程,我们建议用Windows进程管理(prcmgr)来彻底认识系统进程,它的进程描述可帮了我们不少忙。
3.针锋相对灭病毒之步步为营
⑴精确打击病毒文件
过了1分多钟,发现病毒没有再进行什么,估计已经潜伏好了。现在该IceSword上场了,先是进程,没有发现病毒。既然进程中没有,那就直接删除系统文件夹中的病毒,用IceSword的文件夹浏览功能就可以使所有文件显出原型,即便病毒修改了注册表。用IceSword打开C:\Windows\system32\点击“创建时间”,直到将时间拉到现在,这样system32下的新建的所有文件就会一目了然。可以看到htedtp.exe和QQhx.dat两个在Filemon列表中出现过的病毒文件,至于htedtp.dll无需废话直接连它一起右击“强制删除”即可。根据Filemon的文件动作列表显示的病毒动作列表,按图索骥清除其他分区病毒。
小知识:关于不可显示隐藏文件的问题
由于部分病毒修改注册表中:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL]下的CheckedValue"=dword:00000001键值为CheckedValue"=dword:00000000或者干脆胡乱修改。使得即便在文件夹选项中选择了“显示所有文件和文件夹”并且确认后,再次打开文件夹选项后,发现选项仍是“不显示隐藏文件和文件夹”。就是通过这种方法大部分病毒达到了隐藏的目的。在将键值改正后一般就会恢复正常。如果还是不行的话,可以删除键值,再重新建一个CheckedValue的dword值。如果还是嫌麻烦的话,网上专门有高手制作的工具可以使用或者将正常的注册表值导入即可。
⑵注册表清理
IceSword同时也集成了注册表浏览和部分编辑功能,很实用,但是要编辑或创建键值还是用注册表编辑器(regedit.exe)里来进行编辑。由于关闭瑞星的注册表监控,病毒的注册表行为不是很清楚,但这里可以很明显的看出htedtp.exe文件已经成功地创建了自启动值,(见图7)右击删除所选即可。还有其他地方也是病毒常常光顾的地方,由于介绍的文章很多不在重复说明。至此病毒清除完毕。
小知识:Autorun.inf文件的是非
在这里我们要强调一点,有的病毒会在创建病毒文件时“赠送”一个Autorun.inf文件,此sxs病毒的INF文件所写的内容
[AutoRun]
open=sxs.exe
shellexecute=sxs.exe
shell\Auto\command=sxs.exe
其他很多病毒和这个病毒一样“慷慨”地将这个文件分发到其他分区和移动存储上以备不时之需。这个文件的相关内容以往Cfan介绍的很多,它的目的就是为自己打造不死之身,所以要在清除sxs的同时要注意顺便清除它一下。不过病毒有时还会修改磁盘打开关联,推荐一款DSW实验室的Autorun病毒免疫工具,它还可以修复磁盘打开关联,下载地址:http://killer.9i3g.cn/download/antiautorun.rar
常看《电脑爱好者》的朋友们一定知道“蜜罐”技术吧,虽然此文的方法与“蜜罐”技术相距甚远,但是打造一个安全的、可控的实验室环境来静观病毒发作是它们的共同点。让病毒将自己的行为暴露给我们,然后我们以最简单的方式将病毒消灭掉,然后将病毒的“罪状”一条条列出,制作出相应的专杀工具以弥补杀毒软件升级滞后带来的麻烦。相信你看过此文后就知道了其实高手们的制作病毒分析报告的过程也不是很神秘的,你也可以试试看的!!