前言:想要寫出一篇引人入勝的文章?我們特意為您整理了計算機病毒軟件檢測思索范文,希望能給你帶來靈感和參考,敬請閱讀。
1計算機病毒行為特征
(1)傳染性
傳染性是計算機病毒最重要的特征,是判斷一段程序代碼是否為計算機病毒的依據。計算機病毒是一段人為編制的計算機程序代碼,這段程序代碼一旦進入計算機并得以執行,它會搜尋其他符合其傳染條件的程序或存儲介質,確定目標后再將自身代碼插入其中,達到自我繁殖的目的。是否具有傳染性是判別一個程序是否為計算機病毒的重要條件。
(2)非授權性
病毒隱藏在合法程序中,當用戶調用合法程序時竊取到系統的控制權,先于合法程序執行,病毒的動作、目的對用戶是未知的,是未經用戶允許的。
(3)隱蔽性
病毒一般是具有很高編程技巧、短小精悍的程序,它們一般附著在合法程序之中,也有個別的以隱含文件形式出現,目的是不讓用戶發現它的存在。如果不經過代碼分析,病毒程序與合法程序是不容易區別開來的。
(4)潛伏性
大部分的病毒傳染系統之后一般不會馬上發作,它可長期隱藏在系統中,只有在滿足其特定條件時才啟動破壞模塊。如著名的在每月26日發作的CIH病毒。
(5)破壞性
病毒可分為良性病毒與惡性病毒。良性病毒多數都是編制者的惡作劇,它對文件、數據不具有破壞性,但會浪費系統資源。而惡性病毒則會破壞數據、刪除文件或加密磁盤、格式化磁盤等。
(6)不可預見性
從對病毒檢測方面看,病毒還有不可預見性。不同種類的病毒,它們的代碼千差萬別。雖然反病毒技術在不斷發展,但是病毒的制作技術也在不斷的提高,病毒總是先于相應反病毒技術出現。
(7)可觸發性
計算機病毒一般都有一個或者幾個觸發條件。如果滿足其觸發條件,將激活病毒的傳染機制進行傳染,或者激活病毒的表現部分或破壞部分。病毒的觸發條件越多,則傳染性越強。
2實驗環境
本文的實驗環境為一臺PC機,其運行WindowsXPSP3系統和裝有WindowsXPSP3系統的Vmvare7.0虛擬機,其中還有OllyDBG、Filemon、SReng2、Regshot、SSM在開始實驗之前,我們先要確保虛擬機內的系統純凈,然后保存虛擬機的快照。
3檢測分析計算機病毒過程
運行Regshot進行注冊表快照比較。首先,運行Regshot軟件,然后選擇日志輸出路徑后點擊1stshot,即對純凈系統下的注冊表進行快照,之后不要退出程序,接下來運行我們要測試的neworz.exe,再點擊2stshot,即對運行病毒后的注冊表進行快照。在第二次快照完成之后,點擊compare便會在IE瀏覽器中顯示出注冊表的變化,由于該病毒修改表項過多,此處只展示一部分。通過報告我們知道neworz共對注冊表造成影響有541項,通過上圖我們能夠發現,此病毒對很多殺毒軟件進行了映像劫持操作。
(1)對使用系統端口進行比較在進行完注冊表對比后,我們將虛擬機系統還原至純凈快照,運行CMD,切換到C盤根目錄下,輸入netstat–an>netstat1.txt,這樣做是保存純凈系統下系統所開端口的記錄。之后運行病毒文件,再次輸入netstat–an>netstat2.txt。對比兩個TXT文檔的變化,在這里,用的是UltraEdit進行的比較。通過比較我們發現在運行neworz.exe之后,虛擬機有了一個端口為1401的TCP鏈接,指向一個特定IP的80端口,打開TCPview軟件,對所有TCP鏈接進行監控后發現這個1401端口正是neworz.exe打開用來與遠程主機通信的。
(2)用SReng2分析病毒樣本靜態行為再次將虛擬機還原到純凈快照處,這次我們要用到SReng2軟件。打開SReng2,點擊左側的智能掃描,然后開始掃描,保存掃描結果。在運行病毒后再次運行SReng2,并保存掃描結果,用UE對比兩次結果。我們能夠發現在進程中多了neworz.exe進程,同時發現其獲得了SeDebugPrivilege和SeLoadDriverPrivilege權限,并且在有一個不是在C:\Windows\System32目錄下的svchost.exe也同樣獲得了這兩個權限。
(3)通過Filemon觀察病毒的操作在這里需要提前說明一點,根據前面的分析研究發現neworz.exe病毒也對Filemon進行了映像劫持,所以需要將主程序名更改一下方可正常運行。同樣,還原虛擬機至純凈快照,打開Filemon,將過濾條件設置成為neworz.exe,然后運行病毒程序。由于信息量很大,只列舉一部分,如圖2所示,我們可以發現在其在C:\DocumentsandSettings\Administrator\LocalSettings\Temp目錄下創建了綠化.bat,還發現其在相同的目錄下創建了svchost.exe和urlmOn.dll。
(4)OllyDBG分析還原虛擬機系統,運行PEID對neworz.exe進行查殼,發現其使用的是WinUpack0.39final的殼。對其脫殼,脫殼過程不在這里進行說明了。脫殼之后顯示是VC6.0編寫的。將其載入OD,查找字符串,結合我們剛才對neworz.exe行為的分析,我們發現了其創建的綠化.bat和修改的權限,圖3是病毒對注冊表的修改,我們可以發現其對大部分的殺毒軟件都進行了映像劫持,同時還有任務管理器。
(5)通過HIPS軟件SSM對病毒進行動態分析與Filemon一樣,在用SSM對病毒進行動態監控時,也需要將SSM主程序更改名稱。最后一次將系統還原至純凈,安裝SSM,并將系統內的安全進程設為信任。再次運行病毒,可以發現neworz.exe運行了winlogon.exe,之后services.exe運行了Beep.sys等等,在這里就不一一舉例了。
4總結
本文通過對neworz.exe計算機病毒為例,總結了使用虛擬機和軟件行為分析技術對檢測病毒行為的各個步驟:注冊表快照對比、端口開放與通信對比、利用SReng2比較分析、通過使用Filemon觀察病毒文件操作、研究分析OD字符串和使用HIPS軟件對病毒進行動態觀察等,使得在接下來的查殺和今后的防御有了極大的幫助。