数码资讯
Linux如何手动分析病毒示例Linux教程
选购提示
关注价格、性能、续航、售后和真实使用场景,理性比较后再下单。
欢迎大家来,这篇文章教你Linux六大误区,欢迎大家阅读。
原理:利用MD5值的差异进行文档的对比。
工作背景:
XP安装光盘;
病毒样本;
U盘;
Ubuntu 7.10 LiveCD
需要对比MD5和转换二进制文件格式的几个程序。
操作过程:
1。完成格式化,同时安装Windows(您可以使用Ghost,但注意其他磁盘上可能存在的病毒感染)
2。新安装的Windows下的注册表是出口。出口文件在这儿根目录我叫1.reg
三.输入Ubuntu系统,注意前输入F2选择简体中文模式。
4。安装C:
mkdir / mnt / hdd1(生产系统挂载点)
山- T NTFS啊iocharset = cp936 / dev / hdd1 / mnt / hdd1(系统C安装到/ mnt / hdd1,注意文件格式和设备的数量取决于具体情况)
5。挂载U盘:
mkdir / mnt / USB(生成U盘挂载点)
山- T VFAT / dev /安装/ mnt / USB(挂载U盘/ mnt / USB,同时注意文件格式和设备号)
6。将导出的注册表信息放入U盘:
也许已经有了测试U盘上的目录,并有三个项目parse.sh,parsewinreg,和测试目录下showlist
CP / mnt / hdd1 / / / 1.reg MNT的USB /测试(复制导出注册表 / / / mnt USB测试目录)
CD / mnt / USB /测试(到U盘测试目录)
。/ parsewinreg 1.reg origreg(转换导出注册表格式生成origreg)
7。c所有文件MD5值计算:
RM / / / mnt hdd1 pagefile.sys(这个文件太大,影响计算速度,删除)
/ / / mnt USB测试 / / / parse.sh MNT hdd1 / / / / origfile MNT USB(计算MD5值的文件结果导出到U盘测试目录origfile)
8。进入Windows和刺激病毒文件
注意:首先,将病毒文件放入磁盘,拔出U盘,拉出网络线,然后刺激!
9。重复3,4,5,6,7步
mkdir / mnt / hdd1
山- T NTFS啊iocharset = cp936 / dev / hdd1 / mnt / hdd1
mkdir / mnt / USB
山- T VFAT / dev /安装/ mnt / USB
CP / mnt / hdd1 / / / 2.reg MNT的USB /测试(假定出口登记2章)
CD / mnt / USB /测试
parsewinreg 2.reg newreg /。
RM / / /故障hdd1 MNT
/ / / mnt USB测试 / / / parse.sh MNT hdd1 / / / / NewFile.txt MNT USB
10。在这一点上,我们得到了原系统的信息:origreg,origfile,当病毒信息:newreg,新文件
11。比较文件的不同:不同Nur origfile NewFile.txt > filediff
12。比较注册表的差异:不同Nur origreg newreg > regdiff
13。分析filediff和regdiff,并得出结论
小技能分析:
在前面的+一般情况是病毒的释放,是有变化(感染),如果MD5值出现在对(+和-),它一般是不行,如果没有任何标记的前面,那是没有的。让我们删除无用的,只留下一个+或单的一个最好的看文件路径,即病毒产生的文件或感染文件。
原理:利用MD5值的差异进行文档的对比。
工作背景:
XP安装光盘;
病毒样本;
U盘;
Ubuntu 7.10 LiveCD
需要对比MD5和转换二进制文件格式的几个程序。
操作过程:
1。完成格式化,同时安装Windows(您可以使用Ghost,但注意其他磁盘上可能存在的病毒感染)
2。新安装的Windows下的注册表是出口。出口文件在这儿根目录我叫1.reg
三.输入Ubuntu系统,注意前输入F2选择简体中文模式。
4。安装C:
mkdir / mnt / hdd1(生产系统挂载点)
山- T NTFS啊iocharset = cp936 / dev / hdd1 / mnt / hdd1(系统C安装到/ mnt / hdd1,注意文件格式和设备的数量取决于具体情况)
5。挂载U盘:
mkdir / mnt / USB(生成U盘挂载点)
山- T VFAT / dev /安装/ mnt / USB(挂载U盘/ mnt / USB,同时注意文件格式和设备号)
6。将导出的注册表信息放入U盘:
也许已经有了测试U盘上的目录,并有三个项目parse.sh,parsewinreg,和测试目录下showlist
CP / mnt / hdd1 / / / 1.reg MNT的USB /测试(复制导出注册表 / / / mnt USB测试目录)
CD / mnt / USB /测试(到U盘测试目录)
。/ parsewinreg 1.reg origreg(转换导出注册表格式生成origreg)
7。c所有文件MD5值计算:
RM / / / mnt hdd1 pagefile.sys(这个文件太大,影响计算速度,删除)
/ / / mnt USB测试 / / / parse.sh MNT hdd1 / / / / origfile MNT USB(计算MD5值的文件结果导出到U盘测试目录origfile)
8。进入Windows和刺激病毒文件
注意:首先,将病毒文件放入磁盘,拔出U盘,拉出网络线,然后刺激!
9。重复3,4,5,6,7步
mkdir / mnt / hdd1
山- T NTFS啊iocharset = cp936 / dev / hdd1 / mnt / hdd1
mkdir / mnt / USB
山- T VFAT / dev /安装/ mnt / USB
CP / mnt / hdd1 / / / 2.reg MNT的USB /测试(假定出口登记2章)
CD / mnt / USB /测试
parsewinreg 2.reg newreg /。
RM / / /故障hdd1 MNT
/ / / mnt USB测试 / / / parse.sh MNT hdd1 / / / / NewFile.txt MNT USB
10。在这一点上,我们得到了原系统的信息:origreg,origfile,当病毒信息:newreg,新文件
11。比较文件的不同:不同Nur origfile NewFile.txt > filediff
12。比较注册表的差异:不同Nur origreg newreg > regdiff
13。分析filediff和regdiff,并得出结论
小技能分析:
在前面的+一般情况是病毒的释放,是有变化(感染),如果MD5值出现在对(+和-),它一般是不行,如果没有任何标记的前面,那是没有的。让我们删除无用的,只留下一个+或单的一个最好的看文件路径,即病毒产生的文件或感染文件。
声明:本文内容用于数码产品信息整理与选购参考,具体价格、库存、售后政策以官方渠道和电商页面实时信息为准。