一宿没睡......到网上到处看帖子后,看到那个变态的oso美女病毒,不禁自己也想玩玩,我想,既然不会技术上的分析,我就用笨招咯......
准备工作:
1.用txt输出敏感文件夹内的文件,主要是如下:
c:\windows
c:\windows\system32
c:\windows\system32\drivers
2.备份注册表
3.开启监控软件(我还是用的proexp,一来它不会被病毒所谓的映像劫持,二来也用习惯了)
(1,2两项主要是用来中毒后对比文件的,以便方便地找出不相同之处)
既然已经准备好了,先上网查一下相关的资料吧(即中毒后的症状,这里就不多说了)
运行oso.exe.好了,立即有了反应
进程中多出了3-5个进程,分别如下所述:
c:\windows\system32\drivers\conime.exe
c:\windows\system32\drivers\badudv.exe
c:\windows\system32\severe.exe
c:\windows\system32\net.exe
c:\windows\system32\net1.exe
c:\windows\system32\sc.exe
其中,net.exe,net1.exe和sc.exe是系统文件,在进程显示中都是一闪而过.....(此处,我不明白该病毒为何要调用这些文件,希望猫叔等高手大哥们能够指点迷津),通过以往的教训,我明白了前三个进程是互相守护的,昨天经过猫叔的指导,我也终于悟到了一点东西....于是我先将这三个进程挂起......
下面就是我这次所谓的"牺牲"了
我首先想到的是再次备份此时的注册表,以便用来与刚才的对比(病毒进程已经挂起),但是只要我在运行中输入"regedit"并运行时,并没有运行注册表,反而好象又将这几个进程激活了(郁闷中.....不知道为什么),而后我又想查看启动项,输入msconfig后,出现的情况跟刚才一样......
这可怎么办呢?把病毒进程杀掉看看吧,可喜的是,昨天从猫叔那儿学到的东西果然好用,只要将程序挂起了,然后再一个一个杀掉,并不困难.....
下面出现了我的第二个困惑:
在我杀掉进程以后,我又观察了进程好一阵,确定不会再有病毒进程启动,我才开始做其他的事情.
我想,这次打开注册表应该好用了吧
结果......
我输入"regedit"后,系统提示找不到文件
我再到windows目录下找到了"regedit.exe"双击.....系统提示找不到文件......改成"regedit.com",再运行,还是找不到文件.....
救命啊!!!!!这是为什么? 在系统提示找不到文件之前我已经把病毒文件删了.....并且也再没发现有可疑程序运行......
顺便再提一句,在网上看到oso病毒分析没有改变时间,但是我的系统时间确实被改成了2004年1月22日.
我希望我把我的实验过程写出来不会引起大家误会,因为我这个人请教问题喜欢先说出自己的思路,在请别人指出我所做的错误之处,谢谢!!!
猫叔.天月,火影,还有很多我不知道的高手们,希望你们能指点我一下......
再次声明一下,我也不想照搬别人的分析成果,因为有些产生的dll文件我也找到了,在此我就不多说了,因为我只是想实验,并不是想去分析(何况我也不会分析......),网上分析的文章太多了,而我实验中出现了很多出乎我意料的情况,故而我想请教大家.....谢谢大家!!!
