天云一剑 - 2008-8-18 16:18:00
测试环境组建
虚拟系统:VMware Workstation虚拟系统,
VPC
监控软件:TINY desktop Firewall 2005PRO,
PROCESS MONITER
字符串分析:BINTEXT
1.安装虚拟系统(虚拟机操作系统为XPSP2/XPSP3)
2.安装监控软件
3.也需要一些如SRENG,XDELBOX等我们用来尝试手动
***安装就不赘述了
TINY EXAMPLE:
运行一个病毒样本文件,在此之前先用在线多引擎扫描个结果。
附件: 您所在的用户组无法下载或查看附件病毒文件
我们将病毒文件运行,TINY会弹出对话框
track'n reverse(TM)为监控病毒。(运行样本就选这个)
turst this application为信任该程序。允许运行。 (XDEL等用这个)
track'n reverse 选这个后,弹出如下图
附件: 您所在的用户组无法下载或查看附件
点OK继续
附件: 您所在的用户组无法下载或查看附件
病毒运行后有许多动作都被TINY监控并显示出来
附件: 您所在的用户组无法下载或查看附件
病毒运行后,右键然后选取红色部分可统计病毒具体动作。
附件: 您所在的用户组无法下载或查看附件
看是不是很详细。
统计信息之前请先结束病毒监控,点击图片左上角第三个图标,停止监控(end collecting activity)
再点击view report会出现如下图详细信息。
附件: 您所在的用户组无法下载或查看附件
如图所视,点那个叉旁边的按钮,可导出所有详细信息
病毒文件
C:\Documents and Settings\KILL\Local Settings\Temp\~DFF528.tmp
C:\WINNT\mapserver.exe
C:\WINNT\MSWINSCK.OCX
C:\WINNT\system\mainsv.exe
C:\WINNT\system\mainsv.exe
C:\WINNT\system\ntdllf.exe
C:\WINNT\system\ntdllfnt.exe
C:\WINNT\win.ini
D:\autorun.inf
D:\Iexplores.exe
注册表
HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\RunServices
监控到的病毒进程C:\WINNT\system\ntdllf.exe
打开D盘就会发现病毒的隐藏文件。
为VM系统设置还原点
附件: 您所在的用户组无法下载或查看附件
如图所视,可以设置N多还原点,只需要几秒钟就可以把系统还原到您想设定的状态
vm--snapshot--takesnap
BINTEXT
一搜就找到了,免费的小软件
附件: 您所在的用户组无法下载或查看附件
用它打开文件,支持拖动文件进来
可以查看到一些信息,比如IFEO,所使用的API等
基本会看出有害的操作可能是什么类型
我们就看一个示例图Worm.ChineseHacker-2 的
附件: 您所在的用户组无法下载或查看附件
能取得一些信息的,不过这个里面没有IFEO
附件: 您所在的用户组无法下载或查看附件
上图看见一个EXE文件
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)
虚拟系统:VMware Workstation虚拟系统,
VPC
监控软件:TINY desktop Firewall 2005PRO,
PROCESS MONITER
字符串分析:BINTEXT
1.安装虚拟系统(虚拟机操作系统为XPSP2/XPSP3)
2.安装监控软件
3.也需要一些如SRENG,XDELBOX等我们用来尝试手动
***安装就不赘述了
TINY EXAMPLE:
运行一个病毒样本文件,在此之前先用在线多引擎扫描个结果。
附件: 您所在的用户组无法下载或查看附件病毒文件我们将病毒文件运行,TINY会弹出对话框
track'n reverse(TM)为监控病毒。(运行样本就选这个)
turst this application为信任该程序。允许运行。 (XDEL等用这个)
track'n reverse 选这个后,弹出如下图
附件: 您所在的用户组无法下载或查看附件点OK继续
附件: 您所在的用户组无法下载或查看附件病毒运行后有许多动作都被TINY监控并显示出来
附件: 您所在的用户组无法下载或查看附件病毒运行后,右键然后选取红色部分可统计病毒具体动作。
附件: 您所在的用户组无法下载或查看附件看是不是很详细。
统计信息之前请先结束病毒监控,点击图片左上角第三个图标,停止监控(end collecting activity)
再点击view report会出现如下图详细信息。
附件: 您所在的用户组无法下载或查看附件如图所视,点那个叉旁边的按钮,可导出所有详细信息
引用:
病毒文件
C:\Documents and Settings\KILL\Local Settings\Temp\~DFF528.tmp
C:\WINNT\mapserver.exe
C:\WINNT\MSWINSCK.OCX
C:\WINNT\system\mainsv.exe
C:\WINNT\system\mainsv.exe
C:\WINNT\system\ntdllf.exe
C:\WINNT\system\ntdllfnt.exe
C:\WINNT\win.ini
D:\autorun.inf
D:\Iexplores.exe
注册表
HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\RunServices
监控到的病毒进程C:\WINNT\system\ntdllf.exe
打开D盘就会发现病毒的隐藏文件。
为VM系统设置还原点
附件: 您所在的用户组无法下载或查看附件如图所视,可以设置N多还原点,只需要几秒钟就可以把系统还原到您想设定的状态
vm--snapshot--takesnap
BINTEXT
一搜就找到了,免费的小软件
附件: 您所在的用户组无法下载或查看附件用它打开文件,支持拖动文件进来
可以查看到一些信息,比如IFEO,所使用的API等
基本会看出有害的操作可能是什么类型
我们就看一个示例图Worm.ChineseHacker-2 的
附件: 您所在的用户组无法下载或查看附件能取得一些信息的,不过这个里面没有IFEO
附件: 您所在的用户组无法下载或查看附件上图看见一个EXE文件
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)