马上注册,结交更多好友,享用更多功能。
您需要 登录 才可以下载或查看,没有帐号?注册
x
网上找来的。感谢这位网友的贡献!!!!
如何提取病毒样本
其实很简单
就病毒代码的存在形式来说,有两种,一种是病毒自身是个独立的程序文件,另一种是它附着在正
常的程序文件上,即所谓的感染,所以,病毒样本其实就是指怀疑为病毒或染毒的文件
不过实际上,病毒程序并不一定象你说的那样清清楚楚的有个主程序,现在的病毒木马,都是几个
程序文件组成,相互保护、相互调用运行,它们都是病毒样本
病毒的发作状态,有些是能察觉出来的,比如:增加了进程、电脑速度或网速变慢、系统运行报错
等等,有些病毒发作时,几乎没有外在表现,很隐蔽
病毒其实就是一段程序,一是一,二是二,一点也不可怕和神秘,只要不运行它,它就是死的,非
常安全,如果你怕在提取过程中误运行了病毒,可以把病毒程序文件的扩展名改一下,改为不可被
执行或被直接打开的扩展名即可,或根本就不要扩展名,这样在拷贝、传输过程中就非常安全了
1 、 蠕虫 /特洛伊木马类
这类病毒一般不感染其它的正常可执行文件,它会像正常的软件一样 "安装 "在系统中,只不过
"安装 "过程是秘密的。它们一般会更改系统配置文件及注册表:
一、更改系统的相关配置文件(这种情况主要是针对 95/98/me系统)。
病毒可能会更改 autoexec.bat,只要在其中加入执行病毒程序文件的语句即可在系统启动时自
动激活病毒。
更改 drive:\windows\win.ini或者 system.ini文件。病毒通常会在 win.ini的 "run="后面加
入病毒自身的文件名,或者在 system.ini文件中将 "shell="更改。
二、更改注册表健值。
目前,只要新出的蠕虫 /特洛伊木马类病毒一般都有修改系统注册表的动作。它们修改的位置
一般有以下几个地方:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
说明:在系统启动时自动执行的程序
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
说明:在系统启动时自动执行的系统服务程序
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
说明:在系统启动时自动执行的程序,这是病毒最有可能修改 /添加的地方。例如:
Worm.Netsky.h病毒将增加:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"antivirus" = "%WINDIR%\maja.exe -
antivirus service"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
说明:此键值相当于在 Win.ini的 "run="加入病毒自身文件名,能使在系统启动时自动激活病毒
。 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
说明:此键值相当于在 System.ini的 "shell="加入病毒自身文件名,能使在系统启动时自动激活
病毒。 HKEY_CLASSES_ROOT\exefile\shell\open\command
说明:此键值能使病毒在用户运行任何 EXE程序时被运行,即文件关联键值。以此类推,
..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便实现病毒自动运行的功能。
另外,有些键值还可能被利用来实现比较特别的功能:
如有些病毒会通过修改下面的键值来阻止用户查看和修改注册表:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
System\DisableRegistryTools =
从以上键值找出可疑文件文件名,然后全盘查找这些文件作为附件上报。
2 、 宏病毒类
1 )可直接将 Word、 Excel、 PowerPoint的模板文件 (Word 为 Normal.dot、 Excel 位于
xlStart 目录下所有文件 )拷贝下来即可,可以用查找方式找到,然后作为附件上报。
2 )使用瑞星杀毒软件扫描时报告有“ Unkown Macro Viru*”病毒名(即未知宏病毒)的文件,
作为附件上报。
3 、 电子邮件病毒
收到可疑的电子邮件,如包含附件是: .**e、 .com、 .scr、 .pif、 .lnk、 .bat等的特殊邮件
,请用户将这封邮件(含其附件)作为附件上报。
4 、 感染文件的病毒(文件型)
此类病毒在 dos/Win3x时代是最常见的,现在已经不是很常见了。此类病毒最明显的特征是将自
身代码加入到正常文件中,因此一般情况下(也有特例,使用压缩功能将代码放置于文件的冗余处
使得文件长度不变)受感染的文件字节长度会增加。
简单的判断方法是与正常的系统文件进行比较,字节增加的就是可疑文件。如果不放心可使用
系统自带的比较命令 "fc.exe"进行比较:
例如:将可疑的 notepad.exe文件改名为 notepad-vir.exe,再将此文件与正常的 notepad.exe文
件放在同一个目录中,执行: fc notepad-vir.exe notepad.exe 如果不同,则会提示两个文件的
不同代码位置;如果相同,则会提示“找不到相异处”。
5 、 脚本 /恶意代码类
1)此类病毒很多利用 ie漏洞进行传播,一般都是 .js、 .htt、 .as、 .vbs、 .htm、 .html、
.asp等类型文件。比如 redlof(红色结束符病毒)更改系统的 folder.htt文件。这类病毒有的会
更改本地的网页文件( asp,htm,php等),一般会在正常文件后部增加脚本代码。找到这些被修改
的网页文件作为附件上报。
2 )用瑞星杀毒软件扫描时报告为 Unkown Script Virus(未知脚本病毒)的文件请作为附件上报
。
3 )如果浏览某网站后出现系统异常,用户可以利用瑞星听诊器上传提取的报告,并在邮件正文描
述具体的计算机中病毒的现象。
在病毒已经激活的情况下,比较常见的病毒都可通过以上方法找到其样本文件
关于提取活性样本要注意以下方面:
必须知道样本所在的位置,也就是路径和文件名。如果是使用杀毒软件发现的样本,通常杀毒
软件会报告出病毒的位置,但为了保持活性,这时候不要使用杀毒软件的杀毒功能,一旦杀了病毒
也就失去活性了。而且需要注意杀毒软件的实时防护往往会阻止对此病毒的任何操作,所以要提取
出它还要暂时停止杀毒软件的实时防护,此时用带密码压缩的方式即可将样本安全取出。然后再打
开杀毒软件将其清除。
但如果没有杀毒软件或杀毒软件没有识别,但是感觉有中毒迹象,这个时候要找出病毒就比较
麻烦了,往往需要一些专业知识,这个我就不作说明了。但也可以借助一些辅助工具来发现未知病
毒,比如防毒软件的主动防御系统可以自动侦测出绝大多数未知木马和病毒,而且将样本举报的过
程全部自动化,这是一个不错的方法。
|