在linux
系统下分析
病毒样本非常方便。让我们看看如何
操作。
原理:利用MD5值的差异进行
文档的对比。
工作背景:
1。XP
安装光盘;
2。病毒样本;
三.U盘;
4。Ubuntu 7.10 LiveCD
5。对比MD5和
转换二进制
文件格式所需的
程序 操作过程:
1。完成
格式化,同时安装Windows(您可以使用Ghost,但注意其他
磁盘上可能存在的病毒感染)
2。新安装的Windows下的
注册表是出口。出口文件在这儿根
目录我叫1.reg
三.
输入Ubuntu系统,注意前输入F2选择简体
中文模式。
4。安装C:
mkdir / mnt / hdd1(生产系统挂载点)
山- T NTFS啊iocharset = cp936 / dev / hdd1 / mnt / hdd1(系统C安装到/ mnt / hdd1,注意文件格式和设备的数量取决于具体
情况)
5。挂载U盘:
mkdir / mnt / USB(生成U盘挂载点)
山- T VFAT / dev /安装/ mnt / USB(挂载U盘/ mnt / USB,同时注意文件格式和设备号)
6。将导出的注册表信息放入U盘:
也许已经有了测试U盘上的目录,并有三个项目parse.sh,parsewinreg,和测试目录下showlist
CP / mnt / hdd1 / / / 1.reg MNT的USB /测试(
复制导出注册表 / / / mnt USB测试目录)
CD / mnt / USB /测试(到U盘测试目录)
。/ parsewinreg 1.reg origreg(转换导出注册表格式生成origreg)
7。c所有文件MD5值计算:
RM / / / mnt hdd1 pagefile.sys(这个文件太大,
影响计算
速度,
删除)
/ / / mnt USB测试 / / / parse.sh MNT hdd1 / / / / origfile MNT USB(计算MD5值的文件结果导出到U盘测试目录origfile)
8。进入Windows和刺激病毒文件
注意:首先,将病毒文件放入磁盘,拔出U盘,拉出
网络线,然后刺激!
9。重复3,4,5,6,7步
mkdir / mnt / hdd1
山- T NTFS啊iocharset = cp936 / dev / hdd1 / mnt / hdd1
mkdir / mnt / USB
山- T VFAT / dev /安装/ mnt / USB
CP / mnt / hdd1 / / / 2.reg MNT的USB /测试(假定出口登记2章)
CD / mnt / USB /测试
parsewinreg 2.reg newreg /。
RM / / /
故障hdd1 MNT
/ / / mnt USB测试 / / / parse.sh MNT hdd1 / / / / NewFile.txt MNT USB
10。在这一点上,我们得到了原系统的信息:origreg,origfile,当病毒信息:newreg,新文件
11。比较文件的不同:不同Nur origfile NewFile.txt > filediff
12。比较注册表的差异:不同Nur origreg newreg > regdiff
13。分析filediff和regdiff,并得出结论
分析
提示:一般在前面的是病毒的释放,是有变化(感染),如果MD5值出现在对(+和-),它一般是不行,如果没有任何标记的前面,那是没有的。让我们删除无用的,留下的只有一个+或单一的最好方式看文件
路径,即病毒产生的文件或感染文件。