Linux操作系统下手动分析病毒样本

  原理:利用md5值的不同进行文件的对比。

  操作背景:

  XP安装光盘;

  病毒样本;

  U盘;

  Ubuntu 7.10 LiveCD

  所需的几个对比md5和转化二进制文件格式的程序

  操作过程:

  1. 全盘格式化,同时安装Windows(也可采用ghost回去,但是一定注意其他磁盘可能的病毒感染)

  2. 在刚装好的Windows下,导出注册表。将导出文件放入C盘根目录下。这里我命名为1.reg

  3. 进入Ubuntu系统,注意,进入前f2选择简体中文模式

  4. 挂载C盘:

  mkdir /mnt/hdd1 (生产系统C盘挂载点)

  mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (将系统C盘挂载到/mnt/hdd1下,注意文件格式和设备号视具体情况而定)

  5. 挂载U盘:

  mkdir /mnt/usb (生成U盘挂载点)

  mount -t vfat /dev/sda1 /mnt/usb (将U盘挂载到/mnt/usb下,同样注意文件格式和设备号)

  6. 将导出的注册表信息放入U盘:

  假设U盘上已经有test目录,同时,在test目录下有parse.sh,parseWinReg,ShowList 三个程序

  cp /mnt/hdd1/1.reg /mnt/usb/test (将导出注册表拷贝至/mnt/usb/test目录下)

  cd /mnt/usb/test (进入U盘test 目录)

  ./parseWinReg 1.reg origreg (将导出注册表进行格式转换,生成origreg)

  7. 计算C盘所有文件md5值:

  rm /mnt/hdd1/pagefile.sys (这个文件太大影响计算速度,删除)

  /mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/origfile (计算磁盘文件md5值,并将结果导出至U盘test目录下origfile)

  8. 重新进入Windows,同时,激发病毒文件

  注意:先将病毒文件放入磁盘,拔掉U盘,拔掉网线,再激发!

  9. 重复3,4,5,6,7步骤

  mkdir /mnt/hdd1

  mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1

  mkdir /mnt/usb

  mount -t vfat /dev/sda1 /mnt/usb

  cp /mnt/hdd1/2.reg /mnt/usb/test (这里假设导出的注册表是2.reg)

  cd /mnt/usb/test

  ./parseWinReg 2.reg newreg

  rm /mnt/hdd1/pagefile.sys

  /mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/newfile

  10. 至此,我们得到了原始的系统信息:origreg, origfile,中病毒之后的信息:newreg, newfile

  11. 比较文件不同之处:diff -Nur origfile newfile > filediff

  12. 比较注册表不同之处:diff -Nur origreg newreg > regdiff

  13. 分析filediff 和 regdiff,得到结论

  分析小技巧:

  一般情况下前面出现+的就是病毒释放的,-就是有过改动的(感染的),如果是md5值是成双成对出现(一个+和一个-),那那一行一般不是,如果前面没有任何标记,那说明也不是。咱们把没用的删除,只留下有单个+或者单个-的,最好看文件路径,即得到了病毒的产生文件或者是感染文件。

(0)

相关推荐

  • Linux操作系统下修改IP.DNS和路由配置

    在Linux操作系统下修改IP、DNS和路由配置ifconfig eth0 新ip然后编辑/etc/sysconfig/network-scripts/ifcfg-eth0,修改ip一、修改IP地址[ ...

  • linux操作系统下怎样解压rar文件

    rar格式的文件是在windows操作系统中常见的压缩格式,但是这种格式在linux操作系统中却不能正常解压缩,因为linux默认不支持这种格式,难道我们在linux操作系统中就不能解压这种文件了吗, ...

  • 在Linux操作系统下设置NFS共享技巧

    网络文件系统(NFS,Network File System)是一种将远程主机上的分区(目录)经网络挂载到本地系统的一种机制,通过对网络文件系统的支持,用户可以在本地系统上像操作本地分区一样来对远程主 ...

  • 什么是yum Linux操作系统下使用yum升级的详细方法

    什么是 yum?yum 是 yellowdog updater modified 的缩写。 yellowdog 是一个 Linux 的 distribution,RH 将这种升级技术利用到自己的 di ...

  • Linux操作系统下6个应急处理小常识

    天有不测风云,谁也保不准你的系统不会在某天出现意外,有什么应急处理的办法可以参考呢? 本文从网上收集了几个常用的应急处理小常识供您参考。 1.使用急救盘组进行维护 急救盘组(也称为boot/root盘 ...

  • Linux操作系统下使用yum升级的详细方法

    什么是 yum? yum 是 yellowdog updater modified 的缩写。 yellowdog 是一个 Linux 的 distribution,RH 将这种升级技术利用到自己的 d ...

  • Linux操作系统下硬盘手工和自动挂载的方法

    Linux操作系统下硬盘手工和自动挂载的方法

  • Linux操作系统下防范黑客实用技巧

    Linux是一个多用户的系统,一旦人家取得你的root用户之后,他就可以在你的系统上为所欲为了,由于单用户对系统有完全的控制权限,如果操作不当或被他人进入,那么后果将不堪设想,如何防止入行单用户了,有 ...

  • Linux操作系统下部分文件乱码的问题解决

    原Windows rar压缩的文件,Linux系统下解压后打开里边的文件,内容全部乱码。 之所以出现乱码是因为所压缩的文件中,有的文件是以中文命名。而在windows下中文的编码一般为gbk,而lin ...