[psac]

電腦病毒樣本的提取（一次性加/解密的病毒樣本）

By 殺毒防馬研究組，QQ群：1938484

再次宣告，研究病毒技術是為了更好的做好反病毒工作。我們反對一切形式的破壞，我們要致力於反病毒事業。

在這裡我會簡單的介紹病毒樣本的獲取與分析方法。

個人如何獲取病毒樣本呢？
對於我們個人用戶來說，當然沒有反病毒公司截獲病毒的那種條件。不過，要找一些病毒樣本來分析也不是一件難事情。
我們可以設定自己的蜜罐。
首先要準備一個虛擬機，在虛擬機裡面安裝win2k+SP1,再安裝IIS6.0和SQL Server 2000,能開啟的服務都開啟，最好再安裝NAV（防止重複獲得已知的病毒樣本），並安裝ISA防火牆來監控網路流，在用SNIFFER XP來做地層包的截獲，最後安裝文件變化記錄器（主要用於CRC32校驗比較以判斷文件是否發生變化，我們僅監視幾種病毒經常感染的檔案類型就可以了）。在用虛擬機的抓圖 功能制作備份虛擬機中的系統。
這樣我們就準備好了自己的DIY型蜜罐，現在到HOTMAIL註冊一個E-MAIL，然後加入多個國外的新聞組等熱鬧的地方，這樣就會有更多的機會得當樣本。接下來就是等待了，經常檢視信箱的郵件，等到SNIFFER XP監視出現流量異常或NAV被關閉或失效，此時應該多開啟幾次一些PROGRAM FILES目錄下的程序以保證病毒的感染，一般來說IPC$和IIS進來的病毒或者懦蟲會開一些新的工作，我們可以用CTRL+ALT+DEL把他們查出來，知道那些文件--複製到儲存樣本的介質上~~然後把文件變化器中發現的檔案拷貝出來，這樣就得到疑似樣本了。

VBS指令碼病毒樣本的提取
當獲得了VBS指令碼病毒樣本後，其提取方法是比較簡單的。對於獲取的VBS指令碼病毒樣本，我們可以直接用文本編輯器開啟樣本文件檢視其中的原程式碼。對於有加密的病毒，樣本提取的工作其實到這裡就已經結束了。

一次性加/解密的病毒樣本
這樣的病毒比較普遍，但是弱點也比較明顯。因為他們是對加密病毒程式碼一次性解密後直接執行的，我們便可以在其解密之後、執行之前將病毒程式碼提取出來，或者乾脆移除其程式碼，寫入我們自己的病毒提取程式碼。

這裡我以大家比較熟悉的「新歡樂時光」為例子，說明這種方法提出的方法。
感染這個病毒後，會發現在每個目錄下都有兩個隱藏文件： desktop.ini folder.htt
用ultraEdit開啟 folder.htt ，會發現這個文件總共才93行，第一行為<body onload="vbscript:KJ_start()">,幾行註釋後，以<html>開始，</html>結束，很顯然這是一個HTM格式的文件(folder.htt摸板就是採用了樣式表和html標記).

第87行到91行的語句如下：