病毒分析.docx
- 文档编号:9365719
- 上传时间:2023-05-18
- 格式:DOCX
- 页数:17
- 大小:1.03MB
病毒分析.docx
《病毒分析.docx》由会员分享,可在线阅读,更多相关《病毒分析.docx(17页珍藏版)》请在冰点文库上搜索。
病毒分析
[第1讲]软件加木马分析概述【基础】
软件加木马分析班开班前说明wBD
HhXi0
qV__9}N-sS 1、这次培训以基础讲解和实践操作为主。
实际操作时我们大多会从网上找来软件或者讲师制作一些“良性的木马“,实际辅导大家分析处理,增强大家的分析动手能力,让大家学有所成;%~I&T".iC
2、这次培训并非主要帮大家分析木马病毒,只是教大家简单的认识和熟悉文件加木马(包括加广告、恶意程序等等)原理、方式、处理办法等,但是培训后期可能用实际的木马病毒操作,希望大家做好心里准备;=+_LIGH_It
3、我们(特别是我)不是专门弄这个方面人员,也没专门从事这方面学习和培训,只是可能接触病毒、木马、广告软件较多而已,不一定正确和全面,有可能不比有些学员知识水平动手能力高,有些见解方法希望大家一起讨论;_Nw9@_ER
4、因为windowsxp用户较多,这次培训也主要以windowsxp系统为基础开展的培训,如果不是这个系统,请参照相关说明学习和处理,并可以专区发帖交流;ftvu6_9f
5、前期培训和作业可能简单,但是也希望大家有时间的一定要积极学习并完成,没有前期的基础知识积累,后期分析起来可能非常吃力;X:
:
@_2{-@y
6、要求学员会文件和文件夹的打开、查找、拷贝、移动、删除、重命名等计算机基本操作技能。
>?
1G_J5]\s &\I 一、基本概念L_p_q)TE# 以下基本概念会在以后讲解中经常会涉及到,请不懂的学员仔细学习和理解'z^'+}iy_v 1、软件4qQE9fxdY 2、操作系统? V1i_k[_ 3、文件ZR-Rz__T1 4、木马%3*|Su%_uC 5、文件的MD5值和CRC值_2Y%7.Y_X" 6、系统文件夹w,X)__g{^T 7、系统用户gm_p_Y_[ 8、注册表_+pq)_7 9、组策略|JR`"nF`_ 10、系统服务__x&^X_gi? 11、进程vs$_h&o>_| 12、端口p[o]o_uTcS 50dN~(;__p二、软件加马方式mi$C%_~]5m 目前软件加木马方式有以下几种FX9WXb4w 1、压缩包中加马? ]_bx]Y;__ 2、安装包加马ygV__"=+|N 3、木马程序与正常文件合并后加马Xs|d#_Wb_X 4、文件编程时就自带木马或者恶意进程_GFE3p__ m_E1_Vr___三、检查软件和文件加马步骤A$7K5___ 一般检查一个可疑软件和文件是否加马步骤是uH_? 4d_! G 检查文件用何种方式制作加壳——解压、脱壳——文件分析——系统文件变化分析——注册表变化分析——打开端口分析|A__,.m_OT 901__5PEO 下面给大家简单介绍上述的12个基本概念,请大家认真学习,通过本节课学习,认识自己计算机的系统、系统用户、软件、木马、系统文件夹,学会打开文件属性、注册表、组策略、进程、端口 1、软件_xAjQ_W= 软件并不只是包括可以在计算机上运行的电脑程序,与这些电脑程序相关的文档一般也被认为是软件的一部分。 简单的说软件就是程序加文档的集合体。 : #/bA&____ 一般来讲软件被划分为系统软件、应用软件,管理软件、行业软件、安全防护软件、多媒体软件、游戏软件。 其中系统软件包括操作系统和支撑软件。 )^_\='(s 软件是用户与硬件之间的接口界面。 用户主要是通过软件与计算机进行交流。 软件是计算机系统设计的重要依据。 为了方便用户,为了使计算机系统具有较高的总体效用,在设计计算机系统时,必须全局考虑软件与硬件的结合,以及用户的要求和软件的要求。 _Q]wM__/7 9^^#_I~_- 下图为大家经常用到的winrar压缩软件的所有文件所在文件夹截图,比较典型。 它主要有winrar.exe主执行文件用于运行winrar压缩程序、Uninstall.exe卸载文件用于卸载winrar压缩软件、RARreg.key版权注册文件用于获得长期使用winrar压缩文件权限、WinRAR.chm帮助文件用于在使用者了解软件的安装、使用、卸载、版权等各方面信息等等。 #__: |_Y(,c 2、操作系统_.Oo/y0E^ 操作系统是控制其他程序运行,管理系统资源并为用户提供操作界面的系统软件的集合。 任何—个计算机系统都配置一种或多种操作系统。 众所周知,任何一个计算机系统都是由两部分组成: 计算机硬件和计算机软件。 计算机硬件通常是由中央处理机(简称CPU)、存储器(硬盘、优盘)、输入设备和输出设备(键盘、鼠标)等部件组成,它构成了系统本身和用户作业赖以活动的物质基础和工作系统。 计算机软件包括系统软件和应用软件。 系统软件如操作系统、连接装配程序、系统实用程序、多种工具软件等;应用软件为多种应用目的而编制的程序。 Y5TS>iEE]_ }0_eg{{_g8 根据所支持的用户数目,可分为单用户(MSDOS、OS/2)、多用户系统(Windows、UNIX、linux、MVS),目前我们经常用到的操作系统是windows操作系统,Windows系列操作系统是在微软给IBM机器设计的MS-DOS的基础上设计的图形操作系统。 一般启动计算机后在桌面“我的电脑”上点击右键,选择“属性”,就可以看见本机的操作系统类型了。 如下图: 3、文件___w_"_"_ 文件是以单个名称在计算机上存储的信息集合。 文件可以是文本文档、图片、程序等等。 文件通常具有三个字母的文件扩展名,用于指示文件类型。 例如,图片文件扩展名为.jpg、.bmp,记事本文件文件扩展名为.txt,压缩文件扩展名为.rar、.zip、7z,批处理文件扩展名为.bat等)。 ~p_{fl? 文件的范畴很广泛.在你的电脑里,你运行的什么程序啊,什么杀毒的啊,什么的其实都叫文件,所谓“文件”,就是在我们的电脑中,以实现某种功能、或某个软件的部分功能为目的而定义的一个单位。 有文件名、文件后缀、文件大小、文件建立修改时间、文件类型等等属性。 一般可以在一个文件上点击鼠标右键,然后选择“属性: 的方式查看一个文件几乎所有属性。 }F-,PSHMl |! c_M__ & 下图为我为培训制作的exe执行文件“加马分析培训测试1.exe”的文件属性,有文件类型、描述、所在位置、大小、创建时间、修改时间以及系统属性等等。 先了解这些属性非常重要,通过这些属性比如修改时间上有时我们也能很快判断出是否是木马或者已经被加马,以后会重点讲解。 4、木马,99G2Ev4c 木马有广义概念和狭义概念之分。 我们这次培训讲解的木马是广义的概念,简单说就是运行后有不被用户知道的进程和行为的一段代码、文件或者程序。 以后讲解和介绍中简称“马”,特指这种广义的木马。 ! AHm+C_=Lg Zi)8KO[/0_ (木马名称的来源: 在古罗马的战争中,古罗马人利用一只巨大的木马,麻痹敌人,进入敌人内部,最后赢得了战役的胜利,成为一段历史佳话。 而在当今的网络世界里,也有这样一种被称做木马的程序,它为自己带上伪装的面具,悄悄地潜入用户的系统,进行着不可告人的行动。 )~_`hcgCi% 杀毒软件一般将木马多命名为“backdoor”(英语“后门”的意思),见下图r8_.v_0b"1 5、文件的MD5值和CRC值[x__PE? O_D 所谓MD5,即"Message-DigestAlgorithm5(信息-摘要算法)",它由MD2、MD3、MD4发展而来的一种单向函数算法(也就是HASH算法),它是国际著名的公钥加密算法标准RSA的第一设计者R.Rivest于上个世纪90年代初开发出来的。 MD5的最大作用在于,将不同格式的大容量文件信息在用数字签名软件来签署私人密钥前"压缩"成一种保密的格式,关键之处在于——这种"压缩"是不可逆的。 _N[-_)c,_O 大家都知道,地球上任何人都有自己独一无二的指纹,这常常成为公安机关鉴别罪犯身份最值得信赖的方法;与之类似,MD5就可以为任何文件(不管其大小、格式、数量)产生一个同样独一无二的"数字指纹",如果任何人对文件做了任何改动,其MD5值也就是对应的"数字指纹"都会发生变化。 F'I_6_aE% 3fPv71NVtt CRC校验实用程序库在数据存储和数据通讯领域,为了保证数据的正确,就不得不采用检错的手段。 在诸多检错手段中,CRC是最著名的一种。 CRC的全称是循环冗余校验,其特点是: 检错能力极强,开销小,易于用编码器及检测电路实现。 从其检错能力来看,它所不能发现的错误的几率仅为0.0047%以下。 从性能上和开销上考虑,均远远优于奇偶校验及算术和校验等方式。 Ei_-OuDM;) e__? >suI B 我们常常在某些软件下载站点的某软件信息中看到其MD5值/CRC值,它的作用就在于我们可以在下载该软件后,对下载回来的文件用专门的软件(如WindowsMD5Check等)做一次MD5校验/CRC值,以确保我们获得的文件与该站点提供的文件为同一文件。 利用MD5算法/CRC算法来进行文件校验的方案被大量应用到软件下载站、论坛数据库、系统文件安全等方面。 通过文件的MD5和CRC校检基本上我们就能判断文件是否被修改,如果我们下载的文件与作者介绍的文件校检值不一样,那就基本可以说明文件被修改过,尽量不要运行或使用。 windowsxp系统用户到培训FTP里软件加马分析培训文件夹中的下载“xp超级右键”,运行后就可以给自己鼠标右键添加MD5/CRC校验。 使用时在需要检查的文件上点击右键——属性——文件校检,即可查看该文件的MD5校检值和CRC校检值。 _keOW{: ^i_ 下图为我的IE6.0浏览器主执行文件IEXPLORE.EXE的校检值。 6、系统文件夹P0b4Hq_3_ pV=@s_ z,G 首先需要明确一个概念,“系统文件夹”指的是存放操作系统主要文件的文件夹,一般在安装操作系统过程中自动创建并将相关文件放在对应的文件夹中,这里面的文件直接影响系统的正常运行,多数都不允许随意改变。 目前大家使用的系统大多是32位系统,所指的系统文件夹主要是指windows文件夹下的System32文件夹。 _]]PE#DDg Commando_M-[Bh]A 该文件夹内有很多DOS下的外部命令程序,这些小工具在系统崩溃对于系统的修复很有用,如Bootdisk.Bat文件可以用于在DOS命令行上创建启动盘。 _MUwxgAG`G Cookiesp[_q_g&VKB “甜饼”文件夹,存放用户浏览某些网站时由网站在你的硬盘上创建的一些个人资料,如用户名、所到过的网址等。 niz'b]]+ DesktopoY.\)e_J~> 桌面文件夹,存放于该文件夹内的文件将直接显示在桌面上。 E_O: avH.*0 DownloadedProgramFilesu"Y]P*__[k 存放IE下载文件的文件夹。 其中包含了显示已打开过的Web页所需的文件(大部分文件用来运行Web页面上的动画)。 注意: 这并不是你下载的软件必须放置的文件夹。 g_~)3WfC$[ FavoritesCt! ST_k[2 “收藏夹”文件夹。 我们在IE中将某个网页“添加到收藏夹”,实际上就是将网页的快捷方式存放在该文件夹下,当然也可以在该文件下创建更多的文件夹,以便将收藏分类存放。 _U=m=1FYaG FontsqqvF-m_DN 字体文件夹。 系统中所有要用到的字体都存放在此,所以添加新字体除了通过打开控制面板的“字体”窗口中的“安装新字体”项的方式进行以外,也可以直接将字体文件复制到这里;在此也可删除某些不常用的字体文件(但注意扩展名为.fon的屏幕字体最好不要乱删,以免引起系统不能正常显示)。 1~M n_'O% Helpch})ivFP[ 帮助文件的存放文件夹。 里面包括很多很详细的帮助文件,遇到疑难可多看这些帮助文件,它们对用户会有很多帮助。 ! y_*oF{ RZ History3U;_1D2"AE 历史记录文件夹。 当在IE浏览器浏览过一个网页时,IE默认会创建一个历史记录信息存放在此。 如果不想让他人知道你的浏览行踪,可以删除这个文件夹中的内容。 c-_*2_dV[@ OfflineWebPagessf__IN)jh 脱机浏览文件的存放位置。 当某个站点被设成允许脱机使用时,就会在该文件夹中生成对应的文件。 $_E.XOpl&I RecentH_J@5_B" 记录最近打开过的文档的文件夹。 其中的内容和开始菜单中“文档”项中的内容相对应,所以要想清除最近打开过的文档记录,直接删除该文件夹中的快捷方式即可。 .@k*p>K StartMenuGYoseq_Z_M 开始菜单文件夹。 其中的项目对应开始菜单中的程序项,在该文件夹中可以调整开始菜单项目(如增加、删除、重新分类等)。 KY+_]RxX__ SysbckupO_? E6x_c<8 该文件夹用于存放系统对注册表和系统文件的备份信息。 _}\Z5_{O_A System8*Zv_r&B,G 这是16位系统常用的系统文件夹,存放了系统中的重要文件(如DLL文件等),一些软件在安装时也会向该文件夹复制文件,因此,随着安装的软件的增加,此文件夹中的内容也会越来越多。 该文件夹内的文件一般不要轻易删除,否则会导致系统错误。 _;_BV_Dt_ System32q[cEtp28h 32位系统的系统文件夹,其中有很多虚拟设备文件(扩展名为VXD),随意删除它们会引起系统出错甚至崩溃。 ";d_U-_\3M Temp40.AM1Z0f 临时文件夹,存放系统运行时产生的临时文件。 其中的文件通常需要手动进行清理。 q@}.\wN TemporaryInternetFiles=v0~[E4_ IE的临时文件夹。 该文件夹中存放IE浏览网页时所生成的一些内容,当再次打开相同网页时系统会从这里读取,以加快浏览速度。 因此适当加大该临时文件夹的空间会使浏览速度更快(在控制面板的“Internet选项”中设置)。 _FsB6G]mc ke6n/h5` 系统文件夹是病毒、木马、广告等特别喜欢光顾的地方。 _S_Q_ _ 7、系统用户_fx]\)0_n 系统用户(Systemuser)是那些在通常意义上使用信息系统或者受到信息系统影响的“客户”--如收集、验证、录入、响应、存储、交换数据和信息。 在WindowsXP系统中,默认启动方式下会出现欢迎屏幕,所有用户一览无余。 应该先更改用户登录方式。 方法是: 打开“控制面板”,选择“用户帐户”,在“用户帐户”窗口单击“更改用户登录或注销的方式”,取消“使用欢迎屏幕”复选框,单击“应用选项”按钮。 以后用户就直接启动到桌面了。 _2b;_r_r_ 在电脑启动后出现欢迎界面时,连按2次ctrl+alt+delete,就可以进如administrator用户登陆界面了,administrator是系统的超级管理员,一般在系统有问题的时候,进去维护系统用的,切记给administrator用户设置登陆密码,并用笔记住。 8、注册表_"2_j~3aWj 注册表是应用程序进行时它们需要关于做什么的指示的数据库。 pMrfi}esx Win98/98SE/Me系统启动注册表方法: ? %n9g)>Yej 运行中输入regedit.exe无权限限制WL]'lSH__a Win2000/XP系统启动注册表方法: _8)ol6 Mi{ a.开始>>运行.中输入regedit5_ b.运行中输入regedt327: ___<># 第一种方法打开的注册表编辑器和Win98下的一样,而且功能相同,而使用第二种方法打开的注册表编辑器则可以方便的设置权限,建议网络管理员使用第2种方法打开注册表编辑器修改需要修改的权限设置部分以免被他人恶意修改。 _I[C.iILL WindowsVista系统启动注册表方法: J#nE_Gl_|a 1.在开始菜单搜索框中输入regedit并按回车键.(需要管理员权限)_LRgk9*@, 2.在运行中输入regedit.exe(需要管理员权限)X_Rin~wz|S 注册表数据库文件的存放位置U: (_t9NXb 2000/XP注册表文件按功能来分,也是由系统注册表文件和用户注册表文件两类组成的} _])f^__ 注册表文件存放系统的所有设置信息: o__ ! __d0 系统设置和缺省用户配置数据存放在系统\系统文件夹\SYSTEM32\CONFIG文件夹下的6个文件,DEFAULT、SAM、SECURITY、SOFTWARE、USERDIFF和SYSTEM中,而用户的配置信息存放在系统所在磁盘的\DocumentsandSetting\文件夹,包括ntuser.datntuser.inintuser.dat.logC_Q? |=_cN 注册表的作用C 注册表保存关于缺省数据和辅助文件的位置信息、菜单、按钮条、窗口状态和其他可选项。 它同样也保存了安装信息(比如说日期),安装软件的用户,软件版本号和日期,序列号等。 根据安装软件的不同,它包括的信息也不同。 S([___De"y 然而,一般来说,注册表控制所有32位应用程序和驱动,控制的方法是基于用户和计算机的,而不依赖于应用程序或驱动,每个注册表的参数项控制了一个用户的功能或者计算机功能。 用户功能可能包括了桌面外观和用户目录。 所以,计算机功能和安装的硬件和软件有关,对所有用户来说项都是公用的。 B7C6Ma__u 注册表控制用户模式的例子有: 0&@6NW&M_u 控制面板功能;>@o*_v*25_ 桌面外观和图标;lR__q! |._C 网络参数;&/"qOZ_As 浏览器功能性和特征;? T&D@_Ohsx 那些功能中的某些是和用户无关的,有些是针对用户的。 ubw]}sfM# 计算机相关控制项基于计算机名,和登陆用户无关。 控制类型的例子是安装一个应用程序,不管是哪个用户,程序的可用性和存取是不变的,然而,运行程序图标依赖于网络上登陆的用户。 网络协议可用性和优先权基于计算机,但是当前连接和用户信息相关。 |m%__ &Qb 这里是在注册表中基与计算机控制条目的一些例子: P_C_5F__fX 存取控制;a_&_j? _"o 登陆确认;g__YZg_o 文件和打印机共享;8~bPo__WP_ 网卡设置和协议;,o_`qB_81_ 系统性能和虚拟内存设置; 9、组策略____i_pY; 注册表是Windows系统中保存系统软件和应用软件配置的数据库,而随着Windows功能越来越丰富,注册表里的配置项目也越来越多,很多配置都可以自定义设置,但这些配置分布在注册表的各个角落,如果是手工配置,可以想像是多么困难和烦杂。 而组策略则将系统重要的配置功能汇集成各种配置模块,供用户直接使用,从而达到方便管理计算机的目的。 ;_@s'J_SPt 其实简单地说,组策略设置就是在修改注册表中的配置。 当然,组策略使用了更完善的管理组织方法,可以对各种对象中的设置进行管理和配置,远比手工修改注册表方便、灵活,功能也更加强大。 s5_&v~I;>e 在Windows2000/XP/2003系统中,系统默认已经安装了组策略程序,在“开始”菜单中,单击“运行”选项,在打开的对话框中输入“gpedit.msc”并确定,即可运行组策略。 如图所示。 `kM_: 5f+>W 使用上面的方法,打开的组策略对象是当前的计算机,而如果需要配置其他的计算机组策略对象,则需要将组策略作为独立的MMC管理单元打开: L_@_x#: s_= (1)打开Microsoft管理控制台(可在“开始”菜单的“运行”对话框中直接输入“MMC”并确定)。 (4"Azo*~! [ (2)单击“文件→添加/删除管理单元”菜单命令,在打开的对话框中单击“添加”按钮。 BkJNu_{m? _ (3)在“可用的独立管理单元”对话框中,单击“组策略”选项,然后单击“添加”按钮。 _$[M5Vv (4)在“选择组策略对象”对话框中,单击“本地计算机”选项编辑本地计算机对象,或通过单击“浏览”查找所需的组策略对象。 &\\)x_.! (5)单击“完成”按钮,组策略管理单元即打开要编辑的组策略对象。 %Kc2_n9W (6)在左窗格中定位需要更改的选项的位置,在右窗格中右键单击需要更改的具体选项,单击“属性”命令,即可打开其属性对话框,从中选择“已启用”、“未配置”、“已禁用”选项即可对计算机策略进行管理。 .T_KKjS%_8 在WindowsBjAm_M*_k 2000/XP/2003中,默认的Admin.adm管理模板位于系统文件夹的INF文件夹中,包含了默认安装下的4个模板文件,分别为: MtXT_h_*4_ (1)System.adm: 默认安装在“组策略”中,用于系统设置。 __b&xlT+GN (2)Inetres.adm: 默认安装在“组策略”中,用于Internet'/~j! H4q9 Explorer(IE)策略设置。 Oq4_J_$/% (3)Wmplayer.adm: 用于WindowsMediapip____qXe Player设置。 '.1___anE] (4)Conf.adm: 用于NetMeeting设置。 cU_K_9EOPe 组策略仅用于NT核心的系统。 不支持WindowsXPHomeEdition、StarterEdition及WindowsVistaHomeBasicEdition、StarterEdition。 在WindowsVista中,组策略文件的扩展名改为admx。 继续使用adm文件会引起一些奇怪的故障。 这里的x应该指extension(扩展),像aspx及那些Office2007文件一样 10、系统服务,_T8fo\_a4 在Windows2000/XP/2003系统中,服务是指执行指定系统功能的程序、例程或进程,以便支持其他程序,尤其是低层(接近硬件)程序。 通过网络提供服务时,服务可以在ActiveDirectory(活动目录)中发布,从而促进了以服务为中心的管理和使用。 A__",Xn/d 服务是一种应用程序类型,它在后台运行。 服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。 R__duPaWc@ 系统服务的作用]8|p_e__o{ (1)启动、停止、暂停、恢复或禁用远程
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 病毒 分析
![提示](https://static.bingdoc.com/images/bang_tan.gif)