• 贯彻落实习近平生态文明思想 为建设美丽新疆作出人大贡献 2019-08-20
  • 起底人体胎盘黑市:倒卖团伙盘踞医院 每个可卖千元 2019-08-19
  • [鼓掌]小撸又来卖萌?那你给大家讲讲? 2019-08-17
  • 高清:探访广西高考阅卷现场 2019-08-12
  • 搭着发达国家的顺风车,实现赶、超、创。 2019-08-11
  • 重建社会:今天的中国人还需要祠堂吗? 2019-08-08
  • 美钢铝关税政策引发各界忧虑 2019-08-08
  • 【中国梦·践行者】社区规划师:他用一碗粥松动了人心之间的壁垒 2019-08-05
  • 向青春致敬!大学生图片记录校园24小时故事 2019-08-05
  • 新零售下的老字号复兴 2019-07-27
  • 一语惊坛(5月22日):精忠报国是每一个热血青年的夙愿! 2019-07-27
  • 双十一探访中国电商第一村白牛村 2019-07-23
  • 【一汽丰田特约】每日精选世界杯88年第一次弟弟替补哥哥 2019-07-22
  • 日本央行维持超宽松货币政策不变 2019-07-22
  • 高校毕业生基层培养计划实施方案 2019-07-22

  • 您所在的位置:森林狼vs骑士 > 电脑基础 > 电脑安全 > 病毒木马查杀 > Linux操作系统下手动分析病毒样本

    2004年森林狼vs国王:Linux操作系统下手动分析病毒样本

    作者: admin 来源: 未知 访问: 次 更新: 2013-12-03
    导 读:原理:利用md5值的不同进行文件的对比。 操作背景: XP安装光盘; 病毒样本; U盘; Ubuntu 7.10 LiveCD 所需的几个对比md5和转化二进制文件格式的程序 操作过程: 1. 全盘格式化,同时安装Win
    标 签:

    森林狼vs骑士 www.88ef.net   原理:利用md5值的不同进行文件的对比。

      操作背景:

      XP安装光盘;

      病毒样本;

      U盘;

      Ubuntu 7.10 LiveCD

      所需的几个对比md5和转化二进制文件格式的程序

      操作过程:

      1. 全盘格式化,同时安装Windows(也可采用ghost回去,但是一定注意其他磁盘可能的病毒感染)

      2. 在刚装好的Windows下,导出注册表。将导出文件放入C盘根目录下。这里我命名为1.reg

      3. 进入Ubuntu系统,注意,进入前f2选择简体中文模式

      4. 挂载C盘:

      mkdir /mnt/hdd1 (生产系统C盘挂载点)

      mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (将系统C盘挂载到/mnt/hdd1下,注意文件格式和设备号视具体情况而定)

      5. 挂载U盘:

      mkdir /mnt/usb (生成U盘挂载点)

      mount -t vfat /dev/sda1 /mnt/usb (将U盘挂载到/mnt/usb下,同样注意文件格式和设备号)

      6. 将导出的注册表信息放入U盘:

      假设U盘上已经有test目录,同时,在test目录下有parse.sh,parseWinReg,ShowList 三个程序

      cp /mnt/hdd1/1.reg /mnt/usb/test (将导出注册表拷贝至/mnt/usb/test目录下)

      cd /mnt/usb/test (进入U盘test 目录)

      ./parseWinReg 1.reg origreg (将导出注册表进行格式转换,生成origreg)

      7. 计算C盘所有文件md5值:

      rm /mnt/hdd1/pagefile.sys (这个文件太大影响计算速度,删除)

      /mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/origfile (计算磁盘文件md5值,并将结果导出至U盘test目录下origfile)

      8. 重新进入Windows,同时,激发病毒文件

      注意:先将病毒文件放入磁盘,拔掉U盘,拔掉网线,再激发!

      9. 重复3,4,5,6,7步骤

      mkdir /mnt/hdd1

      mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1

      mkdir /mnt/usb

      mount -t vfat /dev/sda1 /mnt/usb

      cp /mnt/hdd1/2.reg /mnt/usb/test (这里假设导出的注册表是2.reg)

      cd /mnt/usb/test

      ./parseWinReg 2.reg newreg

      rm /mnt/hdd1/pagefile.sys

      /mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/newfile

      10. 至此,我们得到了原始的系统信息:origreg, origfile,中病毒之后的信息:newreg, newfile

      11. 比较文件不同之处:diff -Nur origfile newfile > filediff

      12. 比较注册表不同之处:diff -Nur origreg newreg > regdiff

      13. 分析filediff 和 regdiff,得到结论

      分析小技巧:

      一般情况下前面出现+的就是病毒释放的,-就是有过改动的(感染的),如果是md5值是成双成对出现(一个+和一个-),那那一行一般不是,如果前面没有任何标记,那说明也不是。咱们把没用的删除,只留下有单个+或者单个-的,最好看文件路径,即得到了病毒的产生文件或者是感染文件。

    病毒木马查杀
    分享到:
    更多
    森林狼vs骑士| 森林狼vs骑士| 友情链接| 网站地图| 关于本站
    森林狼vs骑士
    本站资源来自网络,如有侵犯您的权宜,请联系站长删除! 滇ICP备11000673号-2
  • 贯彻落实习近平生态文明思想 为建设美丽新疆作出人大贡献 2019-08-20
  • 起底人体胎盘黑市:倒卖团伙盘踞医院 每个可卖千元 2019-08-19
  • [鼓掌]小撸又来卖萌?那你给大家讲讲? 2019-08-17
  • 高清:探访广西高考阅卷现场 2019-08-12
  • 搭着发达国家的顺风车,实现赶、超、创。 2019-08-11
  • 重建社会:今天的中国人还需要祠堂吗? 2019-08-08
  • 美钢铝关税政策引发各界忧虑 2019-08-08
  • 【中国梦·践行者】社区规划师:他用一碗粥松动了人心之间的壁垒 2019-08-05
  • 向青春致敬!大学生图片记录校园24小时故事 2019-08-05
  • 新零售下的老字号复兴 2019-07-27
  • 一语惊坛(5月22日):精忠报国是每一个热血青年的夙愿! 2019-07-27
  • 双十一探访中国电商第一村白牛村 2019-07-23
  • 【一汽丰田特约】每日精选世界杯88年第一次弟弟替补哥哥 2019-07-22
  • 日本央行维持超宽松货币政策不变 2019-07-22
  • 高校毕业生基层培养计划实施方案 2019-07-22
  • 篮球场地大小 新时时历史信息 重庆百变王牌开奖走势 内蒙古时时怎么兑奖 上海十一选五开奖结果走势图 极速时时计划数据 河南中原风采22选5新开奖 安徽十五选五开奖走势 江西11选5开奖过程 吉林十一选五走势图 大乐透30期连钱走势图 彩经网3d pk10有正规网站吗 河南11选5开奖视频 吉林市11选五走势 七乐彩选号简单方法