作业三 使用病毒工具对病毒进行

作业三 使用病毒分析工具对病毒进行分析

实验目的

1、学习和掌握如何使用工具对病毒进行分析。

2、学习和掌握病毒的各项行为，并对行为做出。

实验环境

操作环境：Windows7

实验工具：腾讯哈勃分析系统、Process Monitor、PeiD、IDA pro、Regshot

实验原理

通过几种病毒分析工具，对病毒进行分析。

实验过程与分析

• 在线病毒分析引擎

 

如图1-1所示，使用腾讯哈勃分析系统对病毒进行分析。

如图1-2所示，上传病毒worm文件到系统中，分析出来的结果是“高度风险“。下面有病毒的详细信息。

 如图1-3所示，首先是基本信息，可以看到病毒的文件名称、MD5、文件类型、上传时间、出品公司、版本和完成编译器信息。

如图1-4所示，是病毒文件的关键行为。第一个行为是“跨进程写入数据”，详细信息处是写入的位置还有地址、大小等等。还有“创建远程线程”、“设置线程上下文”和“获取TickCount值”。

如图1-5所示，还有“查找PE资源信息”、“设置特殊文件夹属性”、“自删除”、“修改注册表_启动项”。

如图1-6所示，为病毒文件的进程行为。

如图1-7所示，为病毒文件的文件行为。

 如图1-8所示，为病毒文件的网络行为。

如图1-9所示，为病毒文件的注册表行为。

如图1-10所示，为病毒文件的其他行为。

• 利用Process Monitor监控病毒样本的运行过程

Process Monitor（进程监视器）是Windows先进的监测工具，它可以显示实时的文件系统，注册表和进程/线程活动。它结合了两个传统的Sysinternals工具Filemon和Regmon的功能。并增加了丰富的过滤设置，进程监视器将会是您在排除系统故障和分析恶意软件方面的得力助手。

如图2-1、2-2所示，打开Process monitor，进行筛选，选择process name，找到worm.exe，然后点击add。

 如图2-3所示，为worm.exe文件的全部记录。

如图2-4所示，还可以创建多个过滤条件来查看更加详细的结果记录，比如查看worm.exe创建文件成功的记录，首先我们要在查找创建文件和进程活动记录的基础上，再创建一个结果是成功的过滤器。

如图2-5所示显示的便全部是worm.exe创建文件成功的记录。

如图2-6所示，我们还可以通过打开tools->process tree来查看各个进程之间的依存关系。

• 利用PeiD查看PE病毒各节信息

PEiD 是最强大的一个查壳工具。PEiD 可以探测大多数的 PE 文件封包器、加密器和编译器。当前可以探测 600 多个不同签名。

如图3-1所示，这是PeiD主程序界面。选择需要分析的病毒文件。由图中可以看见文件的EP区段、首字节、子系统、入口点、文件偏移和链接器信等等信息。

图中的“Nothing found *”指的是用什么软件编写的或用什么软件加的壳，很显然这个没有找到相关信息。

图3-2

如图3-2所示，为了进一步查看软件是否加壳，我打开这个页面，发现“Not Packed”，即未加壳的意思。如果都没加壳，就可以汉化了。

• 利用IDA pro逆向一个简单PE病毒样本

 

如图4-1、4-2所示，由于我无法打开，所以只能先不做IDA pro的实验，等后续找到原因，我再继续研究。

• 利用Regshot 比对两个注册表和查看不同内容

Regshot是一个很棒的实用程序，可用于比较安装或系统设置更改期间已更改的注册表项的数量。 虽然大多数PC用户永远都不需要这样做，但它是解决故障和监视注册表的好工具。

如图5-1为Regshot的程序界面。

   打开regshot后，您将需要制作第一个快照，该快照将用作“之前”快照。 通过单击“第一张”按钮，然后单击“拍摄”来执行此操作。 请注意，该文件将被保存为TXT文件，位于“ C：\ Users \您的名字\ AppData \ Local \ Temp \ ”目录中，但是您可以将其更改为所需的任何文件夹。

图5-2

如图5-2所示，为两个注册表的比对结果。

1. Values modified: 2

修改值：2

1. Total changes: 2(this appears at the bottom of the document)

更改总数：2(显示在文档底部)

• 实验总结

通过此次实验，我学会了用各种工具对病毒进行分析，虽然过程中有不够完善或还未完成的部分，我还会继续学习。计算机病毒这么课程也很吸引我，我也比较喜欢研究病毒。

希望接下来掌握更多的病毒分析方法。

这篇好文章是转载于：学新通技术网