電腦病毒樣本的提取(一次性加/解密的病毒樣本)
電腦病毒樣本的提取(一次性加/解密的病毒樣本)
By 殺毒防馬研究組,QQ群:1938484
再次宣告,研究病毒技術是為了更好的做好反病毒工作。我們反對一切形式的破壞,我們要致力於反病毒事業。
在這裡我會簡單的介紹病毒樣本的獲取與分析方法。
個人如何獲取病毒樣本呢?
對於我們個人用戶來說,當然沒有反病毒公司截獲病毒的那種條件。不過,要找一些病毒樣本來分析也不是一件難事情。
我們可以設定自己的蜜罐。
首先要準備一個虛擬機,在虛擬機裡面安裝win2k+SP1,再安裝IIS6.0和SQL Server 2000,能開啟的服務都開啟,最好再安裝NAV(防止重複獲得已知的病毒樣本),並安裝ISA防火牆來監控網路流,在用SNIFFER XP來做地層包的截獲,最後安裝文件變化記錄器(主要用於CRC32校驗比較以判斷文件是否發生變化,我們僅監視幾種病毒經常感染的檔案類型就可以了)。在用虛擬機的抓圖 功能制作備份虛擬機中的系統。
這樣我們就準備好了自己的DIY型蜜罐,現在到HOTMAIL註冊一個E-MAIL,然後加入多個國外的新聞組等熱鬧的地方,這樣就會有更多的機會得當樣本。接下來就是等待了,經常檢視信箱的郵件,等到SNIFFER XP監視出現流量異常或NAV被關閉或失效,此時應該多開啟幾次一些PROGRAM FILES目錄下的程序以保證病毒的感染,一般來說IPC$和IIS進來的病毒或者懦蟲會開一些新的工作,我們可以用CTRL+ALT+DEL把他們查出來,知道那些文件--複製到儲存樣本的介質上~~然後把文件變化器中發現的檔案拷貝出來,這樣就得到疑似樣本了。
VBS指令碼病毒樣本的提取
當獲得了VBS指令碼病毒樣本後,其提取方法是比較簡單的。對於獲取的VBS指令碼病毒樣本,我們可以直接用文本編輯器開啟樣本文件檢視其中的原程式碼。對於有加密的病毒,樣本提取的工作其實到這裡就已經結束了。
一次性加/解密的病毒樣本
這樣的病毒比較普遍,但是弱點也比較明顯。因為他們是對加密病毒程式碼一次性解密後直接執行的,我們便可以在其解密之後、執行之前將病毒程式碼提取出來,或者乾脆移除其程式碼,寫入我們自己的病毒提取程式碼。
這裡我以大家比較熟悉的「新歡樂時光」為例子,說明這種方法提出的方法。
感染這個病毒後,會發現在每個目錄下都有兩個隱藏文件: desktop.ini folder.htt
用ultraEdit開啟 folder.htt ,會發現這個文件總共才93行,第一行為<body onload="vbscript:KJ_start()">,幾行註釋後,以<html>開始,</html>結束,很顯然這是一個HTM格式的文件(folder.htt摸板就是採用了樣式表和html標記).
第87行到91行的語句如下:
|