今天危险漫步本来想下载个软件,没想到点错了,下载了一个114网站导航。
下完后双击打开,就出现了一个IE的快捷方式,打开后是114网址导航,这个猥琐的流氓。用金山卫士就可以解决,但不是所有的问题杀毒软件都可以解决。想要完美的杀掉病毒,我们自己还是要有独立分析病毒行为特征的能力,从而做到知己知彼,百战不殆。于是就有了这篇文章,希望看完这篇文章每个人都可以一步步分析病毒行为特征。
一、工具
想要事倍功半,就得有趁手的武器,regshot、filemon、ssm、ollydbg、sreng,是很好的选择。由于都是比较常用的工具,这里就不提供了。
二、分析过程
1.sreng分析
在虚拟机里,用sreng获取病毒执行前的诊断报告。之后运行病毒文件,在用sreng获取系统诊断报告,比较后就可以找到病毒文件的位置和名称。
2.注册表快照比较
在干净的虚拟机里运行regshot,点击快照一生成快照,运行病毒后点击快照二,在点击
比较,就可以获取病毒运行前后注册表的变化。
3.filemon文件分析
在干净的虚拟机里打开filemon,设置过滤条件,开始捕获事件。
4.ollydbg分析字符串
运行ollydbg,打开病毒样本,点击右键,选“超级字符串参考”下的查找ascii。
这流氓劫持了IE快捷方式,还有firefox,360se,tt,chrome。打开,就是这个猥琐的网址了。
在虚拟机里安装ssm,运行病毒文件就会产生的效果。
这些工作都做完后根据比较分析就可以轻松的揪出幕后黑手,我们每个人都可以杀掉病毒了。