若何提取病毒样本
其实很简单
就病毒代码的存在形式来说,有两种,一种是病毒本身是个独立的法式文件,另一种是它附着在正
常的法式文件上,即所谓的传染,所以,病毒样本其实就是指思疑为病毒或染毒的文件
不外现实上,病毒法式其实不必然象你说的那样清清晰楚的有个主法式,如今的病毒木马,都是几个
法式文件构成,彼此庇护、彼此挪用运行,它们都是病毒样本
病毒的爆发形态,有些是能察觉出来的,好比:增加了历程、电脑速度或网速变慢、系统运行报错
等等,有些病毒爆发时,几乎没有外在表示,很隐蔽
病毒其实就是一段法式,一是一,二是二,一点也不成怕和神异,只要不运行它,它就是死的,非
常平安,假设你怕在提取过程中误运行了病毒,能够把病毒法式文件的扩展名改一下,改为不成被
施行或被间接翻开的扩展名即可,或底子就不要扩展名,如许在拷贝、传输过程中就十分平安了
1 、 蠕虫 /特洛伊木马类
那类病毒一般不传染其它的一般可施行文件,它会像一般的软件一样 "安拆 "在系统中,只不外
"安拆 "过程是奥秘的。它们一般会更改系统设置装备摆设文件及注册表:
一、更改系统的相关设置装备摆设文件(那种情状次要是针对 95/98/me系统)。
病毒可能会更改 autoexec.bat,只要在此中加进施行病毒法式文件的语句即可在系统启动时自
动激活病毒。
更改 drive:\windows\win.ini或者 system.ini文件。病毒凡是会在 win.ini的 "run="后面加
进病毒本身的文件名,或者在 system.ini文件中将 "shell="更改。
二、更改注册表健值。
目前,只要新出的蠕虫 /特洛伊木马类病毒一般都有修改系统注册表的动做。它们修改的位置
一般有以下几个处所:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
阐明:在系统启动时主动施行的法式
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
阐明:在系统启动时主动施行的系统办事法式
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
阐明:在系统启动时主动施行的法式,那是病毒最有可能修改 /添加的处所。例如:
Worm.Netsky.h病毒将增加:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"antivirus" = "%WINDIR%\maja.exe -
antivirus service"
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
阐明:此键值相当于在 Win.ini的 "run="加进病毒本身文件名,能使在系统启动时主动激活病毒
。 HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
阐明:此键值相当于在 System.ini的 "shell="加进病毒本身文件名,能使在系统启动时主动激活
病毒。 HKEY_CLASSES_ROOT\exefile\shell\open\command
阐明:此键值能使病毒在用户运行任何 EXE法式时被运行,即文件联系关系键值。以此类推,
..\txtfile\.. 或者 ..\comfile\.. 也可被更改,以便实现病毒主动运行的功用。
别的,有些键值还可能被操纵来实现比力特殊的功用:
若有些病毒会通过修改下面的键值来阻遏用户查看和修改注册表:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
System\DisableRegistryTools =
从以上键值找出可疑文件文件名,然后全盘查找那些文件做为附件上报。
2 、 引导型病毒
计算机硬盘或者软盘引导区可能被病毒传染,罢了有的杀毒软件不克不及检测出来,或检测出有病
毒而不克不及肃清,那种情状下,请用户提取引导型病毒样本:
办法一、利用瑞星 DOS杀毒东西提取
第一步:用瑞星光盘或瑞星 DOS盘启动计算机;
第二步:在瑞星 DOS杀毒软件界面【适用东西】选项卡中,抉择【提取硬盘引导区信息】,随即弹
出窗口提醒用户插进软盘,抉择【确定】即可起头提取硬盘引导区信息到软盘中;
第三步:您能够将保留有硬盘引导区信息的软盘寄送到瑞星公司,或者把软盘中的引导区信息文件
做为附件上报。
办法二、利用引导区信息提取东西提取
第一步:到瑞星网站下载引导区信息提取东西
并拷贝到一张软盘中;
第二步:用瑞星光盘或其他清洁的系统盘启动计算机;
第三步:将拷贝了引导区信息提取东西的软盘插进软盘驱动器,并按如下格局运行
号令格局: GETBOOT 【 Drive】
格局阐明:【 Drive】指待提取信息的磁盘驱动器名,在 GETBOOT之后需要输进一个空格。
附:
举例一:提取 A驱动器软盘引导区的信息到 Boot.dmp文件,文件保留在 A盘的操做号令
A:\GETBOOT A:
举例二:提取硬盘引导区的信息到 Boot.dmp和 Mbr.dmp两个文件,文件保留在 A盘上,操做号令
A:\GETBOOT C:
第四步:您能够将保留有硬盘引导区信息的软盘寄送到瑞星公司,或者把软盘中的引导区信息文件
做为附件上报。
3 、 宏病毒类
1 )可间接将 Word、 Excel、 PowerPoint的模板文件 (Word 为 Normal.dot、 Excel 位于
xlStart 目次下所有文件 )拷贝下来即可,能够用查找体例找到,然后做为附件上报。
2 )利用瑞星杀毒软件扫描时陈述有“ Unkown Macro Viru*”病毒名(即未知宏病毒)的文件,
做为附件上报。
4 、 电子邮件病毒
收到可疑的电子邮件,如包罗附件是: .**e、 .com、 .scr、 .pif、 .lnk、 .bat等的特殊邮件
,请用户将那封邮件(含其附件)做为附件上报。
5 、 传染文件的病毒(文件型)
此类病毒在 dos/Win3x时代是最常见的,如今已经不是很常见了。此类病毒最明显的特征是将自
身代码加进到一般文件中,因而一般情状下(也有特例,利用压缩功用将代码放置于文件的冗余处
使得文件长度稳定)受传染的文件字节长度会增加。
简单的揣度办法是与一般的系统文件停止比力,字节增加的就是可疑文件。假设不安心可利用
系统自带的比力号令 "fc.exe"停止比力:
例如:将可疑的 notepad.exe文件改名为 notepad-vir.exe,再将此文件与一般的 notepad.exe文
件放在统一个目次中,施行: fc notepad-vir.exe notepad.exe 假设差别,则会提醒两个文件的
差别代码位置;假设不异,则会提醒“找不到相异处”。
6 、 脚本 /歹意代码类
1)此类病毒良多操纵 ie破绽停止传布,一般都是 .js、 .htt、 .as、 .vbs、 .htm、 .html、
.asp等类型文件。好比 redlof(红色完毕符病毒)更改系统的 folder.htt文件。那类病毒有的会
更改当地的网页文件( asp,htm,php等),一般会在一般文件后部增加脚本代码。找到那些被修改
的网页文件做为附件上报。
2 )用瑞星杀毒软件扫描时陈述为 Unkown Script Virus(未知脚本病毒)的文件请做为附件上报
3 )假设阅读某网站后呈现系统反常,用户能够操纵瑞星听诊器上传提取的陈述,并在邮件注释描
述详细的计算机中病毒的现象。
在病毒已经激活的情状下,比力常见的病毒都可通过以上办法找到其样本文件
关于提取活性样本要重视以下方面:
必需晓得样本所在的位置,也就是途径和文件名。假设是利用杀毒软件发现的样本,凡是杀毒
软件会陈述出病毒的位置,但为了连结活性,那时候不要利用杀毒软件的杀毒功用,一旦杀了病毒
也就失往活性了。并且需要重视杀毒软件的实时防护往往会阻遏对此病毒的任何操做,所以要提取
出它还要暂时停行杀毒软件的实时防护,此时用带密码压缩的体例即可将样本平安取出。然后再打
开杀毒软件将其肃清。
但假设没有杀毒软件或杀毒软件没有识别,但是觉得有中毒迹象,那个时候要找出病毒就比力
费事了,往往需要一些专业常识,那个我就不做阐了然。但也能够借助一些辅助东西来发现未知病
毒,好比防毒软件的主动防备系统能够主动侦测出绝大大都未知木马和病毒,并且将样本举报的过
程全数主动化,那是一个不错的办法。