讓病毒徹底曝光

對(duì)病毒木馬的行為分析，離不開功能強(qiáng)大的分析軟件，在眾多的分析工具中，SysAnalyzer無疑是其中的佼佼者，其特點(diǎn)是分析自動(dòng)化程度高，而且可以生成詳細(xì)的分析報(bào)告。其運(yùn)行原理并不復(fù)雜，通過對(duì)可疑程序運(yùn)行前后、對(duì)系統(tǒng)分別進(jìn)行掃描分析并拍攝快照，然后對(duì)兩個(gè)快照進(jìn)行對(duì)比分析，找出可疑程序?qū)ο到y(tǒng)所做的所有修改，并將其寫入報(bào)告文件中，通過對(duì)報(bào)告進(jìn)行分析，可以很容易發(fā)現(xiàn)病毒的蹤跡。為了安全起見，最好在虛擬機(jī)中運(yùn)行SysAnalyzer對(duì)可疑文件進(jìn)行分析處理。

圖4 SysAnalyzer主界面

SysAnalyzer的界面很簡單（如圖4所示），在“Executable”欄中點(diǎn)擊瀏覽按鈕，選擇需要分析的可疑程序，在“Delay”欄中可以設(shè)置拍攝兩個(gè)快照的間隔時(shí)間，一般使用默認(rèn)值即可。在“Option”欄中選擇“Use SniffHit”項(xiàng)，開啟嗅探功能，可以用來分析和可疑文件相關(guān)的端口、連接、數(shù)據(jù)傳輸?shù)染W(wǎng)絡(luò)活動(dòng)信息。選 擇“Use ApiLogger”項(xiàng)，可以監(jiān)控和可疑文件相關(guān)的API調(diào)用情況。選擇“Use Directory Watch”項(xiàng)，可以開啟文件監(jiān)視功能，可以監(jiān)控可疑文件對(duì)文件系統(tǒng)或者注冊(cè)表進(jìn)行的修改動(dòng)作。

這里就以某款病毒為例進(jìn)行分析操作，選擇該病毒程序后，并選擇所有的監(jiān)控項(xiàng)目，點(diǎn)擊“Start”按鈕，SysAnalyzer在該程序運(yùn)行前對(duì)系統(tǒng)拍攝快照，之后運(yùn)行該程序，并對(duì)其運(yùn)行情況進(jìn)行嗅探和監(jiān)視，當(dāng)該程序運(yùn)行完畢后，再拍攝系統(tǒng)快照，并對(duì)兩個(gè)快照進(jìn)行分析處理，得到所需的分析數(shù)據(jù)。

例如，在分析窗口（如圖5所示）底部打開“Running Processes”面板，可以看到新增加的進(jìn)程信息，例如“safe_test.exe”、“setup.tmp” 等 進(jìn)程信息，并顯示其具體的PID、使用者等信息。在目標(biāo)進(jìn)程上點(diǎn)擊右鍵，利用彈出菜單可以依次執(zhí)行顯示調(diào)用的DLL文件、轉(zhuǎn)存文件、結(jié)束進(jìn)程、顯示文件屬性等操作。在“Open ports”面板中顯示該可疑程序打開的所有端口信息，包括打開的端口、使用的協(xié)議、傳輸?shù)臄?shù)據(jù)等內(nèi)容。如果是木馬的話，可以在這里暴露其蹤 跡。在“Process Dlls”面板中顯示插入到Explorer.exe、Iexplorer.exe等系統(tǒng)進(jìn)程中的DLL文件，現(xiàn)在很多DLL木馬都會(huì)將自身注入到別的進(jìn)程中，來避開殺毒軟件的監(jiān)控，在這里可以使其原形畢露。在“Reg Monitor”面板中顯示該可疑程序?qū)ψ?cè)表中所做的所有修改，例如 其 在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”分支中創(chuàng)建了一個(gè)名為“evil”的啟動(dòng)項(xiàng)，以及跟隨系統(tǒng)啟動(dòng)的病毒文件等信息。

圖5 查看病毒分析信息

在“Loaded Drivers” 面板中顯示該病毒創(chuàng)建的驅(qū)動(dòng)文件，可以看到該病毒創(chuàng)建了后綴為“sys”，名稱隨機(jī)產(chǎn)生的驅(qū)動(dòng)文件，通過潛入系統(tǒng)底層對(duì)系統(tǒng)進(jìn)行破壞。在“Api Log”面板中顯示與該可疑程序相關(guān)的API函數(shù)調(diào)用情況。在“Directory Watch”面 板中顯示該可疑程序相關(guān)的所有文件變動(dòng)信息，包括創(chuàng)建、刪除、修改文件等行為。可以看到，其在系統(tǒng)路徑中創(chuàng)建了多個(gè)DLL文件，同時(shí)在程序文件夾中，以及用戶配置文件夾的特定位置等生成了幾個(gè)EXE、DLL、BAT、SCR 等 可執(zhí)行文件。點(diǎn)擊窗口右下角的“report”按鈕，在報(bào)告窗口中點(diǎn)擊“Save”按鈕，可以在桌面上創(chuàng)建名為“analysis”的文件夾，打開其中的“setup_report.txt”文件，可以查看詳細(xì)的分析數(shù)據(jù)，對(duì)其進(jìn)行分析，可以很容易地發(fā)現(xiàn)狡猾病毒的活動(dòng)情況。