《2-2-1怎样建立自己的病毒行为分析平台》由会员分享,可在线阅读,更多相关《2-2-1怎样建立自己的病毒行为分析平台(24页珍藏版)》请在金锄头文库上搜索。
1、Virus计算机病毒与防治计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组教学单元3-2 病毒行为分析平台IceSowrd 影子系统 Filemon 第一讲 怎样建立自己的病毒行为分析平台计算机病毒与防治课程小组小结RegSnap 建立自己的病毒行为分析平台计算机病毒与防治课程小组我们要知道病毒是怎样在破坏系统,就需要罗列出病毒的详细行为,这些看来没有头绪的事情,其实并不是想象中的那样困难,关键是我们需要打造一个自己的病毒实验室。工欲善其事, 必先利其器,下面给你介绍我们在病毒行为分析中常用的工具。计算机病毒与防治课程小组影子系统简介诞生于2004年底的影子系统采用最先进的操作系统
2、虚拟化技术生成当前操作 系统的影像,借助创新的Windows虚拟化技术,实现了“层次化”的安全保护模式,在影子模式下,可以随心所欲使用电脑,而不用担心会对正常的系统造 成不良影响,它具有真实系统完全一样的功能。进入影子系统后,所有操作 都是虚拟的,因此所有的病毒和流氓软件都无法侵害真正的操作系统。用影子系统进行自我保护计算机病毒与防治课程小组影子系统简介单一影子模式单一影子模式是一种只保护Windows操作系统的使用模式 ,它仅为操作系统所在分区创建虚拟化影像,而非系统 分区在单一影子模式下则保持正常模式状态。 单一影子模式计算机病毒与防治课程小组影子系统简介完全影子模式与单一影子模式比较,完
3、全影子模式将会对本机内所有硬 盘分区创建影子。当退出完全影子模式时,任何对本机内 硬盘分区的更改将会消失。在完全影子模式下,可以将有 用的文件储存至闪存或者移动磁盘内。 完全影子模式计算机病毒与防治课程小组影子系统简介进入单一影子系统有了影子系统,你的电脑将具有金钟罩本领,百毒不 侵,那么我们就可以以身试毒在自己的电脑上运行计 算机病毒,而不用担心病毒可能会给电脑造成的伤害 。计算机病毒与防治课程小组IceSowrd 冰刀IceSword也称为冰刀或者冰刃,有些人简称IS,是USTC 的PJF出品的一款系统诊断、清除利器。IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件 ,
4、比如一些进程工具、端口工具,但是现在的系统级后门功能越来越 强,一般都可轻而易举地隐藏进程、端口、注册表、文件信息,一般 的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术,使得这些后门躲无所躲。计算机病毒与防治课程小组IceSowrd 冰刀1 查看进程包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也 可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可 以查看进程的线程、模块信息,结束线程等。计算机病毒与防治课程小组IceSowrd 冰刀2 查看端口类似于cport、ActivePort这类工具,显示当前本地打开的端 品以及相应的应用程序地址、名字
5、。包括使用了各种手段隐藏 端口的工具,在它下面,都一览无余。计算机病毒与防治课程小组IceSowrd 冰刀3 查看内核模块加载到系统内和空间的PE模块,一般都是驱动程序*.sys,可以看到各种 已经加载的驱动。包括一些隐藏的驱动文件,如IS自身的IsDrv118.sys ,这个在资源管理器里是看不见的。计算机病毒与防治课程小组IceSowrd 冰刀Windows启动组里面的相关方式,这个比较容易理解了 。不过可惜的是没有提示删除功能,只能查看。4 查看启动组计算机病毒与防治课程小组IceSowrd 冰刀5 查看服务用于查看系统中的被隐藏的或未隐藏的服务,隐藏的服务 以红色显示。提供对服务的操作
6、如启动,停止,禁用等。计算机病毒与防治课程小组IceSowrd 冰刀6 SPI和BHO这两个是目前流氓软件越来越看中的地方。SPI是服务提供接口,即所有Windows的网络操作都 是通过这个接口发出和接收数据包的。很多流氓软件把这个.dll替换掉,这样就可以监视所有 用户访问网络的包,可以针对性投放一些广告。如果不清楚的情况下,把这个.dll删掉,会造 成网络无法使用,上不了网。LSPFix等工具就是针对这个功能的。BHO就更不用说了,浏览器的 辅助插件,用户启动浏览器的时候,它就可以自动启动,弹出广告窗口什么的。这两项仅提供 查看的功能。计算机病毒与防治课程小组IceSowrd 冰刀7 SS
7、DT系统服务描述表,内核级后门有可能修改这个服务表,以截获你系统 的服务函数调用,特别是一些老的rootkit,像上面提到的ntrootkit 通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示,当 然有些安全程序也会修改,比如regmon。计算机病毒与防治课程小组IceSowrd 冰刀8 消息钩子若在dll中使用SetWindowsHookEx设置一全局钩子,系统会将其 加载入使用user32的进程中,因而它也可被利用为无进程木马 的进程注入手段。 计算机病毒与防治课程小组IceSowrd 冰刀9 线程创建和线程终止监视“监视进线程创建”将IceSword运行期间的进线程创建调用记
8、录在 循环缓冲里,“监视进程终止”记录一个进程被其它进程Terminate 的情况。 计算机病毒与防治课程小组IceSowrd 冰刀10 注册表操作说起Regedit的不足就太多了,比如它的名称长度限制,建一个全 路径名长大于255字节的子项看看(编程或用其他工具,比如 regedt32),此项和位于它后面的子键在regedit中显示不出来;再 如有意用程序建立的有特殊字符的子键regedit根本打不开。IceSword中添加注册表编辑并不是为了解决上面的问题,因为已经 有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的,它不受目前
9、任何注册表 隐藏手法的蒙蔽,真正可靠的让你看到注册表实际内容。计算机病毒与防治课程小组Filemon 文件监视在启动Filemon后程序开始扫描计算机中的程序,接着就可以看到 当前运行的所有程序了。此时如果启动了一个程序,就会在FileMon 中立刻显示,并且在FileMon中可以查看到“进程”、“请求”、“路径”等 信息,其中这3个是相当关键的。“进程”代表了程序名,“请求”表示 对磁盘的操作,“路径”表示此程序位于什么位置。计算机病毒与防治课程小组Filemon 文件监视通过筛选的方式可以将我们感兴趣的信息保存下来,方便对病毒行为的分析。FileMon除了监视程序的读写操作外,还会监视对程
10、序的所有操作,比如在 程序中进行单击操作也会被监视。FileMon最大的优点是可以对病毒、间谍 、木马程序进行全面的监视,一旦这些程序运行就会立即发现,也可以说 它是防治病毒软件的辅助工具。计算机病毒与防治课程小组RegSnap注册表快照Regsnap的主要功能,是对注册表“照相”,也就是在不同的时候,通过该软件将当前注册表及相关内容保存到文件中,然后进行比较,Regsnap就会详细地 向你报告注册表及与系统有关的其他内容的变化情况。该软件的用法实际是 很简单的,但是在实用中却有相当多的技巧,能为我们做很多别的软件做不 到的事情。 计算机病毒与防治课程小组RegSnap注册表快照Regsnap在比较了两个注册表输出文件后,会输出一个比较报告。因 此用户还要选择一下输出文件的方式。Regsnap提供两种输出文件方 式,一种是纯文本方式,还有一种是HTML方式。需要指出的是,如果 你选择了纯文本输出方式,那么即使你在报告类型中选择的是“show modified key names and key vaules”方式,系统也无法给出具体的 新旧内容的比较。要得知具体的变动情况,必须使用HTML(超文本) 方式输出报告。本讲小结影子系统IceSowrd 工具Filemon 工具掌握进行病毒行为分析的必备工具计算机病毒与防治课程小组RegSnap 工具小结Virus
