发稿赚钱
文章
文章用户黑客集市安全文库快讯黑客圈

教你如何玩转病毒

释放双眼,带上耳机,听听看~!
v\:*{behavior:url(#default#VML);}o\:*{behavior:url(#default#VML);}w\:*{behavior:url(#default#VML);}.shape{behavior:url(#default#VML);}

v\:* {behavior:url(#default#VML);}
o\:* {behavior:url(#default#VML);}
w\:* {behavior:url(#default#VML);}
.shape {behavior:url(#default#VML);}

Normal
0
false

7.8 磅
0
2

false
false
false

EN-US
ZH-CN
X-NONE

MicrosoftInternetExplorer4

/* Style Definitions */
table.MsoNormalTable
{mso-style-name:普通表格;
mso-tstyle-rowband-size:0;
mso-tstyle-colband-size:0;
mso-style-noshow:yes;
mso-style-priority:99;
mso-style-qformat:yes;
mso-style-parent:””;
mso-padding-alt:0cm 5.4pt 0cm 5.4pt;
mso-para-margin:0cm;
mso-para-margin-bottom:.0001pt;
mso-pagination:widow-orphan;
font-size:10.5pt;
mso-bidi-font-size:11.0pt;
font-family:”Calibri”,”sans-serif”;
mso-ascii-font-family:Calibri;
mso-ascii-theme-font:minor-latin;
mso-hansi-font-family:Calibri;
mso-hansi-theme-font:minor-latin;
mso-bidi-font-family:”Times New Roman”;
mso-bidi-theme-font:minor-bidi;
mso-font-kerning:1.0pt;}

25z58picveg_1024现在病毒是数量是越来越多,技术也是越来越先进,杀毒软件也只好是天天升级,疲于应付。而绝大部分的电脑用户都只是一些电脑水平不高的个人用户,碰到病毒就束手无策了。那么今天就带大家一起从黑客初学者快速升级到对抗病毒的黑客大师。

我们需要进行以下的准备活动,首先在系统中安装一个VMWARE,然后在这个VMWARE中再安装一个XP系统以供测试使用,关于虚拟机VMWARE的详细使用大家可以参考以前我写过的一篇文章。另外我们要用到的工具还有REGSNAP(系统快照工具)、ICESWORD(冰刃、查杀病毒木马常用的辅助工具)。

启动我们的虚拟机,然后把REGSANP安装好,再给刚安装完成的XP系统做一个快照,这样做的目的就是即使在虚拟系统里运行的病毒,以后只要恢复快照就可以回到没中病毒前的状况。
http://mmbiz.qpic.cn/mmbiz_jpg/VwHTNeMDss4Ubhyj3cfDx9fzNaVycAYdllx3IfcqrJHDO9XWLduT8XvRs0Tj4YPicahibkCTCfs2RvDJLcYSAhOg/640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1

我们查杀病毒的思路是这样的,便都可以理解为一个恶意的程序,和系统中很多的软件一样也是程序,只不过它们都带有恶意的功能或是一定的破坏作用(盗取用户密码,控制对方的电脑,弹出广告),并想方设法的隐藏自己,以使用户无法删除等等。我们要做的,可以理解为对程序的卸载,对于程序安装过程和系统所做的修改进行倒行逆施。所以我们要记录病毒在运行的时候对系统做了什么,记录它的行为然后进行分析。

做好虚拟机系统的快照后,进入虚拟系统,打开REGSNAP,新建一个快照,然后选择制作完整快照,点确定后它就自动开始对文件和注册表制作快照了。http://mmbiz.qpic.cn/mmbiz_jpg/VwHTNeMDss4Ubhyj3cfDx9fzNaVycAYd8XhRiavq4ib6kNicCjLghcJD7wFYIvMKZKxI2LLm2aCXN1aHlllWEtcBw/640?wx_fmt=jpeg&wxfrom=5&wx_lazy=1

好了,接下来我们就可以开始运行病毒了。运行之后我们再做一个快照,然后再跟之前的快照进行对比,就可以知道病毒对我们的系统做了什么修改。我们以Trojan-Downloader.Win32.Agent.bmo病毒为例,也就是会连接网络然后会下载木马并运行。

这个病毒被运行后,过一小段时间它就会下载木马并自动运行,假如我们在虚拟系统里安装了HIPS软件就会知道它下载运行了没有,因为它运行的时候AD会报警,这个时候我们就会知道它下载好了。我们再来打开REGSNAP,选择文件”——“比较,然后选择好之前做好的快照和运行之后做的快照,点确定。

对比完了之后,我们可以得到一份快照报告,包括注册表新增、删除、修改的项目和键值记录,文件新增、修改、删除的记录。我们需要从中剔除一些多余的信息,把病毒修改的重点项目列出表来。

现在我们进入安全模式,然后打开注册表删除刚才我们表里的启动项目,恢复病毒修改的注册表,使用冰刃删除新建的文件就可以了,总之我们就是按照对比的快照记录还原系统的本来面目。

到这里我们杀毒就完毕了,我们可以重新启动,看看启动项目和病毒文件还在不在,来确定杀毒是否完成。我们也可以把病毒行为记录分析发布到网上去,让别人手工杀毒的时候可以做个参考,很多写行为记录的人都是通过快照对比的方式来记录。只要我们大家能够熟练掌握其中技巧,我们也可以很轻松地成为杀毒大师的。

(文章摘自于黑基网)

给TA买糖
共{{data.count}}人
人已赞赏
极限安全播报
这家伙很懒什么也没写!
87篇作品3,751,309总阅读量
HackerNews

雅虎披露第二次大规模数据泄露事件 超过10亿帐户被盗

2016-12-17 10:28:43

HackerNews

深圳警方抓获110名“网络黑客”整改网络漏洞1900余个

2016-12-24 12:39:34

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索

  • 扫码打开当前页

  • 微信公众号

  • 指尖安全头条号

返回顶部