吾愛破解 - LCG - LSG |安卓破解|病毒分析|破解軟件|www.dypczhxn.cn

 找回密碼
 注冊[Register]

QQ登錄

只需一步,快速開始

搜索
查看: 1339435|回復: 1048
上一主題 下一主題

如何快速判斷一個文件是否為病毒 by 是昔流芳[LSG]

    [復制鏈接]
跳轉到指定樓層
樓主
是昔流芳 發表于 2010-10-29 18:28 回帖獎勵
本帖最后由 是昔流芳 于 2011-2-11 12:04 編輯

先說一下寫這篇文章的背景和目的。現在吾愛的『原創發布區』和『精品軟件區』人氣很旺,發布的軟件非常多。但也有一些小人,在發布的軟件里插些小玩具,當灰客。論壇派專人檢測也是很困難的,工作量太大,查不過來,因此很大程度上要靠用戶自己識別,于是就有了這篇文章。需要說明一下的是,這篇文章主要是快速辨別正常文件與病毒,我自己也不是專業人員,方法是我自己總結出來的,很業余,不過我覺得還是有些用處的。如果你有更好的辦法,歡迎跟帖提出。下面正文開始。

分析一個文件是否為病毒有多種方法,比如用OD這樣的調試器,用HIPS都可以達到目的。在這里主要討論一下快速判斷的方法,用最短的時間,最少的知識,來判斷一個文件是否安全。

先說一下必要的工具:Sandboxie、PEID、OD以及你的殺毒軟件。

比如說,我從論壇上下載一個別人發布的軟件,這時候殺毒軟件也許會報毒。這種情況下,先看一下報的病毒名。如果報的是“Win32/Packed.VMProtect.AAA 特洛伊木馬 的變種”這樣的殼,那么可以稍稍放松下警惕。對于一些殼,殺軟脫不了,為了方便,就把這種殼當作病毒來處理。另外,如果是“Win32/Hupigon.NUK 特洛伊木馬”以及“Win32/Parite.B 病毒”這類的,就需要注意,這個文件可能被人惡意插入木馬,或者被感染過。從殺軟報的病毒名基本可以判斷出這個文件是真的有問題,還是屬于殺軟的誤報。然而,也有一些例外。比如“Trojan.Win32.Generic.122E105A”,這個一看就是云安全分析出來的病毒,沒有什么有效的信息,所以無法通過病毒名判斷是否是誤判。

根據殺軟的信息,可以對該文件的安全性有一個初步的了解。我想不會有人完全信任殺軟的,更多的還是信任自己。用PEiD查一下殼,如果是一些簡單的壓縮殼,就在沙盤中運行OD,脫掉,分析。這時要做的不是一步步跟下去,而是找一下這個文件調用的API。在反匯編窗口右擊,查找——當前模塊中的名稱(標簽)。


觀察一下API,這時也是有所取舍的。對于字符函數和字符串處理函數這類的,可以忽略過去;對于注冊表函數、文件函數則要多加留意。比如說,看到了CreateFile,就在這個函數上下斷,注意看有沒有對系統敏感位置寫入文件。同樣,查看字符串也是有效的方式。一般地,可以從字符串找出一些病毒的特征。比如有的灰鴿子會有“客戶端安裝成功”之類的字樣,發現一些郵件地址以及相應密碼的。這些都是很可疑的。遇到一些猛殼,脫掉它是很困難的,這時可以借助下沙盤。


讓程序在沙盤里完全運行,之后終止所有程序。


查看一下程序生成了什么。


從程序生成的文件基本可以判斷是否是病毒了。當然,也不乏一些檢測沙盤、虛擬機的小東西。在病毒樣本區的頁面上方有在線沙盤的鏈接。分析的結果十分具體,可以用來參考。如果你覺得手工檢測太麻煩,可以借助在線沙盤,既快又詳細。


這樣,舉個例子吧.

http://www.dypczhxn.cn/viewthread.php?tid=58683 這是小生對一個帶毒外掛的分析,大家可以看看錄像,很有學習意義.下面我按照上面說的方法做一下.

先查一下殼,應該是沒殼的.

此時我比較喜歡用PEiD的反匯編工具看看字符串,這個功能很方便.

注意選中的部分,很可疑.是一個URL,指向的還是個exe文件.這時應該懷疑這個外掛是個下載器.

下面將它用OD載入(在沙盤或虛擬機中進行),看一看當前模塊中的名稱(標簽),有一個URLDownloadToFileA,這個函數可以實現將一個網絡上的文件下載到本地的功能,一般的ShellCode常用到它.


在輸入函數上切換斷點,運行,可以看出具體的行為.

在此之后要做的就是對下載下來的這個文件進行分析(地址竟然還有效..).


一般來說微軟的程序不會有這樣的圖標,而一個外掛莫名其妙地下載微軟的東西,很奇怪,只能說是欲蓋彌彰,所以可以直接斃掉了.

同理,如果用沙盤直接運行,最終會在沙盤里提取到這個文件,會發現在臨時目錄里.在外掛的目錄下還會發現一個隱藏文件,應該就是干凈的外掛.

掛的這個馬應該變了,與小生附件中的程序已經不同了.

如果你認為很麻煩,可以直接把它扔到在線沙盤里,讓機器替你分析.

比如說我認為下載下來的這個文件nSPack殼比較難脫,或者說我根本不會脫殼,那么就打開http://camas.comodo.com/cgi-bin/submit ,選擇文件路徑,然后Upload File,靜候幾分鐘,就可以出結果,其它的在線沙盤也是大同小異.


這次找例子找的很麻煩,我沒有存樣本的習慣,那些發木馬的檢測出來之后都被封掉了,他們的光輝附件也就找不到了,沒有合適的例子.況且拿貨真價實的病毒來測也有點不大現實.在論壇找了好久才找到僅存的這個程序,以后如果在遇到發木馬的我會拿它當例子講一講^_^

點評

這種帖子不頂? 天理難容啊  發表于 2012-10-30 09:29

免費評分

參與人數 484吾愛幣 +148 熱心值 +469 收起 理由
阿姨說 + 1 很實用
Intro + 1 已答復!
Sokwva + 1 + 1 我很贊同!
jun57663796 + 1 + 1 我很贊同!
王崽崽 + 1 + 1 [email protected]
niksoap + 1 + 1 有學到東西了。感謝分享
nx953259696 + 1 我很贊同!
a2376641a + 1 用心討論,共獲提升!
冰晶石頭 + 1 + 1 我很贊同!
愛我的你我知道 + 1 熱心回復!
thf1014 + 1 + 1 很細致很實用,操作性強,感謝
polarpig + 1 + 1 我很贊同!
呆呆の風小可 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
榪先生 + 1 + 1 我很贊同!
星辰Sec + 1 + 1 我很贊同!
曾曾曾夢 + 1 + 1 [email protected]
a7523155 + 1 + 1 鼓勵轉貼優秀軟件安全工具和文檔!
wsp756 + 1 + 1 我很贊同!
35464749 + 1 + 1 我很贊同!
yamaraja + 1 + 1 [email protected]
liphily + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
一條戴眼鏡的魚 + 1 + 1 我很贊同!
ccraker + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
lixingcong + 1 + 1 我很贊同!
xxsmile520 + 1 + 1 [email protected]
妖月児 + 1 + 1 用心討論,共獲提升!
靈魂之塵 + 1 + 1 簡單易懂
犢子玩個屁 + 1 + 1 我很贊同!
pichuli + 1 + 1 學習了
1130687409 + 1 + 1 [email protected]
娟然俊逸 + 1 + 1 學習了
夢白 + 1 + 1 [email protected]
Fanilv + 1 + 1 我很贊同!
阿洋PYF + 1 + 1 用心討論,共獲提升!
York2016 + 1 + 1 熱心回復!
i71998 + 1 + 1 已答復!謝謝樓主
玫瑰色的百合花 + 1 + 1 我很贊同!
superzhangxue + 1 + 1 [email protected]
xiaoyxf + 1 + 1 我很贊同!
莫失 + 1 + 1 用心討論,共獲提升!
liujunhong + 1 + 1 [email protected]
kangkst + 1 + 1 帖子很棒,正能量。。。32個贊!
firyang + 1 [email protected]
yangstreven + 1 + 1 [email protected]
懸崖孤鳩 + 1 + 1 熱心回復!
luckypants + 1 + 1 熱心回復!
herderer + 1 + 1 用心討論,共獲提升!
風若晨曦 + 1 + 1 [email protected]
ynm3000 + 1 + 1 熱心回復!
exe19890522 + 1 + 1 用心討論,共獲提升!
yj942583252 + 1 + 1 我很贊同!
夢想家小可 + 1 + 1 [email protected]
52pj23444433 + 1 + 1 [email protected]
redpose + 1 + 1 [email protected]
滑來滑去 + 1 + 1 我很贊同!
若初見 + 1 + 1 [email protected]
Thiray + 1 + 1 歡迎分析討論交流,吾愛破解論壇有你更精彩!
zzxmgjy + 1 + 1 我很贊同!
younge + 1 + 1 我很贊同!
SsudiN + 1 + 1 很好的教程!
小姐別跑 + 1 感覺好厲害
Alex_vk + 1 + 1 我很贊同!
fringes + 1 + 1 [email protected]
iamcjsyr + 1 + 1 [email protected]
Comeyu + 1 + 1 用心討論,共獲提升!
心魔OL + 1 + 1 日常冒泡
IME + 1 [email protected]
wkhugq + 1 + 1 我很贊同!
南亓 + 1 我很贊同!
langzqf + 1 + 1 熱心回復!
a37324614 + 1 + 1 我很贊同!
werido + 1 + 1 [email protected]
醬油過 + 1 + 1 [email protected]
bluefirejl + 1 + 1 [email protected]
smais + 1 + 1 學習了。
我愛521 + 1 熱心回復!
ysxsyzx + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
lkqscqaz20 + 1 + 1 感謝發布原創作品,吾愛破解論壇因你更精彩!
aisiqiba + 1 + 1 [email protected]
eryahuan + 1 + 1 熱心回復!
bulian + 1 + 1 我很贊同!
jigsaw + 1 + 1 我很贊同!
螺絲起子 + 1 + 1 [email protected]
Lullaby. + 1 + 1 學到了。
qxyokok + 1 + 1 [email protected]
PJack + 1 + 1 我很贊同!
國士無雙01 + 1 + 1 我很贊同!
clwh2006 + 1 + 1 [email protected]
gao0411 + 1 + 1 我很贊同!
Sanzha + 1 + 1 [email protected]
jackjack999 + 1 + 1 用心討論,共獲提升!
XX1967 + 1 + 1 [email protected]
者行孫12138 + 1 + 1 熱心回復!
MaxMadcc + 1 + 1 我很贊同!
ddh191 + 1 + 1 [email protected]
ayaoko + 1 + 1 [email protected]
leaou + 1 + 1 [email protected]
xuanqing + 1 + 1 [email protected]
zyp199708 + 1 + 1 [email protected]
那么驕傲丶 + 1 我很贊同!

查看全部評分

本帖被以下淘專輯推薦:

發帖前要善用論壇搜索功能,那里可能會有你要找的答案或者已經有人發布過相同內容了,請勿重復發帖。

沙發
lkou 發表于 2010-10-29 18:46
不錯,頂你,有啥小而強大的HIPS介紹介紹?
3#
500382 發表于 2010-10-29 18:57
4#
yayaxueyu88 發表于 2010-10-29 19:06
5#
 樓主| 是昔流芳 發表于 2010-10-29 19:10 <
回復 2# lkou

http://www.dypczhxn.cn/thread-30084-1-2.htmlhttp://www.dypczhxn.cn/thread-30109-1-2.html


這兩個帖子比較詳細.
HIPS比較小的有,基本上都是很麻煩的,想用的順得自己寫規則...

免費評分

參與人數 1熱心值 +1 收起 理由
gds雪狼 + 1 [email protected]

查看全部評分

6#
lkou 發表于 2010-10-29 19:15
好的,我看看
頭像被屏蔽
7#
qq526033781 發表于 2010-10-29 19:34
哈,以后不用借助直感來判斷了,收藏了,感謝樓主!
8#
Sloth 發表于 2010-10-29 20:21
不錯啊, 小芳是我的榜樣.
9#
cv900302 發表于 2010-10-30 06:37
學習一下!
10#
qawsed 發表于 2010-10-30 19:14
看了小生的錄像再結合樓主說講,又學到了一點防馬的技巧了.... ...
沙盤是個好東東,比虛擬機小巧,方便測試
hoho

免費評分

參與人數 2熱心值 +2 收起 理由
落葉的影子 + 1 熱心回復!
a_lee + 1 精品文章

查看全部評分

您需要登錄后才可以回帖 登錄 | 注冊[Register]

本版積分規則 提醒:禁止復制他人回復等『惡意灌水』行為,違者重罰!

快速回復 收藏帖子 返回列表 搜索

RSS訂閱|小黑屋|聯系我們|吾愛破解 - LCG - LSG ( 京ICP備16042023號 | 京公網安備 11010502030087號 )

GMT+8, 2019-10-22 00:26

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回復 返回頂部 返回列表
现在靠网络挣钱的方法