中国教程网论坛's Archiver

大连蓝天 发表于 2006-10-16 17:47

关于反木马 "上帝们"必须知道的真相 如何捕获电脑病毒样本

.现在的杀软更新真是快,2006的硝烟尚未散去,国产三巨头的2007版本便粉墨登场了。各大杀软的优缺点想必广大用户通过很多媒体有了不少的了解,这里笔者无意去探讨杀软的资源占用,界面美不美观和功能多少与否这些问题。今天只探讨杀软对加壳木马的查杀能力,这个对很多人来说,才是最重要的。
现如今的互联网可谓是木马横行,网银大盗和落雪等恶性木马的横行,让很多人深受其害,所以说,杀毒软件对加壳木马的查杀效果直接关系到广大用户的信息和个人隐私的安全。
此次测试,笔者选取了时下较流行的灰鸽子2006VIP服务端做为样本,然后加了12种不同类型的主流壳(图1),分别用不同的杀软对这12个文件进行查杀,以验证杀软的脱壳杀毒的能力。

图1 准备用于测试的12个加壳木马

[[i] 本帖最后由 大连蓝天 于 2006-10-16 17:50 编辑 [/i]]

大连蓝天 发表于 2006-10-16 17:51

[b]软件环境[/b]
Windows XP SP2+GHOST(为保证测试的公正性,每个杀软测试完以后,都用GHOST进行恢复后在安装另一个杀软)
[b]一、金山毒霸 2007[/b]


图2 金山毒霸 2007的查杀情况  图3 金山毒霸 2007的基本情况通过上面的截图,大家可以看到,笔者的金山毒霸2007已经是今天(10月9日)测试最新得病毒库了,但遗憾的时,只查出了eXPressor加壳后的木马,效果很不理想。

大连蓝天 发表于 2006-10-16 17:52

[b]二、江民杀毒软件KV 2007 下载版[/b]


图4 江民杀毒软件KV 2007 下载版的查杀情况查出了五种壳的木马,效果还算不错。

大连蓝天 发表于 2006-10-16 17:56

图5 瑞星 2007测试版的查杀情况  图6 瑞星 2007测试版的基本情况虽然是测试版,但性能一点都不含糊,查出了六种壳得木马。希望它的正式版能带给大家更多的惊喜。

大连蓝天 发表于 2006-10-16 17:57

[b]四、卡巴斯基个人版6.0.307[/b]


图7 卡巴斯基个人版6.0.307的查杀情况  图8 卡巴斯基个人版6.0.307的基本情况做为杀软行业的领头羊,卡巴果然一点都不含糊,轻松的查出了10个。
很多人都很喜欢卡巴,但笔者觉得卡巴斯基是一个被过度神话的杀毒软件。个人非常尊重卡巴斯基的高水准,但说句实话,在不考虑资源占用的情况下,卡巴斯基并没有什么足够的理由能够让笔者放弃诺顿,二者的水平并没有什么差异。在稳定性上,卡巴斯基比诺顿要差一些。

大连蓝天 发表于 2006-10-16 17:59

[b]五、Symantec AntiVirus10.0[/b]

图9 Symantec AntiVirus10.0的查杀情况  图10 Symantec AntiVirus10.0的基本情况做为杀毒软件中的元老,诺顿首创实时监控技术,还拥有微软的源代码。大家都说诺顿不好,其实诺顿的引擎很强大。从最底层保护计算机,所以运行起来不太快,只是杀毒理念不同,才让诺顿不适合个人用户。它主要以隔离为主,防止企业文件被删除。因为有些被病毒感染了的文件根本不能完全杀毒。直接删除又会破坏文件,所以诺顿最适合企业用户选择。
在此项测试中,诺顿企业版10.0查出了11种加壳木马。
PConline注:诺顿(Norton)是赛门铁克(Symantec)公司的个人产品品牌。“Symantec”则是用于企业产品的品牌。

大连蓝天 发表于 2006-10-16 18:03

[b]六、Mcafee 8.0i 企业版[/b]
[img]http://cimg2.163.com/catchpic/E/E1/E181B64E41B6799B74D86879B8A80556.jpg[/img]图11 Mcafeeve8.0i 企业版的查杀情况[img]http://cimg2.163.com/catchpic/5/56/563B93FED850A676CFA26FDFD988529F.jpg[/img]图12 Mcafeeve8.0i 企业版的基本情况[b]McAfee 2006 个人安全套装[/b]
[img]http://cimg2.163.com/catchpic/D/DA/DA8F8C4E0F706CBD7DC951D2FA8F601A.jpg[/img]图13 McAfee 2006 个人安全套装的查杀情况[img]http://cimg2.163.com/catchpic/E/E8/E8EBEC50E11CAA12A77CB94C6BF9721C.jpg[/img]图14 McAfee 2006 个人安全套装的基本情况很早前听过一个朋友这样说过McAfee和诺顿的企业版杀毒能力比个人版好,为了澄清这种谣传,才做了上面的对比测试,用McAfee的企业版和个人版做了一个小对比,结果证明二者使用同样的引擎和病毒库的时候,杀毒能力也是一致的。
McAfee的表现和诺顿一样出色,12个木马文件中只漏杀了一个,在加之其超强的内存监控,表现很优秀。

大连蓝天 发表于 2006-10-16 18:04

[b]七、Dr.Web 4.33[/b]
[img]http://cimg2.163.com/catchpic/B/B7/B7F72FFA1EEF75F942B0947081BA6CE0.jpg[/img]图15 Dr.Web 4.33的查杀情况[img]http://cimg2.163.com/catchpic/6/6A/6AAAD4CD42694831EEAF9EA866DAB68B.jpg[/img]图16 Dr.Web 4.33的基本情况DR.web是一个俄罗斯的杀毒软件,就是大家所说的大蜘蛛。和卡巴基本是一样的,但引擎和技术不一样,是俄罗斯官方和军队的采用的产品,在此项测试中,DR.web的表现和卡巴一致,也是查出了10个。

大连蓝天 发表于 2006-10-16 18:06

高手讲座:如何捕获电脑病毒样本




众所周知,计算机病毒与医学上的“病毒”不同,它不是天然存在的,是某些人利用计算机软、硬件所固有的脆弱性,编制的具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里,当达到某种条件时即被激活,它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中,从而感染它们,对计算机资源进行破坏的这样一组程序或指令集合。
长期操作电脑者会发现,病毒往往紧跟计算机的发展步伐,升级换代频繁,从最初的破坏软件发展到损毁硬件,令人对计算机病毒既怕又恨,防不胜防。因此,及早发现和清除病毒,是将病毒产生的危害降低到最低限度的重要手段,如果在已经安装了防病毒软件且病毒定义码和病毒查杀引擎是最新版本的情况下,病毒仍然发作并造成文件丢失或系统破坏,那么,这就是最新的病毒在发作。这时,就应提取新病毒样本,供反病毒专家分析研究,以便在最短的时间内更新病毒代码库。提取新病毒样本的方法如下:
[b]一、引导型Boot病毒的捕获[/b]
引导区类型的病毒提取很简单,首先利用Format A: /S将引导系统文件复制到软盘中,然后再将的硬盘中的一些系统执行文件一同拷贝到软盘中。具体步骤如下: 进入MS-DOS方式, 格式化一张系统盘,Format A: /s , 针对不同的系统,请将如下文件拷贝到这同一张软盘之中:
对于Windows 3.x: 拷贝 \Windows\System下的 gdi.exernl286.exe、progman.exe三个文件。
对于Windows 95/98/ME: 拷贝 \Windows\System下的 gdi.exe、krnl386.exe、progman.exe三个文件。(见图1)


图1对于Windows NT、Windows 2000: 拷贝 \Windows\System32下的 gdi.exe、krnl386.exe、progman.exe 三个文件。
如果格式化软盘时出现死机,请按下列步骤提取:请在该软盘的标签上写明“damaged during infected format as boot disk”。
针对不同的系统的上列文件,拷贝到不同的软盘中,方法同上。

大连蓝天 发表于 2006-10-16 18:09

[b]二、文件型File/Macro病毒的捕获[/b]
如果你怀疑病毒是文件型,将C盘根目录下的command.com文件拷贝到软盘上,取名为command,即去掉扩展名。
如果你怀疑病毒是MS Word宏病毒,将C:\Program Files\Microsoft Office\Templates目录下的“"normal.dot”文件和C:\Program Files\Microsoft Office\Office\Startup 目录内的所有文件拷贝到软盘。(见图2)

图2如果你怀疑病毒是MS Excel宏病毒,将XLSTART目录内的所有文件拷贝到软盘。XLSTART位于计算机的多个地方,用Windows搜索功能查找"XLSTART"找到所有的目录,然后将这些目录下的文件全部拷贝到软盘。
如果你怀疑病毒是PowerPoint宏病毒,做以下操作:打开一个空的Power Point文件,然后把它另存为一个文件,保存类型选为“演示文稿设计模板”,然后将此扩展名为.pot文件拷贝到软盘。
请在该软盘的标签上写明“contains infected files”,并尽量让软盘存入尽可能多的带毒文件。
将软盘做成一个影像文件。

大连蓝天 发表于 2006-10-16 18:10

[b]三、Trojans病毒的捕获[/b]
运行regedit.exe文件打开注册表编辑器。记录下来下面注册项中涉及到的文件。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中涉及到的文件。(如图3)


图3HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中涉及的文件。
打开Win.INI文件,将文件中“load=” 和“ run=” 行中涉及的文件记录下来。
按如上信息确定文件名和它们所在的目录,并将这些文件压缩到一个zip文件中。

大连蓝天 发表于 2006-10-16 18:10

四、几款病毒工具软件

ClrText.zip:当你提交的病毒是Word或Excel宏病毒时,这个工具软件可以将你的感染文件的内容清除,而只保留宏,从而可以避免你的保密信息泄露。

SaveMBR.zip:这个工具软件可以将你的感染硬盘的MBR读到一个文件中,然后把文件发送到NAI进行病毒分析。

RWFLOPY.zip:RWFloppy 软件可以恢复或生成软盘影像文件。它的作用是当你不想通过邮寄软盘的方式发送病毒样品时,可以用它生成一个影像文件通过电子邮件发送。特别是对于引导区病毒,由于它隐藏在软盘的80、81扇区,而一般的软件无法读取这两个扇区。

Readt80.zip:为了正确检测BOOT区病毒,我们需要一张包含病毒的软盘。可以通过DOS状态下格式化一张系统软盘来得到:FORMAT /S A:

需要软盘的原因是:引导区病毒通常把自己隐藏在一般DOS软件不能读取的地方(对于1.44M软盘有80个扇区,从 0 到 79, 引导区病毒把病毒代码隐藏在80、81 扇区)

如果你用一般的软件来生成一个软盘影像文件,这个影像文件不包含80和 81扇区,所以也就无法进行分析病毒。这个软件就是用来把软盘中包含病毒代码的80、81扇区读出来写到一个文件中去。

SYSU.zip:这个软件用来恢复被多种宏病毒感染的系统。

linzhaoke 发表于 2006-10-25 10:04

不知道究竟哪个最好

大连蓝天 发表于 2006-10-25 12:25

回复 #13 linzhaoke 的帖子

家庭用户使用一般瑞星\江民足以.

178460799 发表于 2006-11-5 19:57

(^#@^

楚楚 发表于 2006-11-11 21:04

瑞星2007什么时候才出正式版啊???越早越好!

amia 发表于 2006-11-22 00:30

(^#@$ 看的偶一头雾水。。。
就知道我有又病毒了,自己把系统还原了一下但是还原的过程不小心按了什么键,搞的越来越乱。。。#@#$#%$

380897078 发表于 2006-11-28 10:05

#kt..jcwcn.com@

yunhan123 发表于 2007-1-3 17:50

我用的是金山毒霸!
金山毒霸里面不是有个木马专杀嘛!
用那个测试一下哇!
看了上面的我要考虑明天还要不要在用金山毒霸了!

乱马+飘雪 发表于 2007-1-8 11:37

我还是喜欢用卡巴

闲庭信步 发表于 2007-2-12 16:27

高手就是高呀@

凯凯2006 发表于 2007-3-4 22:46

(^#@$%^ (^#@$%^ (^#@$%^

秋风起 发表于 2007-4-3 18:50

用影子系统(^#@#@

ckxnjk 发表于 2007-4-5 10:18

讲得很好支持一下

caibaoyou 发表于 2007-5-12 20:54

好呀`支持一下

bilvlantian 发表于 2007-5-29 20:48

谢谢你的提供学习咯?

tayi220 发表于 2007-6-11 15:35

将病毒杀到底

起点007 发表于 2007-7-7 18:54

不懂 对我来说太深

wz0577ol 发表于 2007-8-7 12:56

家庭用户使用一般瑞星\江民足以.

竹林清风 发表于 2007-9-22 21:45

我是菜鸟,用的是江民,简单方便。卡巴也用过,太麻烦,不太适合,好象还经常有误杀的现象

页: [1] 2

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.