恶意代码分析实例.doc

恶意代码实例分析 2011 年 5 月 目录 1虚拟环境及所用软件介绍 1 1.1虚拟环境介绍 1 1.1.1 Vmware Workstation 7.1.4 1 1.1.2 Gost XP SP3 装机版 YN9.9 1 1.2 检查软件介绍 1 1.2.1 ATool 1.0.1.0 1 1.2.2 Regmon 7.04 汉化版 1 1.2.3 FileMon 7.04 汉化版 1 1.2.4 TCPView 3.04 2 1.2.5 procexp.exe 2 1.2.6 IceSword 1.22 中文版 2 2 木马冰河分析与检测 3 2.1 木马冰河V2.2介绍 3 2.2 样本分析 3 2.2.1 进程监测 3 2.2.2 文件监测 3 2.2.3 注册表监测 4 2.2.4系统通信端口监测 4 2.3 样本外部特征总结 5 2.4 木马清除方法 5 3 xueranwyt.exe木马分析与监测 6 3.1 木马xueranwyt.exe介绍 6 3.2 样本分析 6 3.2.1进程监测 6 3.2.2 文件监测 6 3.2.3 注册表监控 7 3.2.4 端口监测 7 3.3 样本外部特征总结 7 3.4 解决方案 8 4 2.exe木马分析与监测 9 4.1 木马样本2.exe介绍 9 4.2 样本分析 9 4.2.1 进程监控 9 4.2.2 文件监控 9 4.2.3 注册表监控 10 4.2.4 端口检测 10 4.3 样本外部特征总结 11 4.4 解决方案 11 5 红蜘蛛样本分析与检测 12 5.1 样本介绍 12 5.2 样本分析 12 5.2.1 进程检测 12 5.2.2 文件检测 12 5.2.3 注册表监控 13 5.2.4 端口监控 13 5.3 样本外部特征总结 13 5.4 解决方案 13 6 031gangsir.ch.exe样本分析 14 6.1 样本介绍 14 6.2 样本分析 14 6.2.1 进程监控 14 6.2.2 文件监控 14 6.2.3 注册表监控 15 6.2.4 端口监控 15 6.3 样本特征总结 15 6.4 解决方案 16 7 015gangsir.CN.exe样本监测与分析 17 7.1 样本简介 17 7.2 样本分析 17 7.2.1 进程监控 17 7.2.2 文件监控 17 7.2.3 注册表监控 18 7.2.4 端口监控 18 7.3 样本外部特征总结 18 7.4 解决方案 19 8 027gangsir.CN.exe样本监测与分析 20 8.1 样本信息介绍 20 8.2 样本分析 20 8.2.1进程监控 20 8.2.2 文件监控 20 8.2.3 注册表监控 20 8.2.4 端口监控 21 8.3 样本外部特征总结 21 8.4解决方案 22 9 050gangsir.CN.exe样本分析与监测 23 9.1 样本简介 23 9.2 样本分析 23 9.2.1 进程监控 23 9.2.2 文件监控 23 9.2.3 注册表监控 24 9.2.4 端口监控 24 9.3 样本外部特征总结 24 9.4 解决方案 24 10 25 10.1 样本简介 25 10.2 样本分析 25 10.2.1 进程监控 25 10.2.2 文件监控 25 10.2.3 注册表监控 26 10.2.4 端口监控 26 10.3 样本外部特征总结 26 10.4 解决方案 27 11 NetThief12.9样本分析与检测 28 11.1 样本简介 28 11.2 样本分析 28 11.2.1 进程监控 28 11.2.2 文件监控 28 11.2.3 注册表监控 28 11.2.4 端口监控 29 11.3 样本外部特征总结 29 11.4 解决方案 29  1虚拟环境及所用软件介绍 1.1虚拟环境介绍 1.1.1 Vmware Workstation 7.1.4 恶意代码具有很强的破坏性和传播性，为了系统的安全，所以实例的分析均在虚拟机下进行。所用虚拟机版本为Vmware Workstation 7.1.4。 1.1.2 Gost XP SP3 装机版 YN9.9 所用操作系统为Windows XP SP3，并打了微软发布的补丁。 其他的Windows 环境哪? Vista，Windows7、Windows 2008？ 1.2 检查软件介绍 1.2.1 ATool 1.0.1.0 ATool是安天实验室开发的一款安全管理工具集，包含了多款实用的系统工具，能够实现用户对系统的安全管理，同时针对系统中的木马、后门、黑客工具等恶意程序进行检测并辅助用户进行处理。 ATool专门提供了分析模块，能够实现基于条件加权