病毒行为分析
主角:ProcessMonitor、虚拟机、木马样本
步骤:
首先运行ProcessMonitor,界面如下
下面要排除干扰因素,把系统的进程排除掉,我一般选用进程PID作为排除依据,在正常进程的PID上面右键,选择Exclude 'XXX',这样就根据PID把正常进程的行为排除了。一直重复,直到ProcessMonitor里面的内容完全被排除。
下面就可以运行木马样本来分析了。
双击setup.exe,ProcessMonitor里面记录了许多行为,共有3000+个,所以我们还要继续筛选。
这个地方我一般是根据操作作为排除依据。
操作总共分4大类,注册表、文件、网络、进程,工具栏上对应着4个开关。
先看看文件。
把那四个开关,除了第二个,其他都关闭,剩下的内容都是文件操作。
文件操作又分很多种,我们关系的是病毒生成了哪些文件,对应的操作名字是WriteFile,所以在操作那里,把不是WriteFile的统统排除,方法和上面一样。
从图中看以看出,病毒在“C:\WINDOWS\”释放了一个病毒体“abc.exe”
文件分析到此为止。
下面是注册表。
把注册表的开关打开,文件的开关关闭。
同样我们关心的是写注册表的操作,对应的操作名是RegSetValue,将其他的操作排除。
我们看到写操作只有HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed
经过查询,这个地方无关紧要,没什么作用。
至于网络访问,木马一般都是反向连接到黑客的电脑,我们可以通过这个获取黑客电脑IP。
进程监视这里,可以看出木马运行了哪些程序,重点操作是process start。
如图中,总共有两个进程被创建,一个是setup.exe,这个是病毒样本,另一个是abc.exe,这个是释放的病毒体。如果出现了其他程序,就要考虑是不是木马下载了其他木马病毒程序。
至此,木马的所有重要行为都被我们记录下来了,我们可以根据木马对系统的修改从而写出专杀。
对于此木马,我们只要结束进程abc.exe和setup.exe,删除C:\WINDOWS\abc.exe即可完全清除。
希望本文对各位有所帮助。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; 360SE)