|
如何提取病毒样本?
1 、 蠕虫 /特洛伊木马类
这类病毒一般不感染其它的正常可执行文件,它会像正常的软件一样 "安装 "在系统中,只不过 "安装 "过程是秘密的。它们一般会更改系统配置文件及注册表:
一、更改系统的相关配置文件(这种情况主要是针对 95/98/me系统)。
病毒可能会更改 autoexec.bat,只要在其中加入执行病毒程序文件的语句即可在系统启动时自动激活病毒。
更改 drive:\windows\win.ini或者 system.ini文件。病毒通常会在 win.ini的 "run="后面加入病毒自身的文件名,或者在
system.ini文件中将 "shell="更改。
二、更改注册表健值。
目前,只要新出的蠕虫 /特洛伊木马类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
说明:在系统启动时自动执行的程序
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
说明:在系统启动时自动执行的系统服务程序
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
说明:在系统启动时自动执行的程序,这是病毒最有可能修改 /添加的地方。例如: Worm.Netsky.h病毒将增加: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"antivirus"
= "%WINDIR%\maja.exe -antivirus service"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
说明:此键值相当于在 Win.ini的 "run="加入病毒自身文件名,能使在系统启动时自动激活病毒。 HKLM\Software\Microsoft\Windows
NT\CurrentVersion\Winlogon\Shell
说明:此键值相当于在 System.ini的 "shell="加入病毒自身文件名,能使在系统启动时自动激活病毒。 HKEY_CLASSES_ROOT\exefile\shell\open\command
说明:此键值能使病毒在用户运行任何 EXE程序时被运行,即文件关联键值。以此类推, ..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便实现病毒自动运行的功能。
另外,有些键值还可能被利用来实现比较特别的功能:
如有些病毒会通过修改下面的键值来阻止用户查看和修改注册表:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
System\DisableRegistryTools =
从以上键值找出可疑文件文件名,然后全盘查找这些文件作为附件上报。
2 、 引导型病毒
计算机硬盘或者软盘引导区可能被病毒感染,而已有的杀毒软件不能检测出来,或检测出有病毒而不能清除,这种情况下,请用户提取引导型病毒样本:
方法一、使用瑞星 DOS杀毒工具提取
第一步:用瑞星光盘或瑞星 DOS盘启动计算机;
第二步:在瑞星 DOS杀毒软件界面【实用工具】选项卡中,选择【提取硬盘引导区信息】,随即弹出窗口提示用户插入软盘,选择【确定】即可开始提取硬盘引导区信息到软盘中;
第三步:您可以将保存有硬盘引导区信息的软盘寄送到瑞星公司,或者把软盘中的引导区信息文件作为附件上报。
方法二、使用引导区信息提取工具提取
第一步:到瑞星网站下载引导区信息提取工具
http://it.rising.com.cn/service/technology/Getboot_download.shtml并拷贝到一张软盘中;
第二步:用瑞星光盘或其他干净的系统盘启动计算机;
第三步:将拷贝了引导区信息提取工具的软盘插入软盘驱动器,并按如下格式运行
命令格式: GETBOOT 【 Drive】
格式说明:【 Drive】指待提取信息的磁盘驱动器名,在 GETBOOT之后需要输入一个空格。
附:
举例一:提取 A驱动器软盘引导区的信息到 Boot.dmp文件,文件保存在 A盘的操作命令
A:\GETBOOT A:
举例二:提取硬盘引导区的信息到 Boot.dmp和 Mbr.dmp两个文件,文件保存在 A盘上,操作命令
A:\GETBOOT C:
第四步:您可以将保存有硬盘引导区信息的软盘寄送到瑞星公司,或者把软盘中的引导区信息文件作为附件上报。
3 、 宏病毒类
1 )可直接将 Word、 Excel、 PowerPoint的模板文件 (Word 为 Normal.dot、 Excel 位于 xlStart 目录下所有文件
)拷贝下来即可,可以用查找方式找到,然后作为附件上报。
2 )使用瑞星杀毒软件扫描时报告有“ Unkown Macro Virus”病毒名(即未知宏病毒)的文件,作为附件上报。
4 、 电子邮件病毒
收到可疑的电子邮件,如包含附件是: .exe、 .com、 .scr、 .pif、 .lnk、 .bat等的特殊邮件,请用户将这封邮件(含其附件)作为附件上报。
5 、 感染文件的病毒(文件型)
此类病毒在 dos/Win3x时代是最常见的,现在已经不是很常见了。此类病毒最明显的特征是将自身代码加入到正常文件中,因此一般情况下(也有特例,使用压缩功能将代码放置于文件的冗余处使得文件长度不变)受感染的文件字节长度会增加。
简单的判断方法是与正常的系统文件进行比较,字节增加的就是可疑文件。如果不放心可使用系统自带的比较命令 "fc.exe"进行比较:
例如:将可疑的 notepad.exe文件改名为 notepad-vir.exe,再将此文件与正常的 notepad.exe文件放在同一个目录中,执行: fc
notepad-vir.exe notepad.exe 如果不同,则会提示两个文件的不同代码位置;如果相同,则会提示“找不到相异处”。
6 、 脚本 /恶意代码类
1)此类病毒很多利用 ie漏洞进行传播,一般都是 .js、 .htt、 .as、 .vbs、 .shtml、 .shtmll、 .asp等类型文件。比如 redlof(红色结束符病毒)更改系统的
folder.htt文件。这类病毒有的会更改本地的网页文件( asp,htm,php等),一般会在正常文件后部增加脚本代码。找到这些被修改的网页文件作为附件上报。
2 )用瑞星杀毒软件扫描时报告为 Unkown Script Virus(未知脚本病毒)的文件请作为附件上报。
3 )如果浏览某网站后出现系统异常,用户可以利用瑞星听诊器上传提取的报告,并在邮件正文描述具体的计算机中病毒的现象。
在病毒已经激活的情况下,比较常见的病毒都可通过以上方法找到其样本文件。
|