|
| 首页 >> 『 电脑应用 』 >> 【 原创精华 】 |
| [图文]跟偶学分析病毒木马 |
| 作者 网络vs浪子 查看 2711 发表时间 2007/2/1 23:48 【论坛浏览】 |
|
好了废话不多说进入正题lzgx lzgx 准备工作:lzgx 1.下载安装影子系统(PowerShadow)。下载地址:http://bbs.20lz.com/viewthread.php?tid=2011(当然你也可能用虚拟机,不过好像慢了一点,好处就是不怕重启!)lzgx 2.下载安装完美卸载 v2007 完整版 下载地址:http://bbs.20lz.com/viewthread.php?tid=1996(用处看完文章你就明白了)lzgx 3.SREng2 与 autoruns8.5 (SREng2本版置顶有,autoruns8.5 附件会上传)lzgx 4.当然是偶们的病毒木马样本了!(本版置顶有个病毒木马专帖,里面有一些,今天偶们就拿第一只盗Q木马进行测试)lzgx 准备工作做好后进入实机分析喽!lzgx 1.运行影子系统(PowerShadow)-运用设置-启动完全影子模式-启动!(如图1)lzgx  lzgxlzgx lzgx 进一会儿系统就进入保护状态!(要想分析病毒,当然是先保护好自己的系统不被病毒感染喽!再说偶们也不知道这病毒的斤两,当然要完全保护偶们的磁盘喽!当然如果你有未卜先知的能力就可以选择单一模式了,不然碰到像熊猫烧香的东东,不就玩完^_^)lzgx 2.autoruns8.5 软件会自行扫描系统的所有启动项,然后点击文件-另存为,保存扫描日志(等下用到)lzgx lzgx 3.运行 完美卸载 v2007 完整版-安装监视-全面监视!(如图2)lzgx  lzgxlzgx lzgx 软件就会扫描系统现有的数据,稍等片刻还不要运行样本,软件扫描完成会提示你开始安装程序(如图3)lzgx  lzgxlzgx lzgx 点击确定,开始运行样本。因为病毒运行后都是无声无息的,偶们自己感觉已经运行完毕就可以点击,停止监视!图4 (大部份病毒木马都是一分钟内运行完毕,有一些变态下载者就会时间很长,自己感觉一下系统的变化,或者查看一下进程,多试几次就会掌握时间)lzgx  lzgxlzgx lzgx 这样软件就会进行分析,偶们就可以先去喝一杯茶再过来!(注:有软件分析时间比较长,最好还是不要对系统创建、或删除文件,还是不动系统最好)lzgx lzgx 软件分析完毕后就会提示,偶们点击确定,就到C:\Uninstall目录下找该时间创建的INI后缀的文件,用记事本打开(如图5)lzgx  lzgxlzgx lzgx 像“System\CurrentControlSet\Services\KPfwSvc”这种就是注册表路径(省略了注册表五个根项名,偶们一般就到HKEY_LOCAL_MACHINE下找!)lzgx [FileList] 就是创建的文件列表!(有一些是系统生成的无用信息)lzgx 偶们看看是否有这些文件。lzgx 什么,你找不到?那就要看看你有没有设置显示隐藏、系统文件?病毒木马文件大部份是隐藏、系统文件的属性的!不然为什么会有那么多病毒木马要破坏该功能!(工具-文件夹选项,去掉 隐藏受保护的操作系统文件(推荐)、隐藏已知文件类型的扩展名与选中显示所有文件和文件夹)如图6lzgx  lzgxlzgx lzgx [CLSID]lzgx Item0={6DDFF066-F066-DDFA-66DD-066DF066DDFA} (也是注册表项,偶们可以搜索一下注册表)lzgx lzgx 偶们有时会遇到不明白的东东时就可以百度一下,如“System\CurrentControlSet\Services\KPfwSvc\Start”偶们不知道它创建这个键值有什么用,就百度“System\CurrentControlSet\Services\KPfwSvc\Start”或“start = 00000004”,就会知道,原来这个键值是禁止服务的,KPfwSvc偶们再搜索下,喔,原来是金山毒霸个人防火墙,那偶就知道该病毒禁止了金山毒霸个人防火墙!(相关文件也是如此)lzgx lzgx ps:有时完美卸载无法完全分析注册表,偶们可以用InstallWatch Pro 2.5c替代!下载地址:http://bbs.20lz.com/viewthread.php?tid=1860lzgx 4.偶们再打开autoruns8.5,刷新一下重新扫描系统,再点击文件-对比,找到刚才保存的日志,软件会自行比较,绿色显示部份为两个日志不一样的地方!如图7lzgx  lzgxlzgx lzgx 这时偶们可以得出该病毒生成的文件:lzgx C:\Program Files\Common Files\Microsoft Shared\MSInfo\F066DDFA.datlzgx C:\Program Files\Common Files\Microsoft Shared\MSInfo\F066DDFA.dlllzgx C:\WINDOWS\Help\wshmcepts.chmlzgx lzgx 禁止了部份杀毒软件和个人防火墙服务!lzgx lzgx 创建注册表:lzgx [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]lzgx "{6DDFF066-F066-DDFA-66DD-066DF066DDFA}"=""lzgx lzgx [HKEY_CLASSES_ROOT\CLSID\{6DDFF066-F066-DDFA-66DD-066DF066DDFA}]lzgx @=""lzgx lzgx [HKEY_CLASSES_ROOT\CLSID\{6DDFF066-F066-DDFA-66DD-066DF066DDFA}\InProcServer32]lzgx @="C:\\Program Files\\Common Files\\Microsoft Shared\\MSINFO\\F066DDFA.dll"lzgx lzgx 有了分析,当然要写解决方法了,偶们在来解决看看!lzgx lzgx 先删除病毒的启动项,运行SRENG?靠,双击无反应?别的工具有的可以进行?呵呵,病毒禁止了,那偶们在给分析加上一句“禁止相关安全工具运行”!lzgx 病毒是禁止文件名还是进程,偶们改个名看看?运行了!偶们再删除启动项看看,刷新又回来了?看看是否DLL注入进程,下载PROCESS EXPLORER,点击查看-显示下级窗格,然后查找-查找句柄或DLL,搜索“F066DDFA.dat”,没有?再搜索“F066DDFA.dll”,有了,这么多。。。?分析再加入DLL文件注入多个进程。lzgx 注册表启动项既然不让偶们删除,那偶们就删除病毒文件,没有病毒文件病毒就无法运行,它添加的注册表项就没有用处,不过就需要有强制删除文件的工具了!lzgx 推荐一个 金山反间谍 2007 V1.5_清除80多种流行的隐蔽软件 绿色版:http://bbs.20lz.com/viewthread.php?tid=1705下载运行,也被病毒禁止了(方法同上,改个名吧)lzgx 运行后选择文件粉碎器-添加文件,找到以上病毒文件,点击彻底删除!OK 如图8lzgx  lzgxlzgx lzgx 注:因为影子系统2.8不支持注销了,所以注册表项还就无法测试删除了!但文件被删除,病毒也就无法发作了!病毒添加的启动项就可以重启后删除了!lzgx 然后再你解决病毒的过程写出来那这个分析帖就完满了lzgx lzgx 好了,只要大家多测试,也可以把你的分析帖发出来让大家讨论讨论!说不定哪天你也会成为一个反病毒高手^_^lzgx 有什么不明白或错误的欢迎指出讨论!lzgx autoruns8.5汉化版lzgx lzgx 附件: lzgx EI0YLgvI.rarlzgx 2007/2/1 23:52, 106.09 KB, 下载次数: 6lzgx |
| 序号 | 评论者 | 共有评论 7 【论坛浏览】 【发表评论】 | 评论时间 |
| 1 | 爱丽舍 | 回复:[图文]跟偶学分析病毒木马 主要是没这耐心啊 |
2007/2/2 03:27 |
| 2 | 网络vs浪子 | 回复:[图文]跟偶学分析病毒木马 呵呵,人家分析一个病毒可能要一天,偶们这样算是简单分析下罢了! |
2007/2/2 03:40 |
| 3 | meinv911 | 回复看看有什么 | 2008/6/5 11:26 |
| 4 | meinv911 | 回复怎么看不到? | 2008/6/5 11:27 |
| 5 | meinv911 | 为了下载刷分 | 2008/6/5 11:27 |
| 6 | zhj618 | 请教:最近上网怎么木马越来越多? | 2008/6/25 14:03 |
| 7 | depressedboy | 回复 7楼 zhj618 的帖子 原因很多 不过大多数为了金钱 |
2008/6/27 23:11 |
共有评论数 7 每页显示 10
|
|||
