前言在本系列的导论中，我曾经在“病毒查杀方法”中简单讲解过特征码查杀这种方式。而我也在对于实际病毒的专杀工具编写中，使用过CRC32算法来对目标程序进行指纹匹配，从而进行病毒判定。一般来说，类似于MD5以及CRC32这样的算法，在病毒大规模爆发时是可以提高查杀效率的，但是传统的更为常用的方法是采用以静态分析文件的结构为主并结合动态分析的方法，通过反汇编来寻找病毒的内容代码段、入口点代码段等等信息。

前言之前在《病毒木马查杀第002篇：熊猫烧香之手动查杀》中，我在不借助任何工具的情况下，基本实现了对于“熊猫烧香”病毒的查杀。但是毕竟“熊猫烧香”是一款比较简单的病毒，它并没有采取一些特别强的自我保护技术，所以我们完全可以“徒手”解决。但是这次研究的恶意程序就没那么简单，它采取了进程保护的技术，使得我们不能够使用常规手法对其实现查杀。所以这次我引入了两个工具——icesword与autoruns，

前言这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目，是因为在日常的病毒分析工作中，每天都会遇到这类病毒样本，少则几个，多则几十个（当然了，更多的样本已经被自动分析系统拦截下来了）。而且这类的样本甚至还有愈演愈烈之势，很可能会长盛不衰。JS脚本木马之所以会如此泛滥，与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会围绕它的这三个

前言对病毒进行逆向分析，可以彻底弄清楚病毒的行为，从而采取更有效的针对手段。为了节省篇幅，在这里我不打算将“熊猫烧香”进行彻底的分析，只会讲解一些比较重要的部分，大家只要掌握了这些思想，那么就可以处理很多的恶意程序了。一般来说，对病毒的静态分析，我们采用的工具是IDAPro，动态分析则采用OllyDbg。由于后者会使病毒实际运行起来，所以为了安全起见，最好在虚拟机中操作。另外，在实际分析过程中，我

前言之前用了六篇文章的篇幅，分别从手动查杀、行为分析、专杀工具的编写以及逆向分析等方面，对“熊猫烧香”病毒的查杀方式做了讨论。相信大家已经从中获取了自己想要的知识，希望大家在阅读完这几篇文章后，能够有一种“病毒也不过如此”的感觉，更希望这些文章能够为有志于在未来参与到反病毒工作的朋友，打下坚实的理论基础。以下就是我在这几篇文章的分析中所总结出来的一些知识点，分为静态分析与动态分析两个方面进行讨论，

前言为了分析“熊猫烧香”病毒的行为，我这里使用的是ProcessMonitorv3.10版。关于这款软件的使用，可参考以下三篇文章：《文档翻译第001篇：ProcessMonitor帮助文档（Part1）》《文档翻译第002篇：ProcessMonitor帮助文档（Part2）》《文档翻译第003篇：ProcessMonitor帮助文档（Part3，附ProcessMonitor的简单演示）》行为

前言作为本系列研究的开始，我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒，主要是因为它具有一定的代表性。一方面它当时造成了极大的影响，使得无论是不是计算机从业人员，都对其有所耳闻；另一方面是因为这款病毒并没有多高深的技术，即便是在当时来讲，其所采用的技术手段也是很一般的，利用我们目前掌握的知识，足够将其剖析。因此，我相信从这个病毒入手，会让从前没有接触过病毒研究的读者打消对病毒的恐惧心

前言这次我们会接着上一篇的内容继续对病毒进行分析。分析中会遇到一些不一样的情况，毕竟之前的代码我们只要按照流程顺序一步一步往下走，就能够弄清楚病毒的行为，但是在接下来的代码中，如果依旧如此，在某些分支中的重要代码就执行不到了，所以我们需要采取一些策略，走完每个分支，彻底分析出病毒的行为。病毒分析现在程序执行到了loc_408171位置处：图1loc_408171起始处的代码程序首先进行比较操作，由

前言这次讨论的是一个真实的非常典型的利用“白加黑”手段进行破坏的团伙，我能深刻地感受到它们在很多方面确实是花了一些心思的，也就是在隐藏自身行为，诱惑纯洁的大众进行点击从而得到运行方面，是有一些亮点的，那么这次我就为大家来层层揭示一下那些比较有趣的地方。病毒作者的第一个小心思这次的样本也是我们的技术支持在N个月之前发给我分析的，是一个.rar的压缩包：压缩包里面还有一个文件夹，注意，这个文件夹可以算

上）逆向工程第004篇：跨越CM4验证机制的鸿沟（中）逆向工程第005篇：跨越CM4验证机制的鸿沟（下）逆向工程第006篇：简易游戏辅助的实现逆向工程第007篇：扫雷辅助的研究——0秒实现一键自动扫雷病毒木马查杀实战系列病毒木马查杀实战第

前言上次我们已经简单介绍过了病毒特征码提取的基本方法，那么这次我们就通过编程来实现对于病毒的特征码查杀。定义特征码存储结构为了简单起见，这次我们使用的是setup.exe以及unpacked.exe这两个病毒样本。经过上次的分析，我们对setup.exe样本的特征码提取如下：\x2a\x2a\x2a\xce\xe4\x2a\xba\xba\x2a\xc4\xd0\x2a\xc9\xfa\x2a\x

前言引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。这种病毒利用系统引导时，不对主引导区的内容正确与否进行判别的缺点，在引导系统的过程中入侵系统，驻留内存，监视系统运行，伺机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。我们未来的几次课，会专门从各个角度来分析这种病毒的特点，阐述病毒原理，提出应对方法。而本次课程的内容主要来讨论一下引导区的解析。通过W

前言经过前几次的讨论，我们对于这次的U盘病毒已经有了一定的了解，那么这次我们就依据病毒的行为特征，来编写针对于这次U盘病毒的专杀工具。专杀工具功能说明因为这次是一个U盘病毒，所以我打算把这次的专杀工具换一种形式实现。不再像前几次那样需要被动运行，而是当我们的专杀工具执行后，一旦有U盘插入，就能主动检测U盘内容，如果发现病毒，就将其删除掉，之后检查系统中是否也存在病毒，如果有，也一并清理干净。我们这

我们每天所处理的恶意文件里面，反查杀手段运用得最好的就是脚本木马，关于这类程序，我在之前的《病毒木马查杀实战第025篇：JS下载者脚本木马的分析与防御

前言    这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目，是因为在日常的病毒分析工作中，每天都会遇到这类病毒样本，少则几个，多则几十个（当然了，更多的样本已经被自动分析系统拦截下来了）。而且这类的样本甚至还有愈演愈烈之势，很可能会长盛不衰。JS脚本木马之所以会如此泛滥，与它的编写简单、易于免杀以及难以封堵等特点息息相关。而我们本次的课程也会围绕它

    本系列教程版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。前言    反病毒爱好者们很喜欢讨论的一个问题就是，如今什么样的病毒才算得上是主流，或者说什么样的病毒才是厉害的病毒呢？我们之前的课程所讲解的都是Ring3层的病毒，所以有些朋友可能会认为，那么Ring0层的病毒其实才是最厉害的，也是病毒发展的主流；或者有朋友可能

    本系列教程版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。前言    我们这次会依据上次的内容，编程实现一个Ring3层的简单的主动防御软件。整个程序使用MFC实现，程序开始监控时，会将DLL程序注入到explorer.exe进程中，这样每当有新的进程创建，程序首先会进行特征码匹配，从而判断目标程序是否为病毒程序，如果是

    本系列教程版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。前言    如果说我们的计算机中安装有杀毒软件，那么当我们有意或无意地下载了一个恶意程序后，杀软一般都会弹出一个对话框提示我们，下载的程序很可能是恶意程序，建议删除之类的，或者杀软就不提示，直接删除了；或者当我们运行了某一个程序，包含有可疑操作，比如创建开机启动项

    本系列教程版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。前言    上次我们已经简单介绍过了病毒特征码提取的基本方法，那么这次我们就通过编程来实现对于病毒的特征码查杀。 定义特征码存储结构    为了简单起见，这次我们使用的是setup.exe以及unpacked.exe这两个病毒样本。经过上次的分析，我们对setup

前言在本系列的导论中，我曾经在“病毒查杀方法”中简单讲解过特征码查杀这种方式。而我也在对于实际病毒的专杀工具编写中，使用过CRC32算法来对目标程序进行指纹匹配，从而进行病毒判定。一般来说，类似于MD5以及CRC32这样的算法，在病毒大规模爆发时是可以提高查杀效率的，但是传统的更为常用的方法是采用以静态分析文件的结构为主并结合动态分析的方法，通过反汇编来寻找病毒的内容代码段、入口点代码段等等信息。

    本系列教程版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。前言    在本系列的导论中，我曾经在“病毒查杀方法”中简单讲解过特征码查杀这种方式。而我也在对于实际病毒的专杀工具编写中，使用过CRC32算法来对目标程序进行指纹匹配，从而进行病毒判定。一般来说，类似于MD5以及CRC32这样的算法，在病毒大规模爆发时是可以提高

    本系列教程版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。前言    经过前几次的讨论，我们对于这次的U盘病毒已经有了一定的了解，那么这次我们就依据病毒的行为特征，来编写针对于这次U盘病毒的专杀工具。 专杀工具功能说明    因为这次是一个U盘病毒，所以我打算把这次的专杀工具换一种形式实现。不再像前几次那样需要被动运行，

    本系列教程版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。比对脱壳前后的程序    我们这次所要研究的是经过上次的脱壳操作之后，所获取的无壳病毒样本。其实我们这里可以先进行一下对比，看看有壳与无壳的反汇编代码的区别。首先用IDAPro载入原始病毒样本：图1    可以发现此时IDAPro的Functionwindow是空

    本系列教程版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。前言    由于我们的最终目标是编写出针对于这次的U盘病毒的专杀工具，而通过上次的分析我们知道，病毒有可能在不同的计算机中会以不同的名称进行显示，如果真是如此，那么就有必要在此分析出病毒的命名规律等特征，然后再进行查杀。 对病毒样本进行脱壳    按照常规，首先是

    本系列教程版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。在U盘中发现病毒    前段时间需要往虚拟机中拷贝点资料，如同往常一样，插上我的U盘，并且在虚拟机的设置中选择连接U盘。奇怪的是这次的连接时间较以往长，并且还出现了“自动播放”窗口：图1自动播放窗口    在扫描完后，来到了U盘的打开类型选择窗口：图2    以前

前言    通过之前的学习，相信大家已经对磁盘的引导区有了充分的认识。但是我们之前的学习都是利用现成的工具来对引导区进行解析的，而对于一名反病毒工程师而言，不单单需要有扎实的逆向分析功底，同时也需要有很强的编程能力来解决实际问题。对于我们本次的课程来说，就需要大家亲自动手，利用程序来实现引导区的解析。这样做的目的，一方面是为了提高大家的编程能力，而另一方面则有助于我们更好地理解引导区的内容。 通过

前言    引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。这种病毒利用系统引导时，不对主引导区的内容正确与否进行判别的缺点，在引导系统的过程中入侵系统，驻留内存，监视系统运行，伺机传染和破坏。按照引导型病毒在硬盘上的寄生位置又可细分为主引导记录病毒和分区引导记录病毒。我们未来的几次课，会专门从各个角度来分析这种病毒的特点，阐述病毒原理，提出应对方法。而本次课程的内容主要来讨论一下引导区的解析

    本系列文章版权归“i春秋”全部，转载请标明出处。    本文配套教程。请訪问“i春秋”（www.ichunqiu.com）。一、前言    上一篇文章解说了“熊猫烧香”病毒样本的反汇编代码入口处的分析，尽管尚未研究到病毒的核心部分，但事实上我们兴许的分析与之前的思想是一致的。而越到核心部分，可能会遇到越来越多的API函数。结合所调用函数的參数进行分析，反而有助于我们更easy地理解病毒的行

   专业：市场营销电子邮箱：[email protected]技术博客http://blog.csdn.net/ioio_jy工作经历北京永信至诚科技有限公司“i春秋”项目，担任特约讲师（兼职），主讲《病毒木马查杀实战

    本系列文章版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。一、前言    在本系列的文章中，对每一个病毒分析的最后一个部分，若无特殊情况，我都会采用逆向分析的手段来为读者彻底剖析目标病毒。但是之前的“熊猫烧香”病毒，我用了三篇文章的篇幅（每篇2500字左右）也仅仅分析了病毒的三分之一，而且还没分析到病毒的核心部分。主要也

    本系列教程版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。一、前言    恶意程序发展至今，其功能已经从最初的单纯破坏，不断发展为隐私的窥探，信息的盗取，乃至如今非常流行的“敲竹杠”病毒，用于勒索。可见随着时代的发展，病毒的作者们往往也是想利用自己的技术来获取不义之财，变得越来越功利化了。而本系列文章也顺应了这个发展，从

    本系列文章版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。一、前言    由于我已经在《病毒木马查杀第004篇：熊猫烧香之专杀工具的编写》中编写了一个比较通用的专杀工具的框架，而这个框架对于本病毒来说，经过简单修改也是基本适用的，所以本文就不讨论那些重叠的知识，只针对这个病毒特有的方面来讨论专杀工具的编写，然后将其进行组

    本系列文章版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。一、前言    按照我的个人习惯，在运用诸如IDAPro与OllyDBG对病毒进行逆向分析之前，我都会利用一些自动化的工具，通过静态或动态的分析方法（参见《病毒木马查杀第008篇：熊猫烧香之病毒查杀总结》）来对病毒的行为产生一定的认识，这样在之后的逆向分析中，我就

    本系列文章版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。一、前言    之前在《病毒木马查杀第002篇：熊猫烧香之手动查杀》中，我在不借助任何工具的情况下，基本实现了对于“熊猫烧香”病毒的查杀。但是毕竟“熊猫烧香”是一款比较简单的病毒，它并没有采取一些特别强的自我保护技术，所以我们完全可以“徒手”解决。但是这次研究的恶

    本系列文章的版权归“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。前言    之前用了六篇文章的篇幅，分别从手动查杀、行为分析、专杀工具的编写以及逆向分析等方面，对“熊猫烧香”病毒的查杀方式做了讨论。相信大家已经从中获取了自己想要的知识，希望大家在阅读完这几篇文章后，能够有一种“病毒也不过如此”的感觉，更希望这些文章能够为有志

    本系列文章版权归“I春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。一、前言    这次我们会接着上一篇的内容继续对病毒进行分析。分析中会遇到一些不一样的情况，毕竟之前的代码我们只要按照流程顺序一步一步往下走，就能够弄清楚病毒的行为，但是在接下来的代码中，如果依旧如此，在某些分支中的重要代码就执行不到了，所以我们需要采取一些策略，

    本系列文章版权归“i春秋”所有，转载请标明出处。    本文配套教程，请访问“i春秋”（www.ichunqiu.com）。一、前言    上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析，虽然尚未研究到病毒的核心部分，但其实我们后续的分析与之前的思想是一致的。而越到核心部分，可能会遇到越来越多的API函数，结合所调用函数的参数进行分析，反而有助于我们更容易地理解病毒的行为。应

    本系列文章的版权归“i春秋”所有，转载请注明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。一、前言    对病毒进行逆向分析，可以彻底弄清楚病毒的行为，从而采取更有效的针对手段。为了节省篇幅，在这里我不打算将“熊猫烧香”进行彻底的分析，只会讲解一些比较重要的部分，大家只要掌握了这些思想，那么就可以处理很多的恶意程序了。一般来说，对病毒的静态分析，我们

    本系列文章版权为“i春秋”所有，转载请标明出处。    本文配套视频教程，可访问“i春秋”（www.ichunqiu.com）。一、前言    如果是非感染型的病毒，完成行为分析之后，就可以开始编写专杀工具了。当然对于我们这次研究的对象——“熊猫烧香”来说，其实通过之前的行为分析，我们并没有得出它的所有恶意行为，毕竟还没有对其进行逆向分析。所以这里仅针对我们上一篇文章所得出的结果，来进行专

     本系列文章的版权为“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。一、前言    为了分析“熊猫烧香”病毒的行为，我这里使用的是ProcessMonitorv3.10版。关于这款软件的使用，可参考以下三篇文章：     《文档翻译第001篇：ProcessMonitor帮助文档（Part1）》     《文档翻译第002篇：

    本系列文章的版权为“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。一、前言    作为本系列研究的开始，我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒，主要是因为它具有一定的代表性。一方面它当时造成了极大的影响，使得无论是不是计算机从业人员，都对其有所耳闻；另一方面是因为这款病毒并没有多高深的技术，即便是在当时来讲

    本系列文章的版权为“i春秋”所有，转载请标明出处。    本文配套视频教程，请访问“i春秋”（www.ichunqiu.com）。一、前言    《病毒木马查杀》系列以真实的病毒木马（或统称为恶意程序）为研究对象，通过现有的技术手段对其分析，总结出它的恶意行为，进而制定出相应的应对方法（如编写专杀工具），对其彻底查杀。当然，本系列更多地是讨论如何应对某一个特定的病毒，而不涉及广义的杀毒软件

FIFA07传奇模式逆向工程第002篇：打造自己的仙剑奇侠逆向工程第003篇：跨越CM4验证机制的鸿沟（上）逆向工程第004篇：跨越CM4验证机制的鸿沟（中）逆向工程第005篇：跨越CM4验证机制的鸿沟（下）病毒木马查杀实战系列病毒木马查杀实战第