0x16 病毒分析

1. 病毒分类

2. 常见传播方式

  • 移动介质传播
  • 网络传播
  • 捆绑邮件
  • 即时通信软件
  • 局域网共享文件夹
  • 网络下载
  • 漏洞

3. 常见行为

  • 操作注册表设置开机启动
  • 设置计划任务,定时关机
  • 遍历进程,关闭杀软
  • 遍历文件,进行感染
  • 下载软件,捆绑安装
  • 连接网络,传播病毒
  • 释放文件,拷贝自身

4. 分析方式

  • 静态分析:使用IDA进行静态分析
  • 动态分析:使用OD等调试器
  • 行为分析:使用火绒剑,Process Monitor,Api Monitor等进行行为监控
  • 在线沙箱:使用微步云杀箱等获取病毒行为报告


分析病毒四部曲

  • 提取样本,手工清理机器

    • 在虚拟机中运行样本
    • 待病毒执行之后,删除样本,开始提取样本

  • 行为分析,获取病毒行为

    • 需要观察的情况
    • 使用ARK工具查看壳进程(火绒剑、PCHunter)
    • 使用工具查看启动项(Autoruns)
    • 使用ARK工具查看壳驱动、服务等可以项
    • 使用抓包工具(WSExplorer)

  • 详细分析,找到行为的恶意代码;

    • 使用IDA和OllyDbg双剑合璧
    • 借用IDA强大的签名和伪代码功能,辅助OllyDbg详细分析

  • 提出解决方案

    • 提取特征给公司产品,完成查杀
    • 编写文档报告
    • 有条件编写专杀工具