寫完第一課的時候,老爸朋友的電腦出現問題了,就順手幫忙看了一下,但這一看就在他電腦上折騰了半天,因爲他是政府機關的,電腦裏有不少的總要東西,只好在一點一點地給他弄。最後在他的機器里弄了個U盤病毒樣本作爲這節課的目標!哈哈,好了不多說了,GO GO GO。。。
病毒在我電腦了幹了什麼?或許很多人都不會去了解,因爲現在的殺毒軟件普及不錯,特別是360推出殺毒軟件後,很少人會手動去殺它,那麼今天我們就來看看。
其實看病毒在我們機子裏幹了什麼,有很多方法,例如:系統診斷報告比較,註冊表對比,端口通信對比,字符串分析以及SSM動態分析等!
好的,我們先來看一下我們今天要用到的軟件,
sreng
UltraCompare
regshot32
***輔助查找器
軟件的介紹呢我就不再這裏說了,如果不認識他們的可以Google一下,
那麼我們現在就開始,我們先用診斷報告比較法來看看我們的病毒到底給我的電腦做了什麼?(注意一點的是我的測試在虛擬機裏實現的!這樣可以 避免我的機器也感染了病毒!虛擬機相關教程請各位Google一下)
首先我們打開sreng ,然後選擇【智能掃描】,然後保持默認選擇,再按【掃描】按鈕,(如圖一)
(圖一)
(圖二,自能掃描中)
(圖三,掃描完成)
在掃描完成後,我們點擊(圖三)中的保存報告,將剛剛掃描的記過保存到桌面,(名字爲測試1),然後運行我們的病毒樣本,運行好了以後,我們可以稍等十來秒,讓病毒好好地運行起來,因爲有些病毒是有延遲運行的,好了我們再一次重複剛剛的動作,再一次運行智能掃描,然後保存結果到桌面(名字爲測試2)!
緊張的時刻來了,我們打開今天的重要軟件UltraCompare(如圖四),爲什麼說他重要呢,因爲他可以幫組我們從兩個保存的掃描結果中找出不相同的地方,這樣可以幫我們減輕很多。
(圖四)
(圖五)
然後選擇【文件】—【打開第一個】把我們保存的測試一打開,然後我們繼續操作,【文件】—【打開第二個】把我們的另一個掃描結果打開,然後點擊![]()
即可進行對比。然後我們在軟件的下方可以看到對比的結果,提示說264行是相同的,五行是不一樣的,也就是說病毒運行後,對系統的改變有5處,(如圖六),
即可進行對比。然後我們在軟件的下方可以看到對比的結果,提示說264行是相同的,五行是不一樣的,也就是說病毒運行後,對系統的改變有5處,(如圖六),
(圖六)
那麼這個只是一個概述,具體那裏是病毒的足跡,我們可以從對比框中清楚看到。請看下圖
(如圖七 紅色部分爲病毒的痕跡)
OK,根據上面的結果,我們就可以開始清除他了,但是清除他不是我們今天主要的任務,我們還是繼續吧!可能有些朋友會說了,那繼續我們還有什麼要弄的,那就是看一下我們的註冊表,因爲有些病毒你就這樣清除還不行,還要把註冊表項幹掉,所以我們繼續看看他對我們的組冊表搞了什麼。下面我們來看一下regshot32這一款軟件,(如圖八)
(圖八)
在做這個實驗之前,請各位先把虛擬機回覆到乾淨狀態,然後選擇在軟件上選擇好報告保存的文件夾路徑以及名字,然後就按下【快照A】—【全部註冊表】,按下【快照A】後,我們運行我們的病毒,稍等N秒後,我們按下【快照B】—【全部註冊表】,然後軟件會自通彈出一個【快照綜合報告】,(如圖九)
(圖九)
在【快照綜合報告】裏還詳細地列出了增加了的鍵 增加了的值以及被修改過的值,那麼這樣對於我們來說清除病毒就更加簡單了!
最後,我再介紹一款軟件給大家,那就是註明***——灰鴿子作者所寫的一款軟件:***輔助查找器,使用他我們也可以發現病毒在我們電腦裏幹了些什麼。詳細操作請看下面,
首先打開軟件,然後選擇【其他工具】,並按照圖片上所顯示的那樣,把所有的對勾都打上,點擊【開始監控】,然後就運行我們的病毒,在稍等N秒後點擊停止。把監控結果框裏的東西,點擊右鍵—全選,然後粘貼到記事本里,這樣就可以更直觀地看到病毒壞蛋對我的電腦做了什麼了!
——————————————————————
最後結果:
1,運行後複製自己到各個分區根目錄下,同時生產autoruns.inf,實現雙擊分區啓動病毒
2,copy自己到windows,c:/windows/SVCHOST.EXE,運行之,釋放c:/windows/MDM.EXE。
3,添加啓動項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SVCHOST c:\windows\mdm.exe
這個病毒很簡單,不知道目的是什麼,可能是想傳播遠控的server,
2,copy自己到windows,c:/windows/SVCHOST.EXE,運行之,釋放c:/windows/MDM.EXE。
3,添加啓動項:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SVCHOST c:\windows\mdm.exe
這個病毒很簡單,不知道目的是什麼,可能是想傳播遠控的server,
--------------------------------------------------------------------------
好了,這一節的內容就到這裏,謝謝大家!由於技術有限,如有錯誤之處請指正!
(注意:附件爲本次用的病毒樣品,爲了安全起見,建議在虛擬機上運行!)