计算机病毒样本的提取 天花病毒样本
在这里我会简单的先容病毒样本的获取与分析方法。
个人如何获取病毒样本呢?
对于我们个人用户来说,当然没有反病毒公司截获病毒的那种条件。不过,要找一些病毒样本来分析也不是一件难事情。
我们可以设置自己的蜜罐。
首先要预备一个虚拟机,在虚拟机里面安装win2k+sp1,再安装iis6.0和sql server2000,能打开的服务都打开,最好再安装nav(防止重复获得已知的病毒样本),并安装isa防火墙来监控网络流,在用snifferxp来做地层包的截获,最后安装文件变化记录器(主要用于crc32校验比较以判定文件是否发生变化,我们仅监视几种病毒经常感染的文件类型就可以了)。在用虚拟机的快照功能备份虚拟机中的系统。
这样我们就预备好了自己的diy型蜜罐,现在到hotmail注册一个e-mail,然后加进多个国外的新闻组等热闹的地方,这样就会有更多的机会得当样本。接下来就是等待了,经常查看信箱的邮件,等到snifferxp监视出现流量异常或nav被封闭或失效,此时应该多打开几次一些programfiles目录下的程序以保证病毒的感染,一般来说ipc$和iis进来的病毒或者懦虫会开一些新的进程,我们可以用ctrl+alt+del把他们查出来,知道那些文件--复制到保存样本的介质上~~然后把文件变化器中发现的文件拷贝出来,这样就得到疑似样本了。
vbs脚本病毒样本的提取
当获得了vbs脚本病毒样本后,其提取方法是比较简单的。对于获取的vbs脚本病毒样本,我们可以直接用文本编辑器打开样本文件查看其中的原代码。对于有加密的病毒,样本提取的工作实在到这里就已经结束了。
一次性加/解密的病毒样本
这样的病毒比较普遍,但是弱点也比较明显。由于他们是对加密病毒代码一次性解密后直接运行的,我们便可以在其解密之后、执行之前将病毒代码提取出来,或者干脆删除其代码,写进我们自己的病毒提取代码。
这里我以大家比较熟悉的“新欢乐时光”为例子,说明这种方法提出的方法。
感染这个病毒后,会发现在每个目录下都有两个隐躲文件: desktop.ini folder.htt
用ultraedit打开 folder.htt ,会发现这个文件总共才93行,第一行为<body>,几行注释后,以<html>开始,</html>结束,很显然这是一个htm格式的文件(folder.htt摸板就是采用了样式表和html标记).
第87行到91行的语句如下:
--------------------
87:<script language=vbscript>
88:exestring="afifkseboa)eqiiqbtq)s^pqbtq)aadobapfdj)>mlibl^gbp).......省略太长了
89:execute("dimkeyarr(3),thistext"&vbcrlf&"keyarr(0)=3"&vbcrlf&"keyarr(1)=3"&vbcrlf&"keyarr(2)=3"&vbcrlf&"keyarr(3)=4"&vbcrlf&"fori=1 tolen(exestring)"&vbcrlf&"tempnum=asc(mid(exestring,i,1))"&vbcrlf&"iftempnum=18then"&vbcrlf&"tempnum=34"&vbcrlf&"endif"&vbcrlf&"tempchar=chr(tempnum+keyarr(imod4))"&vbcrlf&"iftempchar=chr(28)then"&vbcrlf&"tempchar=vbcr"&vbcrlf&"elseiftempchar=chr(29)then"&vbcrlf&"tempchar=vblf"&vbcrlf&"endif"&vbcrlf&"thistext=thistext&tempchar"&vbcrlf&"next")
90:execute(thistext)
91:</script>
--------------------
第87和91行这里就不解释了,第88行是一个字符串的赋值,很明显这是被加密过的病毒代码。看看89行最后的一段代码thistext=thistext&tempchar,再加上下面那一行,我们肯定能够猜出thistext里面放的就是病毒解密后的代码,第90行是执行刚才thistext中的那段代码
现在我们知道thistext字符串变量中存放的就是病毒代码。那么下一步该怎么办呢?很简单,我们只要在病毒代码解密后,将thistext的内容输出到一个文本文件中就可以了。由于上面几行是vbscript,于是用以下方法创建一个.vbs文件。
首先将第88,89两行拷贝到刚才建立的.vbs文件,然后在下面输进一行创建文件和将thistext写进文件vbs代码,整个文件所示:
-----
exestring="afi... '第88行的代码,这里省略了
execute("dim keyar.. '第89行代码,这里省略了
set fso=createobject("scripting.filesystemobject")
set bingdu=fso.createtextfile("resource.log",true)
'创建一个新文件用来存放解密后的病毒代码
bingdu.writeline(thistext)
-----
然后保存文件,运行它你就会发现 resource.log里面就是病毒的原代码了。
更多阅读
计算机病毒分类介绍 流感病毒分类
计算机病毒分类介绍——简介按照计算机病毒属性的分类计算机病毒分类介绍——方法/步骤计算机病毒分类介绍 1、1、病毒存在的媒体 根据病毒存在的媒体,病毒可以划分为网络病毒,文件病毒,引导型病毒。 网络病毒通过计算机网络
计算机病毒的特征 计算机病毒包括
计算机病毒的特征——简介计算机病毒计算机病毒的特征——方法/步骤计算机病毒的特征 1、计算机病毒特征1:传染性可以通过中介进行传染,如U盘、光盘、电子邮件等等。计算机病毒的特征 2、计算机病毒特征2:破坏性可以影响我们计算机
丝瓜水的提取方法 什么时间提取丝瓜水好
丝瓜水的提取方法——简介 丝瓜是增白、去皱的天然美容品,据医学家实验证明,长期食用丝瓜或用丝瓜液擦脸,可以让肌肤柔嫩、光滑,并可预防和消除痤疮和黑色素沉着。丝瓜中含有丰富的维他命、矿物质、植物粘液和木糖胶,因此许多精华液中都
怎样预防计算机病毒 计算机病毒是指
计算机病毒是一个程序,一段可执行码。就像生物病毒一样,计算机病毒有独特的复制能力。计算机病毒可以很快地蔓延,又常常难以根除。它们能把自身附着在各种类型的文件上。当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起
计算机图形学的学习的书籍推荐
入门在开始学习计算机图形学的时候,找一本简单的书看,对计算机图形学有个大概的认识,你就可以开始图形学之旅了:OpenGL Programming Guide: The Official Guide to Learning OpenGL, Version 1.4, Fourth EditionOpenGL SuperBible (3rd