高手講座:如何捕獲電腦病毒樣本
作者:五月 整理出處:天極安全
眾所周知,電腦病毒與醫學上的“病毒”不同,它不是天然存在的,是某些人利用電腦軟、硬體所固有的脆弱性,編制的具有特殊功能的程式。其能通過某種途徑潛伏在電腦存儲介質(或程式)裏,當達到某種條件時即被啟動,它用修改其他程式的方法將自己的精確拷貝或者可能演化的形式放入其他程式中,從而感染它們,對電腦資源進行破壞的這樣一組程式或指令集合。
長期操作電腦者會發現,病毒往往緊跟電腦的發展步伐,升級換代頻繁,從最初的破壞軟體發展到損毀硬體,令人對電腦病毒既怕又恨,防不勝防。因此,及早發現和清除病毒,是將病毒產生的危害降低到最低限度的重要手段,如果在已經安裝了防病毒軟體且病毒定義碼和病毒查殺引擎是最新版本的情況下,病毒仍然發作並造成檔丟失或系統破壞,那麼,這就是最新的病毒在發作。這時,就應提取新病毒樣本,供反病毒專家分析研究,以便在最短的時間內更新病毒代碼庫。提取新病毒樣本的方法如下:
一、引導型Boot病毒的捕獲
引導區類型的病毒提取很簡單,首先利用Format A: /S將引導系統檔複製到軟碟中,然後再將的硬碟中的一些系統執行檔一同拷貝到軟碟中。具體步驟如下: 進入MS-DOS方式, 格式化一張系統盤,Format A: /s , 針對不同的系統,請將如下檔拷貝到這同一張軟碟之中:
對於Windows 3.x: 拷貝 \Windows\System下的 gdi.exernl286.exe、progman.exe三個文件。
對於Windows 95/98/ME: 拷貝 \Windows\System下的 gdi.exe、krnl386.exe、progman.exe三個文件。(見圖1)
圖1
對於Windows NT、Windows 2000: 拷貝 \Windows\System32下的 gdi.exe、krnl386.exe、progman.exe 三個文件。
如果格式化軟碟時出現死機,請按下列步驟提取:請在該軟碟的標籤上寫明“damaged during infected format as boot disk”。
針對不同的系統的上列檔,拷貝到不同的軟碟中,方法同上。
二、檔型File/Macro病毒的捕獲
如果你懷疑病毒是檔型,將C盤根目錄下的command.com檔拷貝到軟碟上,取名為command,即去掉副檔名。
如果你懷疑病毒是MS Word巨集病毒,將C:\Program Files\Microsoft Office\Templates目錄下的“"normal.dot”文件和C:\Program Files\Microsoft Office\Office\Startup 目錄內的所有檔拷貝到軟碟。(見圖2)
圖2
如果你懷疑病毒是MS Excel巨集病毒,將XLSTART目錄內的所有檔拷貝到軟碟。XLSTART位於電腦的多個地方,用Windows搜索功能查找"XLSTART"找到所有的目錄,然後將這些目錄下的檔全部拷貝到軟碟。
如果你懷疑病毒是PowerPoint巨集病毒,做以下操作:打開一個空的Power Point檔,然後把它另存為一個檔,保存類型選為“演示文稿設計範本”,然後將此副檔名為.pot檔拷貝到軟碟。
請在該軟碟的標籤上寫明“contains infected files”,並儘量讓軟碟存入盡可能多的帶毒檔。
將軟碟做成一個影像檔。
三、Trojans病毒的捕獲
運行regedit.exe檔打開註冊表編輯器。記錄下來下面註冊項中涉及到的檔。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中涉及到的檔。(如圖3)
圖3
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中涉及的檔。
打開Win.INI檔,將檔中“load=” 和“ run=” 行中涉及的檔記錄下來。
按如上資訊確定檔案名和它們所在的目錄,並將這些檔壓縮到一個zip檔中。
四、幾款病毒工具軟體
ClrText.zip:當你提交的病毒是Word或Excel巨集病毒時,這個工具軟體可以將你的感染檔的內容清除,而只保留宏,從而可以避免你的保密資訊洩露。
SaveMBR.zip:這個工具軟體可以將你的感染硬碟的MBR讀到一個檔中,然後把檔發送到NAI進行病毒分析。
RWFLOPY.zip:RWFloppy 軟體可以恢復或生成軟碟影像檔。它的作用是當你不想通過郵寄軟碟的方式發送病毒樣品時,可以用它生成一個影像檔通過電子郵件發送。特別是對於引導區病毒,由於它隱藏在軟碟的80、81磁區,而一般的軟體無法讀取這兩個磁區。
Readt80.zip:為了正確檢測BOOT區病毒,我們需要一張包含病毒的軟碟。可以通過DOS狀態下格式化一張系統軟碟來得到:FORMAT /S A:
需要軟碟的原因是:引導區病毒通常把自己隱藏在一般DOS軟體不能讀取的地方(對於1.44M軟碟有80個磁區,從 0 到 79, 引導區病毒把病毒代碼隱藏在80、81 磁區)
如果你用一般的軟體來生成一個軟碟影像檔,這個影像檔不包含80和 81磁區,所以也就無法進行分析病毒。這個軟體就是用來把軟碟中包含病毒代碼的80、81磁區讀出來寫到一個檔中去。
SYSU.zip:這個軟體用來恢復被多種巨集病毒感染的系統。