提取方式
peid 偵察程式資訊工具
systemsafety monitor(ssm) 系統監控軟體
filemon 檔案監控
regmon 登錄檔監控
tcpview網路連線監控
smsniff 網路資料監控
wireshark 網路資料採集分析
ollydbg 動態分析工具
ida 靜態分析工具
windbg 核心態偵錯程式
exescope 資源檢視編輯
winhex 十六進製制編輯工具
loadpe手動脫殼工具
檢視檔案資訊,是否加殼,是由何種語言編寫的;
如果加殼則需要脫殼;
尋找main函式,一般病毒行為都在main函式裡,也就是自己寫的**;
單步除錯分析,od中按f8單步過每條指令,遇到call函式則f7步入;
記錄每個關鍵行為,如建立檔案,拷貝檔案,建立服務,啟動服務,連線網路等;
如果有釋放出來的檔案,則需要採集出來進一步分析;
直至main函式結束,才分析結束。
有些病毒樣本沒法動態分析,例如dll。
大致步驟:
用ida開啟要分析的檔案,讓它自動載入並分析完成;
如果是exe程式,則從main函式開始分析,遇到call按回車進入;
如果是dll程式,則按ctrl+e檢視匯出函式入口;
對每個匯出函式進行分析;
按shift+f12檢視字串,對敏感的字串雙擊進去,按x鍵可以檢視**在呼叫;
檢視匯入函式,對一些敏感的api函式,檢視api呼叫地方的上下文,分析進行了哪些操作;
如果安裝f5外掛程式,可以按f5讓ida把彙編還原成源**,這樣檢視就明了多了;
寫檔案:
拷貝自身檔案到系統目錄下,如system目錄,system32目錄,windows目錄等;2)釋放*.dll檔案到系統目錄下;
釋放物的取名與系統檔名類似,如svch0st.exe,winlogin.exe等;
替換系統檔案;
感染可執行檔案;
建立很隱蔽的路徑釋放病毒檔案。
釋放驅動.sys檔案篡改系統idt表等;
修改host檔案;
程序相關:
設定鍵盤鉤子或滑鼠鉤子,監視正常使用者的操作;
開啟本地埠,接受來自遠端的控制;
服務類:
建立服務,服務的執行路徑為病毒檔案,大多用來作為自啟動;
設定登錄檔鍵值,自啟動或隱藏;
注入進系統程序,如svchost.exe,explorer.exe,iexplore.exe等;
自身:修改病毒本身字尾名,如cc3,jpg,tmp等;
病毒檔案被設定為隱藏屬性;
虛擬機器斷網;
虛擬機器中不能只有c盤;
樣本不要以.exe形式儲存在本機;
釋放出來的檔案也很重要;
不要遺漏.doc,.pdf,.xls等字尾的檔案
網路資料報挖掘可以安裝防火牆軟體,如comodo。
未知程式是否連線了遠端的某個ip位址,重點檢視svchost.exe程序的連線;
是否(有規律地)訪問異常網域名稱;
可以借助ark工具檢視程序,如xuetr。
檢測程式的數字簽名;
檢測程式所屬廠家;
檢測程序路徑是否正確;
檢測程式的載入模組,是否有異常的載入項;
檢測系統驅動程式是否有異常,重點檢測沒有數字簽名的程式。
檢測系統環境變數是否被篡改;
檢視登錄檔啟動項;
檢視隨機啟動的服務專案;
檢視自啟動目錄下的檔案;
檢視計畫任務;
啟動項相對比較難判斷,盡量將不熟悉或未知的啟動項禁止。
解鎖提取
記憶體提取,用winhex獲取系統記憶體資料,複製記憶體中的檔案映象。
提取出來的樣本,不要用.exe字尾存放,一般改字尾為.v。這樣是防止因為誤操作雙擊了樣本,導致本機被感染。提取出來的樣本可以通過防毒軟體來檢測,或者一些**工具。
MBR病毒分析
樣本行為 1 樣本執行後,會直接獲取 physicaldrive0的控制代碼,從第1扇區 偏移為0x0 讀取大小為200位元組的內容寫入到第3扇區 偏移為0x400 中。其目的應該在輸入正確密碼後,重新恢復原有第1扇區的資訊。2 往第1扇區 偏移為0x0 中寫入大小為200位元組的mbr敲詐資訊 即...
病毒診斷分析程式(病毒分析師的福音)
此程式是乙個專業的病毒診斷分析程式。08 09 26修正版 修正了某些情況下會漏點一些程序沒監控的情況 08 10 11修正四版 修正了在監視某些ie程式時路徑過長導致的藍屏情況 https p blog.csdn.net images p blog csdn net chenhui530 entr...
病毒分析教程第六話 高階病毒分析(中)
教程參考自 惡意 分析實戰 程式來自 本節實驗使用樣本lab11 02.dll和lab11 02.ini。這個惡意dll匯出了什麼?檢視匯出函式視窗,發現除了dllentrypoint函式外還有要給installer函式。使用rundll32.exe安裝這個惡意 後,發生了什麼?為了使這個惡意 正確...