原理:利用md5值的不同进行文件的对比。操作背景:1。 XP安装光盘;2。 病毒样本;3。 U盘;4。 Ubuntu 7。10 LiveCD5。所需的几个对比md5和转化二进制文件格式的程序操作过程:1。 全盘格式化,同时安装Windows(也可采用ghost回去,但是一定注意其他磁盘可能的病毒感染)2。
在刚装好的Windows下,导出注册表。将导出文件放入C盘根目录下。这里我命名为1。reg3。 进入Ubuntu系统,注意,进入前f2选择简体中文模式4。 挂载C盘:mkdir /mnt/hdd1 (生产系统C盘挂载点)mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (将系统C盘挂载到/mnt/hdd1下,注意文件格式和设备号视具体情况而定)5。
挂载U盘:mkdir /mnt/usb (生成U盘挂载点)mount -t vfat /dev/sda1 /mnt/usb (将U盘挂载到/mnt/usb下,同样注意文件格式和设备号)6。 将导出的注册表信息放入U盘:假设U盘上已经有test目录,同时,在test目录下有parse。
sh,parseWinReg,ShowList 三个程序cp /mnt/hdd1/1。reg /mnt/usb/test (将导出注册表拷贝至/mnt/usb/test目录下)cd /mnt/usb/test (进入U盘test 目录)。
/parseWinReg 1。reg origreg (将导出注册表进行格式转换,生成origreg)7。 计算C盘所有文件md5值:rm /mnt/hdd1/pagefile。sys (这个文件太大影响计算速度,删除)/mnt/usb/test/parse。
sh /mnt/hdd1/ > /mnt/usb/origfile (计算磁盘文件md5值,并将结果导出至U盘test目录下origfile)8。 重新进入Windows,同时,激发病毒文件注意:先将病毒文件放入磁盘,拔掉U盘,拔掉网线,再激发!9。
重复3,4,5,6,7步骤mkdir /mnt/hdd1mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1mkdir /mnt/usbmount -t vfat /dev/sda1 /mnt/usbcp /mnt/hdd1/2。
reg /mnt/usb/test (这里假设导出的注册表是2。reg)cd /mnt/usb/test。/parseWinReg 2。reg newregrm /mnt/hdd1/pagefile。sys/mnt/usb/test/parse。
sh /mnt/hdd1/ > /mnt/usb/newfile10。 至此,我们得到了原始的系统信息:origreg, origfile,中病毒之后的信息:newreg, newfile11。 比较文件不同之处:diff -Nur origfile newfile > filediff12。
比较注册表不同之处:diff -Nur origreg newreg > regdiff13。 分析filediff 和 regdiff,得到结论 分析小技巧:一般情况下前面出现+的就是病毒释放的,-就是有过改动的(感染的),如果是md5值是成双成对出现(一个+和一个-),那那一行一般不是,如果前面没有任何标记,那说明也不是。
咱们把没用的删除,只留下有单个+或者单个-的,最好看文件路径,即得到了病毒的产生文件或者是感染文件。
以上是我对于这个问题的解答,希望能够帮到大家。
声明:怎样在Linux操作系统下手动分析病毒样本技巧?的文章仅供您参考和学习,部分图片、文章素材来源于网络,版权归原作者所有,如有侵权,请与我们联系删除!
