上游充通大学 感染实验法 SHANGHAI JIAO TONG UNIVERSITY ©这种方法的原理是利用了病毒的最重要的基本特 征:感染特性。观察正常程序和可疑程序的表现 是非不同。 信息安全工程学院
信息安全工程学院 感染实验法 这种方法的原理是利用了病毒的最重要的基本特 征:感染特性。观察正常程序和可疑程序的表现 是非不同
上游充通大兽 SHANGHAI JIAO TONG UNIVERSITY 1.检测未知引导型病毒的感染实验法 a.先用一张软盘,做一个清洁无毒的系统盘,用DEBUG程序,读该 盘的BOOT扇区进入内存,计算其校验和,并记住此值。同时把正常 的BOOT扇区保存到一个文件中。上述操作必须保证系统环境是清洁 无毒的 b.在这张实验盘上拷贝一些无毒的系统应用程序。 C.启动可疑系统,将实验盘插入可疑系统,运行实验盘上的程序,重 复一定次数。 d.再在干净无毒机器上,检查实验盘的BOOT扇区,可与原BOOT扇 区内容比较,如果实验盘BOOT扇区内容已改变,可以断定可疑系统 中有引导型病毒。 信息安全王程学院
信息安全工程学院 1.检测未知引导型病毒的感染实验法 a.先用一张软盘,做一个清洁无毒的系统盘,用DEBUG程序,读该 盘的BOOT扇区进入内存,计算其校验和,并记住此值。同时把正常 的BOOT扇区保存到一个文件中。上述操作必须保证系统环境是清洁 无毒的 b.在这张实验盘上拷贝一些无毒的系统应用程序。 c.启动可疑系统,将实验盘插入可疑系统,运行实验盘上的程序,重 复一定次数。 d.再在干净无毒机器上,检查实验盘的BOOT扇区,可与原BOOT扇 区内容比较,如果实验盘BOOT扇区内容已改变,可以断定可疑系统 中有引导型病毒
上游充通大兽 SHANGHAI JIAO TONG UNIVERSITY 2.检测未知文件型病毒的感染实验法 a.在干净系统中制作一张实验盘,上面存放一些应用程序,这些 程序应保证无毒,应选择长度不同,类型不同的文件(既有 COM型又有EXE型)。记住这些文件正常状态的长度和校验和。 0 b.在实验盘上制作一个批处理文件,使盘中程序在循环中轮流被 执行数次 ·C将实验盘插入可疑系统,执行批处理文件,多次执行盘中程序。 d将实验盘放人干净系统,检查盘中文件的长度和校验和,如果 文件长度增加,或者校验和变化,则可断定系统中有病毒。 信息安全工程学院
信息安全工程学院 2.检测未知文件型病毒的感染实验法 • a.在干净系统中制作一张实验盘,上面存放一些应用程序,这些 程序应保证无毒,应选择长度不同,类型不同的文件(既有 COM型又有EXE型)。记住这些文件正常状态的长度和校验和。 • b.在实验盘上制作一个批处理文件,使盘中程序在循环中轮流被 执行数次 • c.将实验盘插入可疑系统,执行批处理文件,多次执行盘中程序。 • d.将实验盘放人干净系统,检查盘中文件的长度和校验和,如果 文件长度增加,或者校验和变化,则可断定系统中有病毒
上游充通大粤 SHANGHAI JIAO TONG UNIVERSITY 对于indows中的病毒,感染实验法检测内容会更多一些,例如,当使 用感染实验法检测“广外女生”木马病毒时,可以采用如下步骤: ①首先打开RegSnap,从file菜单选new,然后单击OK按钮,对当前干 净的注册表以及系统文件做一个记录。如果木马修改了其中某项,就可 以分析出来了。备份完成之后把它存为Regsnp1.rgs。 ②在计算机上运行感染了“广外女生”病毒的文件,例如双击 gdufs.exe,然后等一小会儿。如果此时发现正在运行着的“天网防火 墙”或“金山毒霸”自动退出,就很可能木马已经驻留在系统中了
对于Windows中的病毒,感染实验法检测内容会更多一些,例如,当使 用感染实验法检测“广外女生”木马病毒时,可以采用如下步骤: ① 首先打开RegSnap,从file菜单选new,然后单击OK按钮,对当前干 净的注册表以及系统文件做一个记录。如果木马修改了其中某项,就可 以分析出来了。备份完成之后把它存为Regsnp1.rgs。 ② 在计算机上运行感染了“广外女生”病毒的文件,例如双击 gdufs.exe,然后等一小会儿。如果此时发现正在运行着的“天网防火 墙”或“金山毒霸”自动退出,就很可能木马已经驻留在系统中了
上游充通大学 SHANGHAI JIAO TONG UNIVERSITY ③重新打开RegSnap,从fle菜单选new,然后单击OK按钮, 把这次的 snap结果存为Regsnp2.rgs。 ④从RegSnap的fle菜单选择Compare,在First snapshotr中选择打开 Regsnp1.rgs,在Second snapshot中选择打开Regsnp:2.rgs,并在下面 的单选框中选中Show modified key names and key values,然后单击 OK按钮。这样Reg Snapi就开始比较两次记录有什么区别了,当比较完 成时会自动打开分析结果文件Regsnp1-Regsnp:2.htm。 ⑤为找出木马的驻留位置以及在注册表中的启动项,看Regsnp1- Regsnp:2.htm,若显示如下信息:
③ 重新打开RegSnap,从file菜单选new,然后单击OK按钮,把这次的 snap结果存为Regsnp2.rgs。 ④ 从RegSnap的file菜单选择Compare,在First snapshot中选择打开 Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面 的单选框中选中Show modified key names and key values,然后单击 OK按钮。这样RegSnap就开始比较两次记录有什么区别了,当比较完 成时会自动打开分析结果文件Regsnp1-Regsnp2.htm。 ⑤ 为找出木马的驻留位置以及在注册表中的启动项,看Regsnp1- Regsnp2.htm,若显示如下信息: