病毒如何杀死环境以及如何配置病毒来杀死特洛伊木马

病毒木马查杀系列真正的木马病毒(或者称为恶意软件)为研究对象,通过对现有技术的分析,总结出它的恶意行为,然后制定出相应的方法(如写作、Zhuanshagongju)彻底查杀。当然,这一系列更多的是关于如何应对一个特定的病毒,而不是一个广义的杀毒软件写的。因为现在的杀软的原理是非常复杂的,它不能由一个人完成。此外,我个人的水平是有限的,所以它不会涉及扼杀软写作,但我会在理论层面上分析它在未来。


在本文中,一个病毒或木马,它可以从三个方面造成:手动查杀,监控恶意行为,编写特殊的杀人工具,或深入分析的逆向分析反汇编代码。这些方法是更有效的防止恶意程序病毒的深入分析。需要说明手册查杀病毒的比较浅,很难彻底清除病毒,但在某些时候它是快速有效的。通过行为的恶意程序监测比手动查杀的要好得多,但有时它有时失踪。所以最好的办法是通过逆向分析了解恶意程序,但它往往是耗费时间。


希望本文能起到科普作用,让大家打消对木马病毒的恐惧,让每一个读者都能成为杀毒专家,让我们从下一个学习。


病毒分析方法


一般来说,除非是受感染的病毒,它不需要反向分析病毒。只有通过分析病毒的行为,我们才能写出特殊的杀灭工具,如果需要感染病毒,就不必简单地分析病毒的行为,因为需要修复病毒感染的文件。相反,我们必须反向分析病毒来修复病毒感染的文件,因此,在实践中有两种分析方法。


1。行为分析。为了达到这个目的,恶意程序都有它自己的特殊的行为,这是一个不正常的应用。例如,自己复制到系统目录下(见反病毒攻击:001条自我复制和自我删除),或添加到启动项(见反病毒防御技术研究002条:使用注册表实现自启动),或自己的一个DLL文件到其他的过程(见反病毒攻击:010条注入DLL mdash;mdash;(在)DLL注射制备的卸载装置)这些行为是不正常的行为。当我们得到一个病毒样本,我们通常复制病毒到虚拟机,然后打开监测工具,如流程监测(见文献翻译003:ProcessMonitor帮助文档(3,用一个简单的演示ProcessMonitor)。在做各种准备,我们可以在虚拟机中运行病毒看看操作的病毒对注册表所做的文件,IP地址已经连接,什么样的过程被创造出来的。通过这一系列的操作,你可以写一个程序,如果你最终它创造的过程,删除它在注册表中删除新的文件,它会杀死病毒。这也是杀病毒手动方式。当然,整个过程将不作为简单的说。


2。逆向分析。当一个可执行文件被恶意程序感染,感染的内容不是由行为监测工具发现。与可执行文件感染病毒,有可能是部分与部分之间的PE文件结构来存储病毒代码的间隙(见反病毒国防科研004条:利用间隙实现代码无论以何种方式,它需要通过反向手段,分析了常用的逆向分析工具包括OllyDbg,IDA Pro和WinDbg。


病毒查杀方法


有很多方法可以杀死病毒。在当今网络安全知识日益普及的今天,大多数网络安全爱好者对病毒查杀技术有了一定的认识,常见的病毒检测技术有特征码查杀、启发式查杀、虚拟机查杀和主动防御。


1,特征码查杀,特征码检测是一种更为原始的杀灭病毒的方法,它是通过从病毒中提取病毒特征码来识别病毒,但这种方法只能杀死已知的病毒,不能对未知病毒起任何作用。


2,启发式查杀,它是通过一系列静态的加权规则与文件相结合来确定的,如果计算值高于某一限度,则被认为是病毒,否则就不被认为是病毒。


3,虚拟机。在内存中,运行环境用于运行病毒。这是判断是否是基于其行为或已知病毒特征的病毒程序。这种技术是用来对付加壳和加密的病毒更有效,因为这两种病毒在执行最终他们的炮击和解密,所以杀软可以杀死后现出原形。


4、主动防御,基于独立分析和程序行为判断的实时防护技术是基于病毒特征码作为判断病毒的依据,但从病毒的最原始的定义,直接将程序的行为作为判断病毒主动防御的基础。分析过程中,由软件自动判断病毒。它解决了传统安全软件的弊端,实现了木马和病毒的主动防御。


环境的配置


我们所有的病毒分析工作是在虚拟机中完成的,所以它是安装虚拟机的一个必要的步骤,虚拟机是一个软件,用于模拟计算机的硬件系统,在虚拟机中安装操作系统,然后安装各种应用程序,这是从真正的电脑没有区别。在虚拟机的操作系统没有对我们真正的影响。尤其是一些特别强的病毒,可以在虚拟机并感染我们的真实系统。这可能是由于在我们的虚拟机的一个漏洞和病毒就是利用此漏洞。因此,我们必须选择虚拟机软件的最新版本除了分析病毒外,还必须使用虚拟机。当使用双机调试系统内核,如使用windbg,虚拟机是经常使用的。常见的虚拟机VMware和Oracle VM VirtualBox。我喜欢使用VMware的个人,因为它有一个非常强大的功能,基本上所有的教程将使用该软件作为一个解释。但是VMware一直在我的系统一个莫名其妙的问题,所以在我的实验环境,我选择使用开源和免费的VirtualBox。


我是使用VirtualBox 4.3.12版本的操作系统Windows XP Professional SP3在虚拟机中安装,虚拟1处理器,1GB内存,128M内存和10GB的硬盘空间。和我真正的系统使用的是Windows 8.1(64位),采用英特尔酷睿i5-3230M 2.60ghz,CPU 4GB内存。如果没有特别说明,在这一系列的实验都将在这个配置完成。


还需要说系统的备份。因为在分析病毒程序,我们的虚拟系统将由病毒或多或少的损坏,和备份功能可以使系统恢复到之前的状态被破坏。在VirtualBox,你可以用;控制;选择菜单下的备份;产生;输入备份名称和保存它。这样,如果以后要恢复系统,你可以选择恢复备份;如下图(请注意红框中的内容):


此时,我们的实验环境已经基本完成,虚拟机中的系统还没有安装任何软件,我将在不同的实验中解释它。