Small Virus分析过程

1、下载安装sandboxie软件，使用sandboxie软件运行病毒文件，避免对操作系统进行损坏，注意每次运行后最好重新建新的sandbox避免因病毒运行后现象无法复现。

沙盘Sandboxie允许你在沙盘环境中运行浏览器或其他程序，因此运行所产生的变化可以随后删除。可用来消除上网、运行程序的痕迹，也可用来还原收藏夹、主页、注册表等。即使在沙盘进程中下载的文件，也会随着沙盘的清空而删除。此软件在系统托盘中运行，如果想启动一个沙盘进程，请通过托盘图标(而不要用原方式)启动浏览器或相应程序。

2、下载安装Procmon，使用Procmon对进程进行监控，如过滤条件为process name contains VIRUSNAME 并且 Operation contains CreateFile WriteFile CreateProces RegSetValue等函数，监控病毒文件的行为，主要关注注册表和文件操作行为。

3、发现行为后进一步判断使用了哪些函数并使用od,ida进行病毒样本的动态，静态分析。

4、输出病毒行为报告，并对感染的计算机进行病毒和残余文件进行删除。

我分析的一个病毒行为：

双击运行后在C:\WINDOWS\system32\79A849目录下建一个exe文件，同时创建进程执行此exe文件，同时在C:\Documents and Settings\jiayanhui\「开始」菜单\程序\启动中加入快捷方式用于开机自启动，具体此exe文件的行为待分析，要删除时需要将病毒文件删除，新建立的exe文件删除，同时删除启动项中的开机自启动内容。