危险漫步博客
新鲜的“黑客思维”就是从全新的角度看待黑客技术,从更高的层面去思考;专注于黑客精神及技术交流分享的独立博客。
文章2304 浏览17813585

病毒分析你也行

今天危险漫步本来想下载个软件,没想到点错了,下载了一个114网站导航。

下完后双击打开,就出现了一个IE的快捷方式,打开后是114网址导航,这个猥琐的流氓。用金山卫士就可以解决,但不是所有的问题杀毒软件都可以解决。想要完美的杀掉病毒,我们自己还是要有独立分析病毒行为特征的能力,从而做到知己知彼,百战不殆。于是就有了这篇文章,希望看完这篇文章每个人都可以一步步分析病毒行为特征。

一、工具

想要事倍功半,就得有趁手的武器,regshot、filemon、ssm、ollydbg、sreng,是很好的选择。由于都是比较常用的工具,这里就不提供了。

二、分析过程

1.sreng分析

虚拟机里,用sreng获取病毒执行前的诊断报告。之后运行病毒文件,在用sreng获取系统诊断报告,比较后就可以找到病毒文件的位置和名称。

2.注册表快照比较

在干净的虚拟机里运行regshot,点击快照一生成快照,运行病毒后点击快照二,在点击

比较,就可以获取病毒运行前后注册表的变化。

3.filemon文件分析

在干净的虚拟机里打开filemon,设置过滤条件,开始捕获事件。

4.ollydbg分析字符串

运行ollydbg,打开病毒样本,点击右键,选“超级字符串参考”下的查找ascii。

这流氓劫持了IE快捷方式,还有firefox,360se,tt,chrome。打开,就是这个猥琐的网址了。

在虚拟机里安装ssm,运行病毒文件就会产生的效果。     

这些工作都做完后根据比较分析就可以轻松的揪出幕后黑手,我们每个人都可以杀掉病毒了。