注:本文同时在51cto论坛―》黑客攻防板块同步更新 !
写完第一课的时候,老爸朋友的电脑出现问题了,就顺手帮忙看了一下,但这一看就在他电脑上折腾了半天,因为他是政府机关的,电脑里有不少的总要东西,只好在一点一点地给他弄。最后在他的机器里弄了个U盘病毒样本作为这节课的目标!哈哈,好了不多说了,GO GO GO。。。
病毒在我电脑了干了什么?或许很多人都不会去了解,因为现在的杀毒软件普及不错,特别是360推出杀毒软件后,很少人会手动去杀它,那么今天我们就来看看。
其实看病毒在我们机子里干了什么,有很多方法,例如:系统诊断报告比较,注册表对比,端口通信对比,字符串分析以及SSM动态分析等!
好的,我们先来看一下我们今天要用到的软件,
sreng
UltraCompare
regshot32
木马辅助查找器
软件的介绍呢我就不再这里说了,如果不认识他们的可以Google一下,
那么我们现在就开始,我们先用诊断报告比较法来看看我们的病毒到底给我的电脑做了什么?(注意一点的是我的测试在虚拟机里实现的!这样可以 避免我的机器也感染了病毒!虚拟机相关教程请各位Google一下)
首先我们打开sreng ,然后选择【智能扫描】,然后保持默认选择,再按【扫描】按钮,(如图一)
(图一)
(图二,自能扫描中)
(图三,扫描完成)
在扫描完成后,我们点击(图三)中的保存报告,将刚刚扫描的记过保存到桌面,(名字为测试1),然后运行我们的病毒样本,运行好了以后,我们可以稍等十来秒,让病毒好好地运行起来,因为有些病毒是有延迟运行的,好了我们再一次重复刚刚的动作,再一次运行智能扫描,然后保存结果到桌面(名字为测试2)!
紧张的时刻来了,我们打开今天的重要软件UltraCompare(如图四),为什么说他重要呢,因为他可以帮组我们从两个保存的扫描结果中找出不相同的地方,这样可以帮我们减轻很多。
(图四)
(图五)
然后选择【文件】―【打开第一个】把我们保存的测试一打开,然后我们继续操作,【文件】―【打开第二个】把我们的另一个扫描结果打开,然后点击
即可进行对比。然后我们在软件的下方可以看到对比的结果,提示说264行是相同的,五行是不一样的,也就是说病毒运行后,对系统的改变有5处,(如图六),
(图六)
那么这个只是一个概述,具体那里是病毒的足迹,我们可以从对比框中清楚看到。请看下图
(如图七 红色部分为病毒的痕迹)
OK,根据上面的结果,我们就可以开始清除他了,但是清除他不是我们今天主要的任务,我们还是继续吧!可能有些朋友会说了,那继续我们还有什么要弄的,那就是看一下我们的注册表,因为有些病毒你就这样清除还不行,还要把注册表项干掉,所以我们继续看看他对我们的组册表搞了什么。下面我们来看一下regshot32这一款软件,(如图八)
(图八)
在做这个实验之前,请各位先把虚拟机回复到干净状态,然后选择在软件上选择好报告保存的文件夹路径以及名字,然后就按下【快照A】―【全部注册表】,按下【快照A】后,我们运行我们的病毒,稍等N秒后,我们按下【快照B】―【全部注册表】,然后软件会自通弹出一个【快照综合报告】,(如图九)
(图九)
在【快照综合报告】里还详细地列出了增加了的键 增加了的值以及被修改过的值,那么这样对于我们来说清除病毒就更加简单了!
最后,我再介绍一款软件给大家,那就是注明木马――灰鸽子作者所写的一款软件:木马辅助查找器,使用他我们也可以发现病毒在我们电脑里干了些什么。详细操作请看下面,
首先打开软件,然后选择【其他工具】,并按照图片上所显示的那样,把所有的对勾都打上,点击【开始监控】,然后就运行我们的病毒,在稍等N秒后点击停止。把监控结果框里的东西,点击右键―全选,然后粘贴到记事本里,这样就可以更直观地看到病毒坏蛋对我的电脑做了什么了!
――――――――――――――――――――――
最后结果:
1,运行后复制自己到各个分区根目录下,同时生产autoruns.inf,实现双击分区启动病毒
2,copy自己到windows,c:/windows/SVCHOST.EXE,运行之,释放c:/windows/MDM.EXE。
3,添加启动项:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SVCHOST c:\windows\mdm.exe
这个病毒很简单,不知道目的是什么,可能是想传播远控的server,
--------------------------------------------------------------------------
好了,这一节的内容就到这里,谢谢大家!由于技术有限,如有错误之处请指正!
(注意:附件为本次用的病毒样品,为了安全起见,建议在虚拟机上运行!)