手工分析恶意软件相关经验总结

原文地址：http://forums.microsoft.com/china/ShowPost.aspx?PostID=4188063&SiteID=15

 

         一 设置NT系统的访问权限
       NT系统的权限可以按照读取，写入和修改来区分。使用这些基于用户的权限我们防止恶意软件修改用户数据。亦可以通过禁止读取权限来放置非授权用户访问。

      设置权限可以防止病毒进一步感染破坏可移动载体的修复工具。同时设置权限还可以放置部分工具被杀毒软件误杀。

 

注释： 设置权限需要禁用位于“资源管理器→工具→文件夹选项→查看→使用简单文件夹共享（推荐）“虽然这个选项用来快速建立网络共享，但此设置打开时系统会隐藏“安全”选项卡。

 

                                                                  二常用的手工杀毒工具

ICESWORD（冰刃）：老牌进程分析工具。
System Repair Engineer：老牌系统修复，调整工具。同时可以独立处理映像劫持和NTFS流数据，签名文件扫描。
Autoruns：系统启动项修复管理软件，可手工调整系统启动项。亦可以修复部分启动模式的映像劫持。
PowerRmv：用来清理正在运行进程的强力杀灭工具，可强力阻止文件再生。
Rootkit Unhooker LE：清除Rootkit信息，清理基于Rootkit技术隐藏的恶意信息。
Wsyscheck：Wangsea制作的手工分析工具，用来简化恶意软件分析清理工作。
ScanVirus： PE（预安装环境）分析工具，同样是Wangsea大哥制作的。其独到的定向系统分析功能可选择修复目标系统。
Killer2.0：批量结束进程的高优先级工具。

慧眼1.6： 高强度脱壳修复工具，修复全盘感染病毒。

 

工具介绍 {此部分会引入部分帮助文件，在此对作者表示感谢}
 
（一）Wsyscheck基本功能简单介绍:

关于Wsyscheck的颜色显示

进程页：红色表示非微软进程,紫红色表示虽然进程是微软进程,但其模块中有非微软的文件。
服务页：红色表示该服务不是微软服务,且该服务非.sys驱动。（最常见的是.exe与.dll的服务，木马大多使用这种方式）。使用“检查键值”后，蓝色显示的是有键值保护的随系统启动的驱动程序。它们有可能是杀软的自我保护，也有可能是木马的键值保护。在取消了“模块、服务简洁显示”后，查看第三方服务可以点击标题条”文件厂商”排序，结合使用“启动类型”、“修改日期”排序更容易观察到新增的木马服务。
    在使用“软件设置”-“校验微软文件签名”后，紫红色显示未通过微软签名的文件。同时，在各显示栏的"微软文件校验"会显示Pass与no pass。(可以据此参考是否是假冒微软文件，注意的是如果紫红色显示过多，可能是你的系统是网上常见的Ghost精简版，这些版本可能精简掉了微软签名数据库所以结果并不可信)

SSDT管理页：
  默认显示全部的SSDT表，红色表示内核被HOOK的函数。查看第三方模块，可以点击两次标签“映像路径”排序，则第三方HOOK的模块会排在一起列在最前面。也可以取消“全部显示”,则仅显示入口改变了的函数。
  SSDT页的“代码异常”栏如显示“YES”,表明该函数被Inline Hook。如果一个函数同时存在代码HOOK与地址HOOK,则对应的模块路径显示的是Inline Hook的路径，而使用“恢复当前函数代码”功能只恢复Inline Hook，路径将显示为地址HOOK的模块路径，再使用“恢复当前函数地址”功能就恢复到默认的函数了。
  发现木马修改了SSDT表时请先恢复SSDT，再作注册表删除等操作。

活动文件页：红色显示的常规启动项的内容。

关于进程的结束后的反复创建

   使用进程页的“禁止程序运行”，这个功能就是流行的IFEO劫持功能，我们可以使用它来屏蔽一些结束后又自动重新启动的程序。通过禁用它的执行来清理文件。解除禁用的程序用“安全检查”页的“禁用程序管理”功能，所以在木马使用IFEO劫持后也可以“禁用程序管理”中恢复被劫持的程序。

Wsyscheck可以使用的参数说明:

  Wsyscheck可以带参数运行以提高自身的优先级
  Wsyscheck 1 高于标准  Wsyscheck 2 高  Wsyscheck 3 实时
  Wsyscheck -f wsyscheck将恢复部份查询类的SSdt表中的函数,然后退出。
  Wsyscheck -s 在-f的基础上执行创建安全环境后退出。

  如将Wsyscheck.exe更名，则Wsyscheck启动后先恢复执行部份查询类的SSdt表中的函数，其恢复结果可以在SSdt显示页下面的Auto Restore中看到。不更名则不带此功能。另外，更名后Wsyscheck将使用随机驱动名来释放驱动。

 

                                                                            三基本命令行工具

Attrib ：为了隐藏自身文件很多恶意软件会隐藏可移动载体中的部分或者全部目录。可使用Attrib的"/s /d"参数可以处理文件夹和子文件还原属性。

NET：这里分为net start ，net stop 命令。他们可以很方便的管理用户进程。手工杀毒的时候用来关闭恶意软件服务。

 

                                                                           四 常规进程分析

 1.进程初步简介

        一般来说进程可以分为3中。一种是系统调用，一种是应用程序进程，最后一种是服务进程。

系统进程分析一般采取以下方式：

    1.签名：数字签名是我们判断进程是否正常的第一个比较稳妥的方式

    2.名称：很多进程采用相似的文件名来欺骗用户。这需要对系统常规进程有一定了解。

    3.路径：重点路径：用户临时文件夹，system32。

    4.模块分析：通过wsyscheck等工具识别进程中调用的模块。

    5.进程用户名：一般来说用户级进程比较多。系统进程中出现应用进程则需要重点分析。

   

  2.进程处理方式

       对于用户机手工处理前建议关闭所有的防御软件和防火墙。这样做的目的是防止同时出现系统核心调用冲突，同时也可以防止杀毒软件误杀处理工具并进一步减小进程数量方便分析。 对于病毒进程的处理建议采用3部法。1.查系统进程中的恶意模块 2.关闭恶意进程服务 3.处理运行中的进程并删除病毒僵尸。补充说下部分工具提供所谓的''安全模式''(关闭全部非系统进程)这种方式对处理家用机比较合适。

       有兄弟说到签名的分析。其实进程的数字签名这部分一般来说我们需要分析的仅仅是微软进程和第三方进程的区别。有几种种情况例外

      1.特殊行业专用机（银行，财务，服务器等）；

      2.影子系统，网吧维护管理系统，数据库相关系统；

      3.驱动级或系统级旁路检测和进程守护系统；

      4.商业办公系统，联机协作系统

       这些系统中有可能有第三方签名。签名一般都是以公司名称为主，且基本只有商业软件才会有。一般仅仅作为分析病毒源，排除PE感染的exe病毒僵尸时使用。

 

~~~插文：重点进程介绍（补充中）~~~~~

svchost：此进程在xp系统里应该不超过6个。

iexplorer：进程不应该在开机时出现。网页传播病毒一般会创建此进程。

winlogon：此进程多被病毒用来做启动感染。一般中毒后会出现两个。

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

                                              五 工具的选择 
       有朋友谈到工具的好坏，其实这里面有一个习惯问题。这里分为两种习惯，一个是使用者习惯，一个是恶意软件的习惯。虽然一个工具你可以玩的炉火纯青，但是如果碰到一个专门针对这个软件的恶意软件，那么你的工作很可能会事倍功半。所以我认为软件本身并没有好坏，虽然会因为作者的取向导致功能的差异。但是基础维护需要的功能基本都差不多。
       在我看来Sysinternals的一系列命令行工具工具和Icesword的差别在于Icesword这个工具对进程优先级比较铭感。更适合处理恶意进程。但也不是绝对的。Sysinternals工具中网络部分，启动管理部分还是相当不错的。

 

 

――――――――――――――――――――――――――――――――――――

          相关内容如果有疑问和建议欢迎大家一起讨论内容还在更新，如果缺少什么部分可以直接回复。小弟写完一章后更新。因为学校没有网络环境所以不能及时回复请大家见谅。