linux下病毒样本技术的人工分析

在linux系统下分析病毒样本非常方便。让我们看看如何操作。

原理：利用MD5值的差异进行文档的对比。

工作背景：

1。XP安装光盘；

2。病毒样本；

三.U盘；

4。Ubuntu 7.10 LiveCD

5。对比MD5和转换二进制文件格式所需的程序

操作过程：

1。完成格式化，同时安装Windows（您可以使用Ghost，但注意其他磁盘上可能存在的病毒感染）

2。新安装的Windows下的注册表是出口。出口文件在这儿根目录我叫1.reg

三.输入Ubuntu系统，注意前输入F2选择简体中文模式。

4。安装C：

mkdir / mnt / hdd1（生产系统挂载点）

山- T NTFS啊iocharset = cp936 / dev / hdd1 / mnt / hdd1（系统C安装到/ mnt / hdd1，注意文件格式和设备的数量取决于具体情况）

5。挂载U盘：

mkdir / mnt / USB（生成U盘挂载点）

山- T VFAT / dev /安装/ mnt / USB（挂载U盘/ mnt / USB，同时注意文件格式和设备号）

6。将导出的注册表信息放入U盘：

也许已经有了测试U盘上的目录，并有三个项目parse.sh，parsewinreg，和测试目录下showlist

CP / mnt / hdd1 / / / 1.reg MNT的USB /测试（复制导出注册表 / / / mnt USB测试目录）

CD / mnt / USB /测试（到U盘测试目录）

。/ parsewinreg 1.reg origreg（转换导出注册表格式生成origreg）

7。c所有文件MD5值计算：

RM / / / mnt hdd1 pagefile.sys（这个文件太大，影响计算速度，删除）

/ / / mnt USB测试 / / / parse.sh MNT hdd1 / / / / origfile MNT USB（计算MD5值的文件结果导出到U盘测试目录origfile）

8。进入Windows和刺激病毒文件

注意：首先，将病毒文件放入磁盘，拔出U盘，拉出网络线，然后刺激！

9。重复3,4,5,6,7步

mkdir / mnt / hdd1

山- T NTFS啊iocharset = cp936 / dev / hdd1 / mnt / hdd1

mkdir / mnt / USB

山- T VFAT / dev /安装/ mnt / USB

CP / mnt / hdd1 / / / 2.reg MNT的USB /测试（假定出口登记2章）

CD / mnt / USB /测试

parsewinreg 2.reg newreg /。

RM / / /故障hdd1 MNT

/ / / mnt USB测试 / / / parse.sh MNT hdd1 / / / / NewFile.txt MNT USB

10。在这一点上，我们得到了原系统的信息：origreg，origfile，当病毒信息：newreg，新文件

11。比较文件的不同：不同Nur origfile NewFile.txt > filediff

12。比较注册表的差异：不同Nur origreg newreg > regdiff

13。分析filediff和regdiff，并得出结论

分析提示：一般在前面的是病毒的释放，是有变化（感染），如果MD5值出现在对（+和-），它一般是不行，如果没有任何标记的前面，那是没有的。让我们删除无用的，留下的只有一个+或单一的最好方式看文件路径，即病毒产生的文件或感染文件。