• 
    

    
    

      99热精品在线国产_美女午夜性视频免费_国产精品国产高清国产av_av欧美777_自拍偷自拍亚洲精品老妇_亚洲熟女精品中文字幕_www日本黄色视频网_国产精品野战在线观看 ?

      讓病毒徹底曝光

      2015-12-03 03:23:06
      網(wǎng)絡(luò)安全和信息化 2015年9期
      關(guān)鍵詞:程序運(yùn)行快照進(jìn)程

      對(duì)病毒木馬的行為分析,離不開功能強(qiáng)大的分析軟件,在眾多的分析工具中,SysAnalyzer無疑是其中的佼佼者,其特點(diǎn)是分析自動(dòng)化程度高,而且可以生成詳細(xì)的分析報(bào)告。其運(yùn)行原理并不復(fù)雜,通過對(duì)可疑程序運(yùn)行前后、對(duì)系統(tǒng)分別進(jìn)行掃描分析并拍攝快照,然后對(duì)兩個(gè)快照進(jìn)行對(duì)比分析,找出可疑程序?qū)ο到y(tǒng)所做的所有修改,并將其寫入報(bào)告文件中,通過對(duì)報(bào)告進(jìn)行分析,可以很容易發(fā)現(xiàn)病毒的蹤跡。為了安全起見,最好在虛擬機(jī)中運(yùn)行SysAnalyzer對(duì)可疑文件進(jìn)行分析處理。

      圖4 SysAnalyzer主界面

      SysAnalyzer的界面很簡單(如圖4所示),在“Executable”欄中點(diǎn)擊瀏覽按鈕,選擇需要分析的可疑程序,在“Delay”欄中可以設(shè)置拍攝兩個(gè)快照的間隔時(shí)間,一般使用默認(rèn)值即可。在“Option”欄中選擇“Use SniffHit”項(xiàng),開啟嗅探功能,可以用來分析和可疑文件相關(guān)的端口、連接、數(shù)據(jù)傳輸?shù)染W(wǎng)絡(luò)活動(dòng)信息。選 擇“Use ApiLogger”項(xiàng),可以監(jiān)控和可疑文件相關(guān)的API調(diào)用情況。選擇“Use Directory Watch”項(xiàng),可以開啟文件監(jiān)視功能,可以監(jiān)控可疑文件對(duì)文件系統(tǒng)或者注冊(cè)表進(jìn)行的修改動(dòng)作。

      這里就以某款病毒為例進(jìn)行分析操作,選擇該病毒程序后,并選擇所有的監(jiān)控項(xiàng)目,點(diǎn)擊“Start”按鈕,SysAnalyzer在該程序運(yùn)行前對(duì)系統(tǒng)拍攝快照,之后運(yùn)行該程序,并對(duì)其運(yùn)行情況進(jìn)行嗅探和監(jiān)視,當(dāng)該程序運(yùn)行完畢后,再拍攝系統(tǒng)快照,并對(duì)兩個(gè)快照進(jìn)行分析處理,得到所需的分析數(shù)據(jù)。

      例如,在分析窗口(如圖5所示)底部打開“Running Processes”面板,可以看到新增加的進(jìn)程信息,例如“safe_test.exe”、“setup.tmp” 等 進(jìn)程信息,并顯示其具體的PID、使用者等信息。在目標(biāo)進(jìn)程上點(diǎn)擊右鍵,利用彈出菜單可以依次執(zhí)行顯示調(diào)用的DLL文件、轉(zhuǎn)存文件、結(jié)束進(jìn)程、顯示文件屬性等操作。在“Open ports”面板中顯示該可疑程序打開的所有端口信息,包括打開的端口、使用的協(xié)議、傳輸?shù)臄?shù)據(jù)等內(nèi)容。如果是木馬的話,可以在這里暴露其蹤 跡。在“Process Dlls”面板中顯示插入到Explorer.exe、Iexplorer.exe等系統(tǒng)進(jìn)程中的DLL文件,現(xiàn)在很多DLL木馬都會(huì)將自身注入到別的進(jìn)程中,來避開殺毒軟件的監(jiān)控,在這里可以使其原形畢露。在“Reg Monitor”面板中顯示該可疑程序?qū)ψ?cè)表中所做的所有修改,例如 其 在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”分支中創(chuàng)建了一個(gè)名為“evil”的啟動(dòng)項(xiàng),以及跟隨系統(tǒng)啟動(dòng)的病毒文件等信息。

      圖5 查看病毒分析信息

      在“Loaded Drivers” 面板中顯示該病毒創(chuàng)建的驅(qū)動(dòng)文件,可以看到該病毒創(chuàng)建了后綴為“sys”,名稱隨機(jī)產(chǎn)生的驅(qū)動(dòng)文件,通過潛入系統(tǒng)底層對(duì)系統(tǒng)進(jìn)行破壞。在“Api Log”面板中顯示與該可疑程序相關(guān)的API函數(shù)調(diào)用情況。在“Directory Watch”面 板中顯示該可疑程序相關(guān)的所有文件變動(dòng)信息,包括創(chuàng)建、刪除、修改文件等行為。可以看到,其在系統(tǒng)路徑中創(chuàng)建了多個(gè)DLL文件,同時(shí)在程序文件夾中,以及用戶配置文件夾的特定位置等生成了幾個(gè)EXE、DLL、BAT、SCR 等 可執(zhí)行文件。點(diǎn)擊窗口右下角的“report”按鈕,在報(bào)告窗口中點(diǎn)擊“Save”按鈕,可以在桌面上創(chuàng)建名為“analysis”的文件夾,打開其中的“setup_report.txt”文件,可以查看詳細(xì)的分析數(shù)據(jù),對(duì)其進(jìn)行分析,可以很容易地發(fā)現(xiàn)狡猾病毒的活動(dòng)情況。

      猜你喜歡
      程序運(yùn)行快照進(jìn)程
      EMC存儲(chǔ)快照功能分析
      天津科技(2022年5期)2022-05-31 02:18:08
      行政公益訴訟訴前程序運(yùn)行檢視
      法大研究生(2020年2期)2020-01-19 01:43:04
      債券市場(chǎng)對(duì)外開放的進(jìn)程與展望
      中國外匯(2019年20期)2019-11-25 09:54:58
      創(chuàng)建磁盤組備份快照
      論刑事錯(cuò)案的成因
      數(shù)據(jù)恢復(fù)的快照策略
      一張“快照”搞定人體安檢
      《刑事訴訟法》修改背景下刑事和解制度淺析
      社會(huì)進(jìn)程中的新聞學(xué)探尋
      我國高等教育改革進(jìn)程與反思
      许昌县| 睢宁县| 丹寨县| 临漳县| 阳高县| 安吉县| 渭源县| 政和县| 临海市| 灵台县| 奉化市| 闸北区| 临沭县| 安徽省| 额尔古纳市| 蕉岭县| 达尔| 循化| 长白| 罗平县| 长宁区| 柳林县| 瑞安市| 德令哈市| 金塔县| 阿巴嘎旗| 香港| 义马市| 江北区| 曲周县| 湖南省| 平顶山市| 福贡县| 满城县| 奇台县| 苏尼特左旗| 郑州市| 丰镇市| 松溪县| 鹤壁市| 依兰县|