课程咨询 :025-84812726

  • Linux系统下手动分析病毒样本技巧

    发布:linux培训      来源:南京达内      

  • Linux系统下分析病毒样本其实还是比较方便的,下面我们来看看如何操作:

    原理:利用md5值的不同进行文件的对比。

    操作背景:

    1. XP安装光盘;

    2. 病毒样本;

    3. U盘;

    4. Ubuntu 7.10 LiveCD

    5.所需的几个对比md5和转化二进制文件格式的程序

    操作过程:

    1. 全盘格式化,同时安装Windows(也可采用ghost回去,但是一定注意其他磁盘可能的病毒感染)

    2. 在刚装好的Windows下,导出注册表。将导出文件放入C盘根目录下。这里我命名为1.reg

    3. 进入Ubuntu系统,注意,进入前f2选择简体中文模式

    4. 挂载C盘:

    mkdir /mnt/hdd1 (生产系统C盘挂载点)

    mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (将系统C盘挂载到/mnt/hdd1下,注意文件格式和设备号视具体情况而定)

    5. 挂载U盘:

    mkdir /mnt/usb (生成U盘挂载点)

    mount -t vfat /dev/sda1 /mnt/usb (将U盘挂载到/mnt/usb下,同样注意文件格式和设备号)

    6. 将导出的注册表信息放入U盘:

    假设U盘上已经有test目录,同时,在test目录下有parse.sh,parseWinReg,ShowList 三个程序

    cp /mnt/hdd1/1.reg /mnt/usb/test (将导出注册表拷贝至/mnt/usb/test目录下)

    cd /mnt/usb/test (进入U盘test 目录)

    ./parseWinReg 1.reg origreg (将导出注册表进行格式转换,生成origreg)

    7. 计算C盘所有文件md5值:

    rm /mnt/hdd1/pagefile.sys (这个文件太大影响计算速度,删除)

    /mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/origfile (计算磁盘文件md5值,并将结果导出至U盘test目录下origfile)

    8. 重新进入Windows,同时,激发病毒文件

    注意:先将病毒文件放入磁盘,拔掉U盘,拔掉网线,再激发!

    9. 重复3,4,5,6,7步骤

    mkdir /mnt/hdd1

    mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1

    mkdir /mnt/usb

    mount -t vfat /dev/sda1 /mnt/usb

    cp /mnt/hdd1/2.reg /mnt/usb/test (这里假设导出的注册表是2.reg)

    cd /mnt/usb/test

    ./parseWinReg 2.reg newreg

    rm /mnt/hdd1/pagefile.sys

    /mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/newfile

    10. 至此,我们得到了原始的系统信息:origreg, origfile,中病毒之后的信息:newreg, newfile

    11. 比较文件不同之处:diff -Nur origfile newfile > filediff

    12. 比较注册表不同之处:diff -Nur origreg newreg > regdiff

    13. 分析filediff 和 regdiff,得到结论

    分析小技巧:一般情况下前面出现 的就是病毒释放的,-就是有过改动的(感染的),如果是md5值是成双成对出现(一个 和一个-),那那一行一般不是,如果前面没有任何标记,那说明也不是。咱们把没用的删除,只留下有单个或者单个-的,最好看文件路径,即得到了病毒的产生文件或者是感染文件。

    更多linux资讯请点击:linux培训课程资料。

上一篇:Linux VPS下安装KLOXO全面优化 降低内存占用

下一篇:Linux技巧:多核下绑定硬件进程到不同CPU

最新开班日期  |  更多

 Linux--零基础全日制班

Linux--零基础全日制班

开班日期:04-28

Linux--全日制班

Linux--全日制班

开班日期:04-28

Linux--零基础周末班

Linux--零基础周末班

开班日期:04-28

Linux--周末班

Linux--周末班

开班日期:04-28

  • 地址:南京市龙蟠中路30号东来商务中心A座5楼
  • 课程培训电话:025-84812726     全国服务监督电话:400-111-8989
  • 服务邮箱 tousu@tedu.cn
  • 2001-2016 达内时代科技集团有限公司 版权所有 京ICP证8000853号-56