前言:想要寫(xiě)出一篇引人入勝的文章?我們特意為您整理了計(jì)算機(jī)病毒軟件檢測(cè)思索范文,希望能給你帶來(lái)靈感和參考,敬請(qǐng)閱讀。
1計(jì)算機(jī)病毒行為特征
(1)傳染性
傳染性是計(jì)算機(jī)病毒最重要的特征,是判斷一段程序代碼是否為計(jì)算機(jī)病毒的依據(jù)。計(jì)算機(jī)病毒是一段人為編制的計(jì)算機(jī)程序代碼,這段程序代碼一旦進(jìn)入計(jì)算機(jī)并得以執(zhí)行,它會(huì)搜尋其他符合其傳染條件的程序或存儲(chǔ)介質(zhì),確定目標(biāo)后再將自身代碼插入其中,達(dá)到自我繁殖的目的。是否具有傳染性是判別一個(gè)程序是否為計(jì)算機(jī)病毒的重要條件。
(2)非授權(quán)性
病毒隱藏在合法程序中,當(dāng)用戶調(diào)用合法程序時(shí)竊取到系統(tǒng)的控制權(quán),先于合法程序執(zhí)行,病毒的動(dòng)作、目的對(duì)用戶是未知的,是未經(jīng)用戶允許的。
(3)隱蔽性
病毒一般是具有很高編程技巧、短小精悍的程序,它們一般附著在合法程序之中,也有個(gè)別的以隱含文件形式出現(xiàn),目的是不讓用戶發(fā)現(xiàn)它的存在。如果不經(jīng)過(guò)代碼分析,病毒程序與合法程序是不容易區(qū)別開(kāi)來(lái)的。
(4)潛伏性
大部分的病毒傳染系統(tǒng)之后一般不會(huì)馬上發(fā)作,它可長(zhǎng)期隱藏在系統(tǒng)中,只有在滿足其特定條件時(shí)才啟動(dòng)破壞模塊。如著名的在每月26日發(fā)作的CIH病毒。
(5)破壞性
病毒可分為良性病毒與惡性病毒。良性病毒多數(shù)都是編制者的惡作劇,它對(duì)文件、數(shù)據(jù)不具有破壞性,但會(huì)浪費(fèi)系統(tǒng)資源。而惡性病毒則會(huì)破壞數(shù)據(jù)、刪除文件或加密磁盤(pán)、格式化磁盤(pán)等。
(6)不可預(yù)見(jiàn)性
從對(duì)病毒檢測(cè)方面看,病毒還有不可預(yù)見(jiàn)性。不同種類(lèi)的病毒,它們的代碼千差萬(wàn)別。雖然反病毒技術(shù)在不斷發(fā)展,但是病毒的制作技術(shù)也在不斷的提高,病毒總是先于相應(yīng)反病毒技術(shù)出現(xiàn)。
(7)可觸發(fā)性
計(jì)算機(jī)病毒一般都有一個(gè)或者幾個(gè)觸發(fā)條件。如果滿足其觸發(fā)條件,將激活病毒的傳染機(jī)制進(jìn)行傳染,或者激活病毒的表現(xiàn)部分或破壞部分。病毒的觸發(fā)條件越多,則傳染性越強(qiáng)。
2實(shí)驗(yàn)環(huán)境
本文的實(shí)驗(yàn)環(huán)境為一臺(tái)PC機(jī),其運(yùn)行WindowsXPSP3系統(tǒng)和裝有WindowsXPSP3系統(tǒng)的Vmvare7.0虛擬機(jī),其中還有OllyDBG、Filemon、SReng2、Regshot、SSM在開(kāi)始實(shí)驗(yàn)之前,我們先要確保虛擬機(jī)內(nèi)的系統(tǒng)純凈,然后保存虛擬機(jī)的快照。
3檢測(cè)分析計(jì)算機(jī)病毒過(guò)程
運(yùn)行Regshot進(jìn)行注冊(cè)表快照比較。首先,運(yùn)行Regshot軟件,然后選擇日志輸出路徑后點(diǎn)擊1stshot,即對(duì)純凈系統(tǒng)下的注冊(cè)表進(jìn)行快照,之后不要退出程序,接下來(lái)運(yùn)行我們要測(cè)試的neworz.exe,再點(diǎn)擊2stshot,即對(duì)運(yùn)行病毒后的注冊(cè)表進(jìn)行快照。在第二次快照完成之后,點(diǎn)擊compare便會(huì)在IE瀏覽器中顯示出注冊(cè)表的變化,由于該病毒修改表項(xiàng)過(guò)多,此處只展示一部分。通過(guò)報(bào)告我們知道neworz共對(duì)注冊(cè)表造成影響有541項(xiàng),通過(guò)上圖我們能夠發(fā)現(xiàn),此病毒對(duì)很多殺毒軟件進(jìn)行了映像劫持操作。
(1)對(duì)使用系統(tǒng)端口進(jìn)行比較在進(jìn)行完注冊(cè)表對(duì)比后,我們將虛擬機(jī)系統(tǒng)還原至純凈快照,運(yùn)行CMD,切換到C盤(pán)根目錄下,輸入netstat–an>netstat1.txt,這樣做是保存純凈系統(tǒng)下系統(tǒng)所開(kāi)端口的記錄。之后運(yùn)行病毒文件,再次輸入netstat–an>netstat2.txt。對(duì)比兩個(gè)TXT文檔的變化,在這里,用的是UltraEdit進(jìn)行的比較。通過(guò)比較我們發(fā)現(xiàn)在運(yùn)行neworz.exe之后,虛擬機(jī)有了一個(gè)端口為1401的TCP鏈接,指向一個(gè)特定IP的80端口,打開(kāi)TCPview軟件,對(duì)所有TCP鏈接進(jìn)行監(jiān)控后發(fā)現(xiàn)這個(gè)1401端口正是neworz.exe打開(kāi)用來(lái)與遠(yuǎn)程主機(jī)通信的。
(2)用SReng2分析病毒樣本靜態(tài)行為再次將虛擬機(jī)還原到純凈快照處,這次我們要用到SReng2軟件。打開(kāi)SReng2,點(diǎn)擊左側(cè)的智能掃描,然后開(kāi)始掃描,保存掃描結(jié)果。在運(yùn)行病毒后再次運(yùn)行SReng2,并保存掃描結(jié)果,用UE對(duì)比兩次結(jié)果。我們能夠發(fā)現(xiàn)在進(jìn)程中多了neworz.exe進(jìn)程,同時(shí)發(fā)現(xiàn)其獲得了SeDebugPrivilege和SeLoadDriverPrivilege權(quán)限,并且在有一個(gè)不是在C:\Windows\System32目錄下的svchost.exe也同樣獲得了這兩個(gè)權(quán)限。
(3)通過(guò)Filemon觀察病毒的操作在這里需要提前說(shuō)明一點(diǎn),根據(jù)前面的分析研究發(fā)現(xiàn)neworz.exe病毒也對(duì)Filemon進(jìn)行了映像劫持,所以需要將主程序名更改一下方可正常運(yùn)行。同樣,還原虛擬機(jī)至純凈快照,打開(kāi)Filemon,將過(guò)濾條件設(shè)置成為neworz.exe,然后運(yùn)行病毒程序。由于信息量很大,只列舉一部分,如圖2所示,我們可以發(fā)現(xiàn)在其在C:\DocumentsandSettings\Administrator\LocalSettings\Temp目錄下創(chuàng)建了綠化.bat,還發(fā)現(xiàn)其在相同的目錄下創(chuàng)建了svchost.exe和urlmOn.dll。
(4)OllyDBG分析還原虛擬機(jī)系統(tǒng),運(yùn)行PEID對(duì)neworz.exe進(jìn)行查殼,發(fā)現(xiàn)其使用的是WinUpack0.39final的殼。對(duì)其脫殼,脫殼過(guò)程不在這里進(jìn)行說(shuō)明了。脫殼之后顯示是VC6.0編寫(xiě)的。將其載入OD,查找字符串,結(jié)合我們剛才對(duì)neworz.exe行為的分析,我們發(fā)現(xiàn)了其創(chuàng)建的綠化.bat和修改的權(quán)限,圖3是病毒對(duì)注冊(cè)表的修改,我們可以發(fā)現(xiàn)其對(duì)大部分的殺毒軟件都進(jìn)行了映像劫持,同時(shí)還有任務(wù)管理器。
(5)通過(guò)HIPS軟件SSM對(duì)病毒進(jìn)行動(dòng)態(tài)分析與Filemon一樣,在用SSM對(duì)病毒進(jìn)行動(dòng)態(tài)監(jiān)控時(shí),也需要將SSM主程序更改名稱(chēng)。最后一次將系統(tǒng)還原至純凈,安裝SSM,并將系統(tǒng)內(nèi)的安全進(jìn)程設(shè)為信任。再次運(yùn)行病毒,可以發(fā)現(xiàn)neworz.exe運(yùn)行了winlogon.exe,之后services.exe運(yùn)行了Beep.sys等等,在這里就不一一舉例了。
4總結(jié)
本文通過(guò)對(duì)neworz.exe計(jì)算機(jī)病毒為例,總結(jié)了使用虛擬機(jī)和軟件行為分析技術(shù)對(duì)檢測(cè)病毒行為的各個(gè)步驟:注冊(cè)表快照對(duì)比、端口開(kāi)放與通信對(duì)比、利用SReng2比較分析、通過(guò)使用Filemon觀察病毒文件操作、研究分析OD字符串和使用HIPS軟件對(duì)病毒進(jìn)行動(dòng)態(tài)觀察等,使得在接下來(lái)的查殺和今后的防御有了極大的幫助。
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)期刊全文數(shù)據(jù)庫(kù)(CJFD)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:省級(jí)期刊
榮譽(yù):中國(guó)優(yōu)秀期刊遴選數(shù)據(jù)庫(kù)
級(jí)別:部級(jí)期刊
榮譽(yù):--