计算机病毒常用分析方法
随着企业信息化程度的不断提高,信息安全越来越受到重视,防病毒更是其中的重点。从以往的经验来看,一旦感染病毒,其损失往往是无法用金钱来衡量的。作为信 息从业人员,我们虽然可以依靠杀毒软件来完成主要的
随着企业信息化程度的不断提高,信息安全越来越受到重视,防病毒更是其中的重点。从以往的经验来看,一旦感染病毒,其损失往往是无法用金钱来衡量的。作为信 息从业人员,我们虽然可以依靠杀毒软件来完成主要的防病毒任务,但在一些特定的情况下,仍然非常有必要掌握手动分析查杀病毒的知识。这里以在我公司局域网 中发现的svchost.exe病毒为例,介绍一下病毒的常用分析方法。
日前,信息中心工作人员陆续接到一些用户报告,称其电脑运行缓慢,IE时常弹出异常界面,杀毒软件却无任何提示。在查看了感染电脑后,我们手动杀掉了这个病毒,并找到了一个样本,放到纯净Windows XP系统的虚拟机(建立一个初始快照)中进行分析。
进程分析
在虚拟机中运行病毒后,可以使用XueTr来查看进程,如图1所示。
图1
XueTr是 一款优秀的ARK(Anti RootKit)工具,功能非常强大,除查看进程之外,其他功能读者可以自己去尝试。我们看到,微软官方的进程都呈现黑色,其他厂商的进程都呈现蓝色。注 意“文件厂商”一栏,“MS User”的两个进程非常的可疑,使用“数字签名”校验功能,发现文件未通过签名,由此可以确定这两个进程为病毒嫌疑进程。值得一提的是,该病毒使用了进 程守护技术,在windows系统任务管理器中结束一个进程,另一个进程检测到之后,还会立即将被结束的进程“复活”,利用XueTr工具可以同时杀掉两 个进程。
文件分析
还原windows xp系统初始快照,打开Filemon工具,指定过滤字符为“svchost”,再次运行病毒,我们注意到两个病毒进程文件的属性为HS(隐藏、系统),并分别观察到了它们创建的路径,如图2所示。
责任编辑:大云网
免责声明:本文仅代表作者个人观点,与本站无关。其原创性以及文中陈述文字和内容未经本站证实,对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺,请读者仅作参考,并请自行核实相关内容。
我要收藏
个赞
-
发电电力辅助服务营销决策模型
2019-06-24电力辅助服务营销 -
绕过安卓SSL验证证书的四种方式
-
网络何以可能
2017-02-24网络