微点交流论坛 - 灌水区 - 一次借助微点日志分析病毒过程

微点交流论坛 » 灌水区 » 一次借助微点日志分析病毒过程

御剑临风
禁止发言

威武大将军

积分 2135
发帖 2192
注册 2008-8-22

#1 一次借助微点日志分析病毒过程

现在回想起以前分析病毒的时候一样菜得很，通常是拿到一个样本之后，首先打开虚拟机，然后用注册表快照工具把整个注册表照一遍，拿出SRENG把系统信息照一遍，那时候还没有流行hips，也没有好一些的注册表、文件监视程序，只能够这样病毒运行前照一遍、运行后照一遍来确定释放了什么文件、改写了那些注册表键值，不过经历了这些总是有好处的，起码对系统的一些基本信息了解了，比如一些重要的启动项、一些重要的环境变量（可以用set命令查看）还有一些重要的服务、进程、驱动等。
不过那种样子的分析有两个弊端：
　　一、遇到Rootkit类型的病毒时候几乎等于白做，快照很难照下来，不过当时这种病毒还很少，记得G给过一个dll文件，还记得那条命令，rundll32 1 s之后什么都没有发现，才发现了API HOOK的神奇。
　　二、快照看起来很费力气，所以我一向很少看日志的，在日志上面菜的的能够再菜，一般都是把运行前后运行后的日志用UE作一个比较，不同的地方就是多出来的，但是那样很浪费时间，碰上不清楚的程序时候加上写当时那种所谓的分析报告一共要两三个小时，当时只感觉一天的时间最多看四五个样本，而且还是没有技术含量的那种，至于病毒怎么做得，根本不知道，只是爱看表面的那些。
　　后来忘记在谁的blog里面看到IDA这东东感觉很强大，主要是里面的字符串严重的吸引了我，现在都想笑，估计IDA的开发团队当时要知道我用这东东只是看字串，能够把我BS死的，其实看字串也是很好的，可以结合社会工程学得到一些有用的东东，那时候脱壳是个很棘手的问题，往往都用硬件断点术，现在忘记那个名字是什么了，就是下硬件断点把程序跑完dump出来，几乎都不是PE文件，就算是也差不多都是不能够运行的那种，不过已经够用了，不管那么多IDA里面看到一些算一些，这就是那时候的分析病毒，看字串偷着笑，看函数＝看天书。
　　现在分析病毒的问题基本上把根基解决了，其实还差的很远，不是自己很傻很痴呆，而是每个写病毒的都很强很XX,只有与时俱进才可以跟的上，同时在跟踪分析的时候也遇到写问题，很多病毒都会生成文件，比如正在看的病毒其实只有一个生成文件、写注册表启动项或者删除文件、遍历进程、修改时间等动作，看来看去等于没看，根本了解不到病毒作了些什么，不过对于清除病毒缺很有帮助，但是用一个或者半个小时跟下去真的很累，其实只要用文件监
视程序把文件变化监视下来就OK了。
　　作为分析角度来说感觉微点还是很不错的，只要生成PE文件，就会被微点的程序生成日志记录下来，并且包含该文件的创建者等等信息，图一中我在22:02:59的时候运行了一个刚下载到的木马下载者，该程序运行后直接连接互联网下载飘雪木马及其一大堆流氓广告软件，那么我们可以从日志的下方往上看，生成的病毒、流氓可以直接调用的文件，日志可以按创建者、文件名、创建时间等来排序，也可以在微点的进程综合信息上面右键点击“程序信息”查看具体创建的文件、路径，修改的注册表键值等信息，如图二，根据这些信息就可以很快速的找到病毒生成的文件，路径；在微点报未知的时候选择不删除的时候，可以在日志中右键选择“查找目标”提取病毒样本，从而给出解决方案（解决放案在反病毒圈泛指需要删除的文件列表，当然这也是针对将该病毒解决方案给予非微点用户或者遇到木马选择不删除的用户，因为如果是未知病毒的话微点会自动删除的）。
　

图一：程序生成日志截图　

图二：综合信息内程序PE文件记录
在清理病毒的时候很重要的一件事就是清理掉病毒的启动项，这个比较容易被忽略，而种种经验告诉了我忽略这个会给系统造成很多方面的不稳定因素，严重的时候甚至使得系统崩溃（当驱动是以boot或system方式加载的时候一旦映像不存在就会蓝屏崩溃），可能本文前的朋友在初学计算机的时候都被某些杂志、文章以及课本警告过，不知道的注册表不能够轻易乱动，一旦操作不当就会造成系统崩溃等等内容，反正我接触计算机　

的时候不止被一次吓倒，记得当时的P2MX经常无法启动就是我乱改注册表的缘故。那么如何在不知道的情况下清除不当修改的注册表信息呢？其实只有一个方法就是根据经验判断，某某项下不应该有某某键值这样的不定式判断，无论是注册表编辑器也好，还是各式各样、五花八门的系统工具也罢，无非只有最后两个结果，判断对了系统被修复，判断错了总要牺牲一点点，或许是牺牲掉整个操作系统。这里微点的注册表变更日志对我们很有用处，我们使用右键的导出功能把这些日志导出，把相关病毒所写的注册表启动项发给你所需要帮助的人，告诉他们将这个在注册表编辑器里面删除。如果在微点报警的时后选择不删除，我们可以直接在图三那样的注册表上面双击，程序会自动定位到相关的注册表项，从而看到病毒对注册表所写的一切；如果选择了删除，微点会将病毒与注册表启动项一遍清除，免留后患。如果只是想对单一进程进行查看，可以在“进程综合信息”里面查看，见图四
　

图三：注册表变更日志　

图四：综合信息内注册表被修改记录及其飘雪木马所释放的驱动路径
以上对于喜欢手杀病毒的朋友做出临时解决方案已经足够用了，如果想进一步了解拿到启动流程可以看微点的“进程启动日志”，如图五所示，进程名、路径、启动时间、退出时间、进程ID、父进程ID清清楚楚，如果还嫌这个不够那么你也只有用调试器一步一步的跟踪了。　

图五：该下载者从开始到被结束所调用的进程
本文到此结束，希望喜欢使用微点的朋友活学活用，多多帮人杀毒；不喜欢使用微点的朋友多了解一些必要的知识，其实对于纯反病毒角度来说，杀毒才是第一的，名誉真的没有什么好去争的，杀毒的技术好了自然就有人相信你的话。
　

※ ※ ※ 本文纯属【御剑临风】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-1-17 21:04

独孤不平
注册用户

积分 128
发帖 122
注册 2008-10-3

#2

原来微点日志可以分析病毒呀，多谢楼主

※ ※ ※ 本文纯属【独孤不平】个人意见，与【微点交流论坛】立场无关※ ※ ※

2009-1-18 00:45

norman6810
版主

积分 3351
发帖 3303
注册 2007-4-4

#3

楼主，百度的图片禁止外链的，请重新上传到本论坛附件，或是换个图片存储服务器（允许外链的），谢谢！

※ ※ ※ 本文纯属【norman6810】个人意见，与【微点交流论坛】立场无关※ ※ ※

灌水区版规

2009-1-18 08:57

pcjuju
银牌会员

灌水大王~~

积分 2337
发帖 2290
注册 2006-10-16

#4

是呀，看不到图片，强烈建议楼主上传文件！

※ ※ ※ 本文纯属【pcjuju】个人意见，与【微点交流论坛】立场无关※ ※ ※

闪耀在东方的安全软件的新星——微点

2009-1-18 22:38

qq2008444
银牌会员

职业潜水艇

积分 5373
发帖 5291
注册 2007-7-7
来自兰·基亚斯兰古拉王国

#5

百度肾好。。。肾好。。

自个找个可以外链的相册来发吧。。。
用论坛的会比较慢

※ ※ ※ 本文纯属【qq2008444】个人意见，与【微点交流论坛】立场无关※ ※ ※

迅雷不及掩耳盗铃，以不变应万变不离其宗，成事不足挂齿，此物最相思风雨中，一屋不扫何以扫天下无敌，东边日出西边雨一直下，举头望明月几时有，呆若木鸡毛当令箭，杀鸡焉用牛刀小试，锋芒毕露春光，围魏救赵宝奎，Very good bye，八格牙鲁冰花，一泻千里共婵娟……

2009-1-19 08:37

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号