以身试毒 打造自己的电脑病毒实验室

　　很多人想知道病毒是怎样破坏系统的，有时看到高手分析病毒样本时罗列出来病毒的详细行为，很是令人惊叹！那么高手们是怎么办到的呢？下面我们来介绍常用的分析方法：

　　工欲善其事，必先利其器

　　1、无懈可击——影子系统

　　影子系统，顾名思义，就是建立在真实的操作系统上的镜像，它和真正的操作系统一模一样。不一样的是，你在影子系统里所做的任何操作在重启或关机后都会被撤销，即便是病毒的破坏也奈何不了它，但是正常的操作也会被还原，所以要注意保存新建的重要文件到移动存储（见图1）。

　　软件小档案：

　　PowerShadow 2.6.0511 官方中文版

　　软件大小：3709KB 软件性质：共享软件

　　运行环境：Windows 9x/Me/NT/2000/XP/2003

　　下载地址：http://www.mydown.com/soft/259/259253.html

　　2、超级侦探——Filemon

　　这是一款出色的文件监控软件，它就可以完整的将某个文件的所有操作和相应进程的信息都记录下来，这样对付病毒时就不必费神挨个文件夹去翻了。　　

　　软件小档案：

　　FileMon(File Monitor) 7.04 for NT/2000/XP

　　软件大小：188KB 软件性质：共享软件

　　运行环境：Windows NT/2000/XP

　　下载地址：http://www.mydown.com/soft/utilitie/systems/175/409675.shtml　　

　　3、瑞士军刀——IceSword

　　这是很多朋友都熟知的反黑反病毒工具，以往介绍的很多，不在多话（见图2）。

　　软件小档案：

　　冰刃 IceSword 1.2 中文版

　　软件大小：2120KB

　　软件语言：简体中文 软件性质：免费软件

　　运行环境：Windows 9x/Me/NT/2000/XP/2003

　　下载地址：http://www.mydown.com/soft/utilitie/system/76/428076.shtml

　　实战sxs.exe病毒

　　1.布下天罗地网

　　第一步：保存好文件，断开网络，开启完全影子模式，硬盘盘符上就会出现太极的符号（见图3）；

　　第二步：禁用杀毒软件监控（针对已知病毒）。打开Filemon并开启过滤功能,并且将sxs.exe作为过滤关键词，然后最小化；

　　第三步：接着打开IceSword等着看就可以了；

　　第四步：运行病毒程序就可以了。 　

　　2.静观病毒发飙

　　搜集证据：在短暂的假死后，弹出一个出错的对话框，确认后系统恢复正常。打开Filemon仔细看看病毒干了什么：

　　①sxs将生成的病毒文件和一个Autorun.inf文件复制至硬盘各分区和移动存储☆。

　　②复制病毒文件htedtp.exe和htedtp.dll到C：\Windows\system32\下（见图4）。

　　③创建C：\Windows\system32\QQhx.dat

　　④病毒在C：\Windows\system32下发现并删除瑞星卡卡助手的kakatool.dll文件，导致卡卡助手无法启动（见图5）。

　　⑤关闭C：\Windows\system32\RavExt.dll，这个文件和瑞星监控有关（见图6）。

　　小知识：如何判断病毒进程

　　有些病毒会将DLL文件插入系统的进程，如果真的遇到有掩护的病毒进程，可以试着结束EXPLORER.EXE进程后再结束病毒进程来解决，因为很多病毒都是靠插入系统进程来保护自己从而达到不死之身的目的。经常被插入的系统进程还有svchost.exe和csrss.exe等等，像这些进程直接结束会有导致系统崩溃，建议对这些插入关键系统进程和创建N个进程互相掩护的可查杀病毒，用杀毒软件自带的DOS杀毒工具在DOS下查杀为佳。顺便提一下，有些朋友不了解系统中的进程，我们建议用Windows进程管理（prcmgr）来彻底认识系统进程，它的进程描述可帮了我们不少忙。

　　3.针锋相对灭病毒之步步为营

　　⑴精确打击病毒文件

　　过了1分多钟，发现病毒没有再进行什么，估计已经潜伏好了。现在该IceSword上场了，先是进程，没有发现病毒。既然进程中没有，那就直接删除系统文件夹中的病毒，用IceSword的文件夹浏览功能就可以使所有文件显出原型，即便病毒修改了注册表。用IceSword打开C:\Windows\system32\点击“创建时间”，直到将时间拉到现在，这样system32下的新建的所有文件就会一目了然。可以看到htedtp.exe和QQhx.dat两个在Filemon列表中出现过的病毒文件，至于htedtp.dll无需废话直接连它一起右击“强制删除”即可。根据Filemon的文件动作列表显示的病毒动作列表，按图索骥清除其他分区病毒。　　

　　小知识：关于不可显示隐藏文件的问题

　　由于部分病毒修改注册表中：

　　[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ Folder\Hidden\SHOWALL]下的CheckedValue"=dword:00000001键值为CheckedValue"=dword:00000000或者干脆胡乱修改。使得即便在文件夹选项中选择了“显示所有文件和文件夹”并且确认后，再次打开文件夹选项后，发现选项仍是“不显示隐藏文件和文件夹”。就是通过这种方法大部分病毒达到了隐藏的目的。在将键值改正后一般就会恢复正常。如果还是不行的话，可以删除键值，再重新建一个CheckedValue的dword值。如果还是嫌麻烦的话，网上专门有高手制作的工具可以使用或者将正常的注册表值导入即可。

　　⑵注册表清理

　　IceSword同时也集成了注册表浏览和部分编辑功能，很实用，但是要编辑或创建键值还是用注册表编辑器（regedit.exe）里来进行编辑。由于关闭瑞星的注册表监控，病毒的注册表行为不是很清楚，但这里可以很明显的看出htedtp.exe文件已经成功地创建了自启动值，（见图7）右击删除所选即可。还有其他地方也是病毒常常光顾的地方，由于介绍的文章很多不在重复说明。至此病毒清除完毕。

　　小知识：Autorun.inf文件的是非

　　在这里我们要强调一点，有的病毒会在创建病毒文件时“赠送”一个Autorun.inf文件，此sxs病毒的INF文件所写的内容

标签：

版权申明：本站文章部分自网络，如有侵权，请联系：west999com@outlook.com
特别注意：本站所有转载文章言论不代表本站观点，本站所提供的摄影照片，插画，设计作品，如需使用，请与原作者联系，版权归原作者所有