計(jì)算機(jī)病毒與防治重慶電子工程職業(yè)學(xué)院計(jì)算機(jī)病毒與防治課程小組教學(xué)單元3-2病毒行為分析平臺

IceSowrd

影子系統(tǒng)

Filemon

第一講怎樣建立自己的病毒行為分析平臺計(jì)算機(jī)病毒與防治課程小組小結(jié)

RegSnap建立自己的病毒行為分析平臺計(jì)算機(jī)病毒與防治課程小組我們要知道病毒是怎樣在破壞系統(tǒng)，就需要羅列出病毒的詳細(xì)行為，這些看來沒有頭緒的事情，其實(shí)并不是想象中的那樣困難，關(guān)鍵是我們需要打造一個(gè)自己的病毒實(shí)驗(yàn)室。工欲善其事，必先利其器，下面給你介紹我們在病毒行為分析中常用的工具。計(jì)算機(jī)病毒與防治課程小組影子系統(tǒng)簡介誕生于2004年底的影子系統(tǒng)采用最先進(jìn)的操作系統(tǒng)虛擬化技術(shù)生成當(dāng)前操作系統(tǒng)的影像，借助創(chuàng)新的Windows虛擬化技術(shù)，實(shí)現(xiàn)了“層次化”的安全保護(hù)模式，在影子模式下，可以隨心所欲使用電腦，而不用擔(dān)心會對正常的系統(tǒng)造成不良影響，它具有真實(shí)系統(tǒng)完全一樣的功能。進(jìn)入影子系統(tǒng)后，所有操作都是虛擬的，因此所有的病毒和流氓軟件都無法侵害真正的操作系統(tǒng)。用影子系統(tǒng)進(jìn)行自我保護(hù)計(jì)算機(jī)病毒與防治課程小組影子系統(tǒng)簡介單一影子模式單一影子模式是一種只保護(hù)Windows操作系統(tǒng)的使用模式，它僅為操作系統(tǒng)所在分區(qū)創(chuàng)建虛擬化影像，而非系統(tǒng)分區(qū)在單一影子模式下則保持正常模式狀態(tài)。單一影子模式計(jì)算機(jī)病毒與防治課程小組影子系統(tǒng)簡介完全影子模式與單一影子模式比較，完全影子模式將會對本機(jī)內(nèi)所有硬盤分區(qū)創(chuàng)建影子。當(dāng)退出完全影子模式時(shí)，任何對本機(jī)內(nèi)硬盤分區(qū)的更改將會消失。在完全影子模式下，可以將有用的文件儲存至閃存或者移動磁盤內(nèi)。

完全影子模式計(jì)算機(jī)病毒與防治課程小組影子系統(tǒng)簡介進(jìn)入單一影子系統(tǒng)有了影子系統(tǒng)，你的電腦將具有金鐘罩本領(lǐng)，百毒不侵，那么我們就可以以身試毒在自己的電腦上運(yùn)行計(jì)算機(jī)病毒，而不用擔(dān)心病毒可能會給電腦造成的傷害。計(jì)算機(jī)病毒與防治課程小組IceSowrd——冰刀IceSword也稱為冰刀或者冰刃，有些人簡稱IS，是USTC的PJF出品的一款系統(tǒng)診斷、清除利器。IceSword內(nèi)部功能是十分強(qiáng)大的?？赡苣灿眠^很多類似功能的軟件，比如一些進(jìn)程工具、端口工具，但是現(xiàn)在的系統(tǒng)級后門功能越來越強(qiáng)，一般都可輕而易舉地隱藏進(jìn)程、端口、注冊表、文件信息，一般的工具根本無法發(fā)現(xiàn)這些“幕后黑手”。IceSword使用大量新穎的內(nèi)核技術(shù)，使得這些后門躲無所躲。計(jì)算機(jī)病毒與防治課程小組IceSowrd——冰刀1查看進(jìn)程包括運(yùn)行進(jìn)程的文件地址、各種隱藏的進(jìn)程以及優(yōu)先級。用它也可以輕易殺掉用任務(wù)管理器、Procexp等工具殺不掉的進(jìn)程。還可以查看進(jìn)程的線程、模塊信息，結(jié)束線程等。

計(jì)算機(jī)病毒與防治課程小組IceSowrd——冰刀

2查看端口類似于cport、ActivePort這類工具，顯示當(dāng)前本地打開的端品以及相應(yīng)的應(yīng)用程序地址、名字。包括使用了各種手段隱藏端口的工具，在它下面，都一覽無余。計(jì)算機(jī)病毒與防治課程小組IceSowrd——冰刀

3查看內(nèi)核模塊加載到系統(tǒng)內(nèi)和空間的PE模塊，一般都是驅(qū)動程序*.sys，可以看到各種已經(jīng)加載的驅(qū)動。包括一些隱藏的驅(qū)動文件，如IS自身的IsDrv118.sys，這個(gè)在資源管理器里是看不見的。計(jì)算機(jī)病毒與防治課程小組IceSowrd——冰刀

Windows啟動組里面的相關(guān)方式，這個(gè)比較容易理解了。不過可惜的是沒有提示刪除功能，只能查看。4查看啟動組計(jì)算機(jī)病毒與防治課程小組IceSowrd——冰刀

5查看服務(wù)

用于查看系統(tǒng)中的被隱藏的或未隱藏的服務(wù)，隱藏的服務(wù)以紅色顯示。提供對服務(wù)的操作如啟動，停止，禁用等。計(jì)算機(jī)病毒與防治課程小組IceSowrd——冰刀

6SPI和BHO這兩個(gè)是目前流氓軟件越來越看中的地方。SPI是服務(wù)提供接口，即所有Windows的網(wǎng)絡(luò)操作都是通過這個(gè)接口發(fā)出和接收數(shù)據(jù)包的。很多流氓軟件把這個(gè).dll替換掉，這樣就可以監(jiān)視所有用戶訪問網(wǎng)絡(luò)的包，可以針對性投放一些廣告。如果不清楚的情況下，把這個(gè).dll刪掉，會造成網(wǎng)絡(luò)無法使用，上不了網(wǎng)。LSPFix等工具就是針對這個(gè)功能的。BHO就更不用說了，瀏覽器的輔助插件，用戶啟動瀏覽器的時(shí)候，它就可以自動啟動，彈出廣告窗口什么的。這兩項(xiàng)僅提供查看的功能。計(jì)算機(jī)病毒與防治課程小組IceSowrd——冰刀

7SSDT系統(tǒng)服務(wù)描述表，內(nèi)核級后門有可能修改這個(gè)服務(wù)表，以截獲你系統(tǒng)的服務(wù)函數(shù)調(diào)用，特別是一些老的rootkit，像上面提到的ntrootkit通過這種hook實(shí)現(xiàn)注冊表、文件的隱藏。被修改的值以紅色顯示，當(dāng)然有些安全程序也會修改，比如regmon。計(jì)算機(jī)病毒與防治課程小組IceSowrd——冰刀

8消息鉤子若在dll中使用SetWindowsHookEx設(shè)置一全局鉤子，系統(tǒng)會將其加載入使用user32的進(jìn)程中，因而它也可被利用為無進(jìn)程木馬的進(jìn)程注入手段。計(jì)算機(jī)病毒與防治課程小組IceSowrd——冰刀

9線程創(chuàng)建和線程終止監(jiān)視“監(jiān)視進(jìn)線程創(chuàng)建”將IceSword運(yùn)行期間的進(jìn)線程創(chuàng)建調(diào)用記錄在循環(huán)緩沖里，“監(jiān)視進(jìn)程終止”記錄一個(gè)進(jìn)程被其它進(jìn)程Terminate的情況。計(jì)算機(jī)病毒與防治課程小組IceSowrd——冰刀

10注冊表操作說起Regedit的不足就太多了，比如它的名稱長度限制，建一個(gè)全路徑名長大于255字節(jié)的子項(xiàng)看看（編程或用其他工具，比如regedt32），此項(xiàng)和位于它后面的子鍵在regedit中顯示不出來；再如有意用程序建立的有特殊字符的子鍵regedit根本打不開。IceSword中添加注冊表編輯并不是為了解決上面的問題，因?yàn)橐呀?jīng)有了很多很好的工具可以代替Regedit。IceSword中的“注冊表”項(xiàng)是為了查找被木馬后門隱藏的注冊項(xiàng)而寫的，它不受目前任何注冊表隱藏手法的蒙蔽，真正可靠的讓你看到注冊表實(shí)際內(nèi)容。計(jì)算機(jī)病毒與防治課程小組Filemon——文件監(jiān)視

在啟動Filemon后程序開始掃描計(jì)算機(jī)中的程序，接著就可以看到當(dāng)前運(yùn)行的所有程序了。此時(shí)如果啟動了一個(gè)程序，就會在FileMon中立刻顯示，并且在FileMon中可以查看到“進(jìn)程”、“請求”、“路徑”等信息，其中這3個(gè)是相當(dāng)關(guān)鍵的?！斑M(jìn)程”代表了程序名，“請求”表示對磁盤的操作，“路徑”表示此程序位于什么位置。計(jì)算機(jī)病毒與防治課程小組Filemon——文件監(jiān)視

通過篩選的方式可以將我們感興趣的信息保存下來，方便對病毒行為的分析。FileMon除了監(jiān)視程序的讀寫操作外，還會監(jiān)視對程序的所有操作，比如在程序中進(jìn)行單擊操作也會被監(jiān)視。FileMon最大的優(yōu)點(diǎn)是可以對病毒、間諜、木馬程序進(jìn)行全面的監(jiān)視，一旦這些程序運(yùn)行就會立即發(fā)現(xiàn)，也可以說它是防治病毒軟件的輔助工具。計(jì)算機(jī)病毒與防治課程小組RegSnap——注冊表快照

Regsnap的主要功能，是對注冊表“照相”，也就是在不同的時(shí)候，通過該軟件將當(dāng)前注冊表及相關(guān)內(nèi)容保存到文件中，然后進(jìn)行比較，Regsnap就會詳細(xì)地向你報(bào)告注冊表及與系統(tǒng)有關(guān)的其他內(nèi)容的變化情況。該軟件的用法實(shí)際是很簡單的，但是在實(shí)用中卻有相當(dāng)多的技巧，能為我們做很多別的軟件做不到的事情。

計(jì)算機(jī)病毒與防治課程小組RegSnap——注冊表快照

Regsnap在比較了兩個(gè)注冊表輸出文件后，會輸出一個(gè)比較報(bào)告。因此用戶還要選擇一下輸出文件的方式。Regsnap提供兩種輸出文件方式，一種是純文本方式，還有一種是HTML方式。需要指出的是，如果你選擇了純文本輸出方式，那么即使你在報(bào)告類型中選擇的是“showmodifiedkeynamesandke