計算機病毒常用分析方法
隨著企業信息化程度的不斷提高,信息安全越來越受到重視,防病毒更是其中的重點。從以往的經驗來看,一旦感染病毒,其損失往往是無法用金錢來衡量的。作為信 息從業人員,我們雖然可以依靠殺毒軟件來完成主要的
日前,信息中心工作人員陸續接到一些用戶報告,稱其電腦運行緩慢,IE時常彈出異常界面,殺毒軟件卻無任何提示。在查看了感染電腦后,我們手動殺掉了這個病毒,并找到了一個樣本,放到純凈Windows XP系統的虛擬機(建立一個初始快照)中進行分析。
進程分析
在虛擬機中運行病毒后,可以使用XueTr來查看進程,如圖1所示。
圖1
XueTr是 一款優秀的ARK(Anti RootKit)工具,功能非常強大,除查看進程之外,其他功能讀者可以自己去嘗試。我們看到,微軟官方的進程都呈現黑色,其他廠商的進程都呈現藍色。注 意“文件廠商”一欄,“MS User”的兩個進程非常的可疑,使用“數字簽名”校驗功能,發現文件未通過簽名,由此可以確定這兩個進程為病毒嫌疑進程。值得一提的是,該病毒使用了進 程守護技術,在windows系統任務管理器中結束一個進程,另一個進程檢測到之后,還會立即將被結束的進程“復活”,利用XueTr工具可以同時殺掉兩 個進程。
文件分析
還原windows xp系統初始快照,打開Filemon工具,指定過濾字符為“svchost”,再次運行病毒,我們注意到兩個病毒進程文件的屬性為HS(隱藏、系統),并分別觀察到了它們創建的路徑,如圖2所示。
免責聲明:本文僅代表作者個人觀點,與本站無關。其原創性以及文中陳述文字和內容未經本站證實,對本文以及其中全部或者部分內容、文字的真實性、完整性、及時性本站不作任何保證或承諾,請讀者僅作參考,并請自行核實相關內容。
我要收藏
個贊
-
網絡何以可能
2017-02-24網絡 -
計算機病毒常用分析方法
2016-05-13 -
現代火車漏洞多多 入侵并非難事
