|
以身试毒 打造自己的电脑病毒实验室(1) 很多人想知道病毒是怎样破坏系统的,有时看到高手分析病毒样本时罗列出来病毒的详细行为,很是令人惊叹!那么高手们是怎么办到的呢?下面我们来介绍常用的分析方法:
工欲善其事,必先利其器
1、无懈可击——影子系统
影子系统,顾名思义,就是建立在真实的操作系统上的镜像,它和真正的操作系统一模一样。不一样的是,你在影子系统里所做的任何操作在重启或关机后都会被撤销,即便是病毒的破坏也奈何不了它,但是正常的操作也会被还原,所以要注意保存新建的重要文件到移动存储(见图1)。
软件小档案:
PowerShadow 2.6.0511 官方中文版
软件大小:3709KB 软件性质:共享软件
运行环境:Windows 9x/Me/NT/2000/XP/2003
下载地址:http://www.mydown.com/soft/259/259253.html
2、超级侦探——Filemon
这是一款出色的文件监控软件,它就可以完整的将某个文件的所有操作和相应进程的信息都记录下来,这样对付病毒时就不必费神挨个文件夹去翻了。
软件小档案:
FileMon(File Monitor) 7.04 for NT/2000/XP
软件大小:188KB 软件性质:共享软件
运行环境:Windows NT/2000/XP
下载地址:http://www.mydown.com/soft/utilitie/systems/175/409675.shtml
3、瑞士军刀——IceSWord
这是很多朋友都熟知的反黑反病毒工具,以往介绍的很多,不在多话(见图2)。
软件小档案:
冰刃 IceSword 1.2 中文版
软件大小:2120KB
软件语言:简体中文 软件性质:免费软件
运行环境:Windows 9x/Me/NT/2000/XP/2003
下载地址:http://www.mydown.com/soft/utilitie/system/76/428076.shtml
实战sxs.exe病毒
1.布下天罗地网
第一步:保存好文件,断开网络,开启完全影子模式,硬盘盘符上就会出现太极的符号(见图3);
第二步:禁用杀毒软件监控(针对已知病毒)。打开Filemon并开启过滤功能,并且将sxs.exe作为过滤关键词,然后最小化;
第三步:接着打开IceSword等着看就可以了;
| 
