2-2-1怎样建立自己的病毒行为分析平台.ppt

Virus 计算机病毒与防治 重庆电子工程职业学院 计算机病毒与防治课程小组 教学单元3-2 病毒行为分析平台 IceSowrd 影子系统 Filemon 第一讲 怎样建立自己的病毒行为分析平台 计算机病毒与防治课程小组 小结 RegSnap 建立自己的病毒行为分析平台 计算机病毒与防治课程小组 我们要知道病毒是怎样在破坏系统，就需要罗列出病毒的详细行为，这些看来没有头绪的事情，其实并不是想象中的那样困难，关键是我们需要打造一个自己的病毒实验室。工欲善其事， 必先利其器，下面给你介绍我们在病毒行为分析中常用的工具。 计算机病毒与防治课程小组 影子系统简介 诞生于2004年底的影子系统采用最先进的操作系统虚拟化技术生成当前操作系统的影像，借助创新的Windows虚拟化技术，实现了“层次化”的安全保护模式，在影子模式下，可以随心所欲使用电脑，而不用担心会对正常的系统造成不良影响，它具有真实系统完全一样的功能。进入影子系统后，所有操作都是虚拟的，因此所有的病毒和流氓软件都无法侵害真正的操作系统。 用影子系统进行自我保护 计算机病毒与防治课程小组 影子系统简介 单一影子模式 单一影子模式是一种只保护Windows操作系统的使用模式，它仅为操作系统所在分区创建虚拟化影像，而非系统分区在单一影子模式下则保持正常模式状态。 单一影子模式 计算机病毒与防治课程小组 影子系统简介 完全影子模式 与单一影子模式比较，完全影子模式将会对本机内所有硬盘分区创建影子。当退出完全影子模式时，任何对本机内硬盘分区的更改将会消失。在完全影子模式下，可以将有用的文件储存至闪存或者移动磁盘内。 完全影子模式 计算机病毒与防治课程小组 影子系统简介 进入单一影子系统 有了影子系统，你的电脑将具有金钟罩本领，百毒不侵，那么我们就可以以身试毒在自己的电脑上运行计算机病毒，而不用担心病毒可能会给电脑造成的伤害。 计算机病毒与防治课程小组 IceSowrd ——冰刀 IceSword也称为冰刀或者冰刃，有些人简称IS，是USTC的PJF出品的一款系统诊断、清除利器。 IceSword内部功能是十分强大的。可能您也用过很多类似功能的软件，比如一些进程工具、端口工具，但是现在的系统级后门功能越来越强，一般都可轻而易举地隐藏进程、端口、注册表、文件信息，一般的工具根本无法发现这些“幕后黑手”。IceSword使用大量新颖的内核技术，使得这些后门躲无所躲。 计算机病毒与防治课程小组 IceSowrd ——冰刀 1 查看进程 包括运行进程的文件地址、各种隐藏的进程以及优先级。用它也可以轻易杀掉用任务管理器、Procexp等工具杀不掉的进程。还可以查看进程的线程、模块信息，结束线程等。 计算机病毒与防治课程小组 IceSowrd ——冰刀 2 查看端口 类似于cport、ActivePort这类工具，显示当前本地打开的端品以及相应的应用程序地址、名字。包括使用了各种手段隐藏端口的工具，在它下面，都一览无余。 计算机病毒与防治课程小组 IceSowrd ——冰刀 3 查看内核模块 加载到系统内和空间的PE模块，一般都是驱动程序*.sys，可以看到各种已经加载的驱动。包括一些隐藏的驱动文件，如IS自身的IsDrv118.sys，这个在资源管理器里是看不见的。 计算机病毒与防治课程小组 IceSowrd ——冰刀 Windows启动组里面的相关方式，这个比较容易理解了。不过可惜的是没有提示删除功能，只能查看。 4 查看启动组 计算机病毒与防治课程小组 IceSowrd ——冰刀 5 查看服务 用于查看系统中的被隐藏的或未隐藏的服务，隐藏的服务以红色显示。提供对服务的操作如启动，停止，禁用等。 计算机病毒与防治课程小组 IceSowrd ——冰刀 6 SPI和BHO 这两个是目前流氓软件越来越看中的地方。SPI是服务提供接口，即所有Windows的网络操作都是通过这个接口发出和接收数据包的。很多流氓软件把这个.dll替换掉，这样就可以监视所有用户访问网络的包，可以针对性投放一些广告。如果不清楚的情况下，把这个.dll删掉，会造成网络无法使用，上不了网。LSPFix等工具就是针对这个功能的。BHO就更不用说了，浏览器的辅助插件，用户启动浏览器的时候，它就可以自动启动，弹出广告窗口什么的。这两项仅提供查看的功能。 计算机病毒与防治课程小组 IceSowrd ——冰刀 7 SSDT 系统服务描述表，内核级后门有可能修改这个服务表，以截获你系统的服务函数调用，特别是一些老的rootkit，像上面提到的ntrootkit通过这种hook实现注册表、文件的隐藏。被修改的值以红色显示，当然有些安全程序也会修改，比如regmon。