以身試毒 打造自己的病毒實驗室

　　很多人想知道病毒是怎樣破壞系統的，有時看到高手分析病毒樣本時羅列出來病毒的詳細行為，，很是令人驚歎！那麼高手們是怎麼辦到的呢？下面我們來介紹常用的分析方法： 　　工欲善其事，必先利其器 　　1、無懈可擊——影子系統 　　影子系統，顧名思義，就是建立在真實的操作系統上的鏡像，它和真正的操作系統一模一樣。不一樣的是，你在影子系統裡所做的任何操作在重啟或關機後都會被撤銷，即便是病毒的破壞也奈何不了它，但是正常的操作也會被還原，所以要注意保存新建的重要文件到移動存儲（見圖1）。 ·簡單打造一張不錯的旅游明信片·菜鳥也飛飛：打造轉轉風車動畫·用Photoshop打造漂亮的寶寶賀年卡·回憶：用Photoshop打造精致日記本·在線輕松打造閃光字·Photoshop打造宮崎峻之千與千尋·無法抵擋的誘惑：打造紫色鑽石·菜鳥學飛:打造轉轉風車動畫·粉嫩動人：打造美女靓麗海報·見證一個唯美女孩的打造過程 　　 　　軟件小檔案： 　　PowerShadow 2.6.0511 官方中文版 　　軟件大小：3709KB 軟件性質：共享軟件 　　運行環境：Windows 9x/Me/NT/2000/XP/2003 　　下載地址： 　　2、超級偵探——Filemon 　　這是一款出色的文件監控軟件，它就可以完整的將某個文件的所有操作和相應進程的信息都記錄下來，這樣對付病毒時就不必費神挨個文件夾去翻了。　　 　　軟件小檔案： 　　FileMon(File Monitor) 7.04 for NT/2000/XP 　　軟件大小：188KB 軟件性質：共享軟件 　　運行環境：Windows NT/2000/XP 　　下載地址：　　 　　3、瑞士軍刀——IceSword 　　這是很多朋友都熟知的反黑反病毒工具，以往介紹的很多，不在多話（見圖2）。　　 　　軟件小檔案： 　　冰刃 IceSword 1.2 中文版 　　軟件大小：2120KB 　　軟件語言：簡體中文 軟件性質：免費軟件 　　運行環境：Windows 9x/Me/NT/2000/XP/2003 　　下載地址： 　　實戰sxs.exe病毒 　　1.布下天羅地網 　　第一步：保存好文件，斷開網絡，開啟完全影子模式，硬盤盤符上就會出現太極的符號（見圖3）； 　　第二步：禁用殺毒軟件監控（針對已知病毒）。打開Filemon並開啟過濾功能,並且將sxs.exe作為過濾關鍵詞，然後最小化；
　　第三步：接著打開IceSword等著看就可以了； 　　第四步：運行病毒程序就可以了。 　 　　2.靜觀病毒發飙 　　搜集證據：在短暫的假死後，彈出一個出錯的對話框，確認後系統恢復正常。打開Filemon仔細看看病毒干了什麼： 　　①sxs將生成的病毒文件和一個Autorun.inf文件復制至硬盤各分區和移動存儲☆。 　　②復制病毒文件htedtp.exe和htedtp.dll到C：\Windows\system32\下（見圖4）。 　　·簡單打造一張不錯的旅游明信片·菜鳥也飛飛：打造轉轉風車動畫·用Photoshop打造漂亮的寶寶賀年卡·回憶：用Photoshop打造精致日記本·在線輕松打造閃光字·Photoshop打造宮崎峻之千與千尋·無法抵擋的誘惑：打造紫色鑽石·菜鳥學飛:打造轉轉風車動畫·粉嫩動人：打造美女靓麗海報·見證一個唯美女孩的打造過程 　　 　　③創建C：\Windows\system32\QQhx.dat 　　④病毒在C：\Windows\system32下發現並刪除瑞星卡卡助手的kakatool.dll文件，導致卡卡助手無法啟動（見圖5）。 　　 　　⑤關閉C：\Windows\system32\RavExt.dll，這個文件和瑞星監控有關（見圖6）。 　　小知識：如何判斷病毒進程 　　有些病毒會將DLL文件插入系統的進程，如果真的遇到有掩護的病毒進程，可以試著結束EXPLORER.EXE進程後再結束病毒進程來解決，因為很多病毒都是靠插入系統進程來保護自己從而達到不死之身的目的。經常被插入的系統進程還有svchost.exe和csrss.exe等等，像這些進程直接結束會有導致系統崩潰，建議對這些插入關鍵系統進程和創建N個進程互相掩護的可查殺病毒，用殺毒軟件自帶的DOS殺毒工具在DOS下查殺為佳。順便提一下，有些朋友不了解系統中的進程，我們建議用Windows進程管理（prcmgr）來徹底認識系統進程，它的進程描述可幫了我們不少忙。
3.針鋒相對滅病毒之步步為營 　　⑴精確打擊病毒文件 　　過了1分多鐘，發現病毒沒有再進行什麼，估計已經潛伏好了。現在該IceSword上場了，先是進程，沒有發現病毒。既然進程中沒有，那就直接刪除系統文件夾中的病毒，用IceSword的文件夾浏覽功能就可以使所有文件顯出原型，即便病毒修改了注冊表。用IceSword打開C:\Windows\system32\點擊“創建時間”，直到將時間拉到現在，這樣system32下的新建的所有文件就會一目了然。可以看到htedtp.exe和QQhx.dat兩個在Filemon列表中出現過的病毒文件，至於htedtp.dll無需廢話直接連它一起右擊“強制刪除”即可。根據Filemon的文件動作列表顯示的病毒動作列表，按圖索骥清除其他分區病毒。　　 　　小知識：關於不可顯示隱藏文件的問題 　　由於部分病毒修改注冊表中： 　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL]下的CheckedValue"=dword:00000001鍵值為CheckedValue"=dword:00000000或者干脆胡亂修改。使得即便在文件夾選項中選擇了“顯示所有文件和文件夾”並且確認後，再次打開文件夾選項後，發現選項仍是“不顯示隱藏文件和文件夾”。就是通過這種方法大部分病毒達到了隱藏的目的。在將鍵值改正後一般就會恢復正常。如果還是不行的話，可以刪除鍵值，再重新建一個CheckedValue的dword值。如果還是嫌麻煩的話，網上專門有高手制作的工具可以使用或者將正常的注冊表值導入即可。 　　⑵注冊表清理 　　IceSword同時也集成了注冊表浏覽和部分編輯功能，很實用，但是要編輯或創建鍵值還是用注冊表編輯器（regedit.exe）裡來進行編輯。由於關閉瑞星的注冊表監控，病毒的注冊表行為不是很清楚，但這裡可以很明顯的看出htedtp.exe文件已經成功地創建了自啟動值，（見圖7）右擊刪除所選即可。還有其他地方也是病毒常常光顧的地方，由於介紹的文章很多不在重復說明。至此病毒清除完畢。 　　小知識：Autorun.inf文件的是非 　　在這裡我們要強調一點，有的病毒會在創建病毒文件時“贈送”一個Autorun.inf文件，此sxs病毒的INF文件所寫的內容 　　[AutoRun] 　　open=sxs.exe 　　shellexecute=sxs.exe 　　shell\Auto\command=sxs.exe 　　其他很多病毒和這個病毒一樣“慷慨”地將這個文件分發到其他分區和移動存儲上以備不時之需。這個文件的相關內容以往Cfan介紹的很多，它的目的就是為自己打造不死之身，所以要在清除sxs的同時要注意順便清除它一下。不過病毒有時還會修改磁盤打開關聯，推薦一款DSW實驗室的Autorun病毒免疫工具，它還可以修復磁盤打開關聯，下載地址： 　　常看《電腦愛好者》的朋友們一定知道“蜜罐”技術吧，雖然此文的方法與“蜜罐”技術相距甚遠，但是打造一個安全的、可控的實驗室環境來靜觀病毒發作是它們的共同點。讓病毒將自己的行為暴露給我們，然後我們以最簡單的方式將病毒消滅掉，然後將病毒的“罪狀”一條條列出，制作出相應的專殺工具以彌補殺毒軟件升級滯後帶來的麻煩。相信你看過此文後就知道了其實高手們的制作病毒分析報告的過程也不是很神秘的，你也可以試試看的！！