計算機病毒常用分析方法

2016-05-13 13:50:19 大云網　點擊量：評論 (0)

隨著企業信息化程度的不斷提高，信息安全越來越受到重視，防病毒更是其中的重點。從以往的經驗來看，一旦感染病毒，其損失往往是無法用金錢來衡量的。作為信息從業人員，我們雖然可以依靠殺毒軟件來完成主要的

隨著企業信息化程度的不斷提高，信息安全越來越受到重視，防病毒更是其中的重點。從以往的經驗來看，一旦感染病毒，其損失往往是無法用金錢來衡量的。作為信息從業人員，我們雖然可以依靠殺毒軟件來完成主要的防病毒任務，但在一些特定的情況下，仍然非常有必要掌握手動分析查殺病毒的知識。這里以在我公司局域網中發現的svchost.exe病毒為例，介紹一下病毒的常用分析方法。

日前，信息中心工作人員陸續接到一些用戶報告，稱其電腦運行緩慢，IE時常彈出異常界面，殺毒軟件卻無任何提示。在查看了感染電腦后，我們手動殺掉了這個病毒，并找到了一個樣本，放到純凈Windows XP系統的虛擬機（建立一個初始快照）中進行分析。

進程分析

在虛擬機中運行病毒后，可以使用XueTr來查看進程，如圖1所示。

圖1

XueTr是一款優秀的ARK（Anti RootKit）工具，功能非常強大，除查看進程之外，其他功能讀者可以自己去嘗試。我們看到，微軟官方的進程都呈現黑色，其他廠商的進程都呈現藍色。注意“文件廠商”一欄，“MS User”的兩個進程非常的可疑，使用“數字簽名”校驗功能，發現文件未通過簽名，由此可以確定這兩個進程為病毒嫌疑進程。值得一提的是，該病毒使用了進程守護技術，在windows系統任務管理器中結束一個進程，另一個進程檢測到之后，還會立即將被結束的進程“復活”，利用XueTr工具可以同時殺掉兩個進程。

文件分析

還原windows xp系統初始快照，打開Filemon工具，指定過濾字符為“svchost”，再次運行病毒，我們注意到兩個病毒進程文件的屬性為HS（隱藏、系統），并分別觀察到了它們創建的路徑，如圖2所示。