·1.检测未知引导型病毒的感染实验法 ·a先用一张软盘,做一个清洁无毒的系统盘,用 DEBUG 程序,读该盘的BOOT扇区进入内存,计算其校验和,并 记住此值。同时把正常的B○OT扇区保存到一个文件中 上述操作必须保证系统环境是清洁无毒的 b在这张实验盘上拷贝一些无毒的系统应用程序。 ·c启动可疑系统,将实验盘插入可疑系统,运行实验盘上 的程序,重复一定次数 ·d.再在干净无毒机器上,检查实验盘的B○OT扇区,可与 原BOOT扇区内容比较,如果实验盘BOOT扇区内容已改 变,可以断定可疑系统中有引导型病毒
• 1.检测未知引导型病毒的感染实验法 • a.先用一张软盘,做一个清洁无毒的系统盘,用DEBUG 程序,读该盘的BOOT扇区进入内存,计算其校验和,并 记住此值。同时把正常的BOOT扇区保存到一个文件中。 上述操作必须保证系统环境是清洁无毒的 • b.在这张实验盘上拷贝一些无毒的系统应用程序。 • c.启动可疑系统,将实验盘插入可疑系统,运行实验盘上 的程序,重复一定次数。 • d.再在干净无毒机器上,检查实验盘的BOOT扇区,可与 原BOOT扇区内容比较,如果实验盘BOOT扇区内容已改 变,可以断定可疑系统中有引导型病毒
·2.检测未知文件型病毒的感染实验法 a在干净系统中制作一张实验盘,上面存放一些应用程 序,这些程序应保证无毒,应选择长度不同,类型不 同的文件(既有COM型又有EXE型)。记住这些文件 正常状态的长度和校验和。 b在实验盘上制作一个批处理文件,使盘中程序在循环 中轮流被执行数次 C将实验盘插入可疑系统,执行批处理文件,多次执行 盘中程序 d将实验盘放人干净系统,检查盘中文件的长度和校验 和,如果文件长度增加,或者校验和变化,则可断定 系统中有病毒
• 2.检测未知文件型病毒的感染实验法 – a.在干净系统中制作一张实验盘,上面存放一些应用程 序,这些程序应保证无毒,应选择长度不同,类型不 同的文件(既有COM型又有EXE型)。记住这些文件 正常状态的长度和校验和。 – b.在实验盘上制作一个批处理文件,使盘中程序在循环 中轮流被执行数次 – c.将实验盘插入可疑系统,执行批处理文件,多次执行 盘中程序。 – d.将实验盘放人干净系统,检查盘中文件的长度和校验 和,如果文件长度增加,或者校验和变化,则可断定 系统中有病毒
对于 Windows中的病毒,感染实验法检测内容会更 多一些,例如,当使用感染实验法检测“广外女生” 木马病毒时,可以采用如下步骤: ①首先打开 RegSnap,从fe菜单选neW,然后单 击OK按钮,对当前干净的注册表以及系统文件做 个记录。如果木马修改了其中某项,就可以分析 出来了。备份完成之后把它存为 Regsnp1rgs。 ②在计算机上运行感染了“广外女生”病毒的文 件,例如双击 gdufs.eXe,然后等一小会儿。如果 此时发现正在运行着的“天网防火墙”或“金山毒 霸”自动退出,就很可能木马已经驻留在系统中了
对于Windows中的病毒,感染实验法检测内容会更 多一些,例如,当使用感染实验法检测“广外女生” 木马病毒时,可以采用如下步骤: ① 首先打开RegSnap,从file菜单选new,然后单 击OK按钮,对当前干净的注册表以及系统文件做 一个记录。如果木马修改了其中某项,就可以分析 出来了。备份完成之后把它存为Regsnp1.rgs。 ② 在计算机上运行感染了“广外女生”病毒的文 件,例如双击gdufs.exe,然后等一小会儿。如果 此时发现正在运行着的“天网防火墙”或“金山毒 霸”自动退出,就很可能木马已经驻留在系统中了
③重新打开 RegSnap,从fe菜单选new,然后单击 OK按钮,把这次的snap结果存为 Regsnp2rgs。 ④从 RegSnap的fle菜单选择 compare,在 First snapsho中选择打开 Regsnp1rgs,在 Second snapshot中选择打开 Regsnp2rgs,并在下面的单 选框中选中 Show modified key names and key values,然后单击○K按钮。这样 RegSnap就开始 比较两次记录有什么区别了,当比较完成时会自动 打开分析结果文件 Regsnp1 Regsnp2hm。 ⑤为找出木马的驻留位置以及在注册表中的启动 项,看 Regsnp1- Regsnp2htm,若显示如下信息:
③ 重新打开RegSnap,从file菜单选new,然后单击 OK按钮,把这次的snap结果存为Regsnp2.rgs。 ④ 从RegSnap的file菜单选择Compare,在First snapshot中选择打开Regsnp1.rgs,在Second snapshot中选择打开Regsnp2.rgs,并在下面的单 选框中选中Show modified key names and key values,然后单击OK按钮。这样RegSnap就开始 比较两次记录有什么区别了,当比较完成时会自动 打开分析结果文件Regsnp1-Regsnp2.htm。 ⑤ 为找出木马的驻留位置以及在注册表中的启动 项,看Regsnp1-Regsnp2.htm,若显示如下信息:
Summary info Deleted keys: 0 Modified keys: 15 New keys: 1 File list in C: WinnT System 32I* Summary info Deleted files: 0 Modified files: 0 New files: 1 New files diagcfg. exe Size:97792, Date/time:2001年07月01日 23:00:12 Total positions: 1
Summary info: Deleted keys: 0 Modified keys: 15 New keys : 1 File list in C:\WINNT\System32\*.* Summary info: Deleted files: 0 Modified files: 0 New files : 1 New files diagcfg.exe Size: 97 792 , Date/Time: 2001年07月01日 23:00:12 … Total positions: 1