2-2-1怎样建立自己的病毒行为分析平台

Virus计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组教学单元3-2病毒行为分析平台IceSowrd影子系统Filemon第一讲怎样建立自己的病毒行为分析平台计算机病毒与防治课程小组小结RegSnap建立自己的病毒行为分析平台计算机病毒与防治课程小组我们要知道病毒是怎样在破坏系统，就需要罗列出病毒的详细行为，这些看来没有头绪的事情，其实并不是想象中的那样困难，关键是我们需要打造一个自己的病毒实验室。工欲善其事，必先利其器，下面给你介绍我们在病毒行为分析中常用的工具。计算机病毒与防治课程小组影子系统简介诞生于2004年底的影子系统采用最先进的操作系统虚拟化技术生成当前操作系统的影像，借助创新的Windows虚拟化技术，实现了“层次化”的安全保护模式，在影子模式下，可以随心所欲使用电脑，而不用担心会对正常的系统造成不良影响，它具有真实系统完全一样的功能。进入影子系统后，所有操作都是虚拟的，因此所有的病毒和流氓软件都无法侵害真正的操作系统。用影子系统进行自我保护计算机病毒与防治课程小组影子系统简介单一影子模式单一影子模式是一种只保护Windows操作系统的使用模式，它仅为操作系统所在分区创建虚拟化影像，而非系统分区在单一影子模式下则保持正常模式状态。单一影子模式计算机病毒与防治课程小组影子系统简介完全影子模式与单一影子模式比较，完全影子模式将会对本机内所有硬盘分区创建影子。当退出完全影子模式时，任何对本机内硬盘分区的更改将会消失。在完全影子模式下，可以将有用的文件储存至闪存或者移动磁盘内。完全影子模式计算机病毒与防治课程小组影子系统简介进入单一影子系统有了影子系统，你的电脑将具有金钟罩本领，百毒不侵，那么我们就可以以身试毒在自己的电脑上运行计算机病毒，而不用担心病毒可能会给电脑造成的伤害。计算机病毒与防治课程小组IceSowrd——冰刀IceSword也称为冰刀或者冰刃，有些人简称IS，是USTC的PJF出品的一款系统诊断、清除利器。IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。计算机病毒与防治课程小组IceSowrd——冰刀1查看进程包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可以查看进程的线程、模块信息，结束线程等。计算机病毒与防治课程小组IceSowrd——冰刀2查看端口类似于cport、ActivePort这类工具，显示当前本地打开的端品以及相应的应用程序地址、名字。包括使用了各种手段隐藏端口的工具，在它下面，都一览无余。计算机病毒与防治课程小组IceSowrd——冰刀3查看内核模块加载到系统内和空间的PE模块，一般都是驱动程序*.sys，可以看到各种已经加载的驱动。包括一些隐藏的驱动文件，如IS自身的IsDrv118.sys，这个在资源管理器里是看不见的。计算机病毒与防治课程小组IceSowrd——冰刀Windows启动组里面的相关方式，这个比较容易理解了。不过可惜的是没有提示删除功能，只能查看。4查看启动组计算机病毒与防治课程小组IceSowrd——冰刀5查看服务用于查看系统中的被隐藏的或未隐藏的服务，隐藏的服务以红色显示。提供对服务的操作如启动，停止，禁用等。计算机病毒与防治课程小组IceSowrd——冰刀6SPI和BHO这两个是目前流氓软件越来越看中的地方。SPI是服务提供接口，即所有Windows的网络操作都是通过这个接口发出和接收数据包的。很多流氓软件把这个.dll替换掉，这样就可以监视所有用户访问网络的包，可以针对性投放一些广告。如果不清楚的情况下，把这个.dll删掉，会造成网络无法使用，上不了网。LSPFix等工具就是针对这个功能的。BHO就更不用说了，浏览器的辅助插件，用户启动浏览器的时候，它就可以自动启动，弹出广告窗口什么的。这两项仅提供查看的功能。计算机病毒与防治课程小组IceSowrd——冰刀7SSDT系统服务描述表，内核级后门有可能修改这个服务表，以截获你系统的服务函数调用，特别是一些老的rootkit，像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示，当然有些安全程序也会修改，比如regmon。计算机病毒与防治课程小组IceSowrd——冰刀8消息钩子若在dll中使用SetWindowsHookEx设置一全局钩子，系统会将其加载入使用user32的进程中，因而它也可被利用为无进程木马的进程注入手段。计算机病毒与防治课程小组IceSowrd——冰刀9线程创建和线程终止监视“监视进线程创建”将IceSword运行期间的进线程创建调用记录在循环缓冲里，“监视进程终止”记录一个进程被其它进程Terminate的情况。计算机病毒与防治课程小组IceSowrd——冰刀10注册表操作说起Regedit的不足就太多了，比如它的名称长度限制，建一个全路径名长大于255字节的子项看看（编程或用其他工具，比如regedt32），此项和位于它后面的子键在regedit中显示不出来；再如有意用程序建立的有特殊字符的子键regedit根本打不开。IceSword中添加注册表编辑并不是为了解决上面的问题，因为已经有了很多很好的工具可以代替Regedit。IceSword中的“注册表”项是为了查找被木马后门隐藏的注册项而写的，它不受目前任何注册表隐藏手法的蒙蔽，真正可靠的让你看到注册表实际内容。计算机病毒与防治课程小组Filemon——文件监视在启动Filemon后程序开始扫描计算机中的程序，接着就可以看到当前运行的所有程序了。此时如果启动了一个程序，就会在FileMon中立刻显示，并且在FileMon中可以查看到“进程”、“请求”、“路径”等信息，其中这3个是相当关键的。“进程”代表了程序名，“请求”表示对磁盘的操作，“路径”表示此程序位于什么位置。计算机病毒与防治课程小组Filemon——文件监视通过筛选的方式可以将我们感兴趣的信息保存下来，方便对病毒行为的分析。FileMon除了监视程序的读写操作外，还会监视对程序的所有操作，比如在程序中进行单击操作也会被监视。FileMon最大的优点是可以对病毒、间谍、木马程序进行全面的监视，一旦这些程序运行就会立即发现，也可以说它是防治病毒软件的辅助工具。计算机病毒与防治课程小组RegSnap——注册表快照Regsnap的主要功能，是对注册表“照相”，也就是在不同的时候，通过该软件将当前注册表及相关内容保存到文件中，然后进行比较，Regsnap就会详细地向你报告注册表及与系统有关的其他内容的变化情况。该软件的用法实际是很简单的，但是在实用中却有相当多的技巧，能为我们做很多别的软件做不到的事情。计算机病毒与防治课程小组RegSnap——注册表快照Regsnap在比较了两个注册表输出文件后，会输出一个比较报告。因此用户还要选择一下输出文件的方式。Regsnap提供两种输出文件方式，一种是纯文本方式，还有一种是HTML方式。需要指出的是，如果你选择了纯文本输出方式，那么即使你在报告类型中选择的是“showmodifiedkeynamesandkeyvaules”方式，系统也无法给出具体的新旧内容的比较。要得知具体的变动情况，必须使用HTML（超文本）方式输出报告。本讲小结影子系统IceSowrd工具Filemon工具掌握进行病毒行为分析的必备工具计算机病毒与防治课程小组RegSnap工具小结Virus