吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1547884|回复: 1048
收起左侧

[PC样本分析] 如何快速判断一个文件是否为病毒 by 是昔流芳[LSG]

    [复制链接]
是昔流芳 发表于 2010-10-29 18:28
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 是昔流芳 于 2011-2-11 12:04 编辑

先说一下写这篇文章的背景和目的。现在吾爱的『原创发布区』和『精品软件区』人气很旺,发布的软件非常多。但也有一些小人,在发布的软件里插些小玩具,当灰客。论坛派专人检测也是很困难的,工作量太大,查不过来,因此很大程度上要靠用户自己识别,于是就有了这篇文章。需要说明一下的是,这篇文章主要是快速辨别正常文件与病毒,我自己也不是专业人员,方法是我自己总结出来的,很业余,不过我觉得还是有些用处的。如果你有更好的办法,欢迎跟帖提出。下面正文开始。

分析一个文件是否为病毒有多种方法,比如用OD这样的调试器,用HIPS都可以达到目的。在这里主要讨论一下快速判断的方法,用最短的时间,最少的知识,来判断一个文件是否安全。

先说一下必要的工具:Sandboxie、PEiD、OD以及你的杀毒软件。

比如说,我从论坛上下载一个别人发布的软件,这时候杀毒软件也许会报毒。这种情况下,先看一下报的病毒名。如果报的是“Win32/Packed.VMProtect.AAA 特洛伊木马 的变种”这样的壳,那么可以稍稍放松下警惕。对于一些壳,杀软脱不了,为了方便,就把这种壳当作病毒来处理。另外,如果是“Win32/Hupigon.NUK 特洛伊木马”以及“Win32/Parite.B 病毒”这类的,就需要注意,这个文件可能被人恶意插入木马,或者被感染过。从杀软报的病毒名基本可以判断出这个文件是真的有问题,还是属于杀软的误报。然而,也有一些例外。比如“Trojan.Win32.Generic.122E105A”,这个一看就是云安全分析出来的病毒,没有什么有效的信息,所以无法通过病毒名判断是否是误判。

根据杀软的信息,可以对该文件的安全性有一个初步的了解。我想不会有人完全信任杀软的,更多的还是信任自己。用PEiD查一下壳,如果是一些简单的压缩壳,就在沙盘中运行OD,脱掉,分析。这时要做的不是一步步跟下去,而是找一下这个文件调用的API。在反汇编窗口右击,查找——当前模块中的名称(标签)。

未命名.PNG

观察一下API,这时也是有所取舍的。对于字符函数和字符串处理函数这类的,可以忽略过去;对于注册表函数、文件函数则要多加留意。比如说,看到了CreateFile,就在这个函数上下断,注意看有没有对系统敏感位置写入文件。同样,查看字符串也是有效的方式。一般地,可以从字符串找出一些病毒的特征。比如有的灰鸽子会有“客户端安装成功”之类的字样,发现一些邮件地址以及相应密码的。这些都是很可疑的。遇到一些猛壳,脱掉它是很困难的,这时可以借助下沙盘。 未命名2.PNG
让程序在沙盘里完全运行,之后终止所有程序。

未命名3.PNG
查看一下程序生成了什么。

未命名5.PNG
从程序生成的文件基本可以判断是否是病毒了。当然,也不乏一些检测沙盘、虚拟机的小东西。在病毒样本区的页面上方有在线沙盘的链接。分析的结果十分具体,可以用来参考。如果你觉得手工检测太麻烦,可以借助在线沙盘,既快又详细。

未命名4.PNG


这样,举个例子吧.

http://www.52pojie.cn/viewthread.php?tid=58683 这是小生对一个带毒外挂的分析,大家可以看看录像,很有学习意义.下面我按照上面说的方法做一下.

先查一下壳,应该是没壳的.

QQ截图未命名1.png

此时我比较喜欢用PEiD的反汇编工具看看字符串,这个功能很方便.

QQ截图未命名2.png

注意选中的部分,很可疑.是一个URL,指向的还是个exe文件.这时应该怀疑这个外挂是个下载器.

下面将它用OD载入(在沙盘或虚拟机中进行),看一看当前模块中的名称(标签),有一个URLDownloadToFileA,这个函数可以实现将一个网络上的文件下载到本地的功能,一般的ShellCode常用到它.

QQ截图未命名4.png

在输入函数上切换断点,运行,可以看出具体的行为.

在此之后要做的就是对下载下来的这个文件进行分析(地址竟然还有效..).

QQ截图未命名5.png

一般来说微软的程序不会有这样的图标,而一个外挂莫名其妙地下载微软的东西,很奇怪,只能说是欲盖弥彰,所以可以直接毙掉了.

同理,如果用沙盘直接运行,最终会在沙盘里提取到这个文件,会发现在临时目录里.在外挂的目录下还会发现一个隐藏文件,应该就是干净的外挂.

挂的这个马应该变了,与小生附件中的程序已经不同了.

如果你认为很麻烦,可以直接把它扔到在线沙盘里,让机器替你分析.

比如说我认为下载下来的这个文件nSPack壳比较难脱,或者说我根本不会脱壳,那么就打开http://camas.comodo.com/cgi-bin/submit ,选择文件路径,然后Upload File,静候几分钟,就可以出结果,其它的在线沙盘也是大同小异.


这次找例子找的很麻烦,我没有存样本的习惯,那些发木马的检测出来之后都被封掉了,他们的光辉附件也就找不到了,没有合适的例子.况且拿货真价实的病毒来测也有点不大现实.在论坛找了好久才找到仅存的这个程序,以后如果在遇到发木马的我会拿它当例子讲一讲^_^

点评

这种帖子不顶? 天理难容啊  发表于 2012-10-30 09:29

免费评分

参与人数 484吾爱币 +148 热心值 +469 收起 理由
阿姨说 + 1 很实用
Intro + 1 已答复!
Sokwva + 1 + 1 我很赞同!
jun57663796 + 1 + 1 我很赞同!
王崽崽 + 1 + 1 谢谢@Thanks!
niksoap + 1 + 1 有学到东西了。感谢分享
nx953259696 + 1 我很赞同!
a2376641a + 1 用心讨论,共获提升!
冰晶石头 + 1 + 1 我很赞同!
爱我的你我知道 + 1 热心回复!
thf1014 + 1 + 1 很细致很实用,操作性强,感谢
polarpig + 1 + 1 我很赞同!
呆呆の风小可 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
杩先生 + 1 + 1 我很赞同!
星辰Sec + 1 + 1 我很赞同!
曾曾曾梦 + 1 + 1 谢谢@Thanks!
a7523155 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
wsp756 + 1 + 1 我很赞同!
35464749 + 1 + 1 我很赞同!
yamaraja + 1 + 1 谢谢@Thanks!
liphily + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
一条戴眼镜的鱼 + 1 + 1 我很赞同!
ccraker + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lixingcong + 1 + 1 我很赞同!
xxsmile520 + 1 + 1 谢谢@Thanks!
妖月児 + 1 + 1 用心讨论,共获提升!
灵魂之尘 + 1 + 1 简单易懂
犊子玩个屁 + 1 + 1 我很赞同!
pichuli + 1 + 1 学习了
1130687409 + 1 + 1 谢谢@Thanks!
娟然俊逸 + 1 + 1 学习了
梦白 + 1 + 1 谢谢@Thanks!
Fanilv + 1 + 1 我很赞同!
阿洋PYF + 1 + 1 用心讨论,共获提升!
York2016 + 1 + 1 热心回复!
i71998 + 1 + 1 已答复!谢谢楼主
玫瑰色的百合花 + 1 + 1 我很赞同!
superzhangxue + 1 + 1 谢谢@Thanks!
xiaoyxf + 1 + 1 我很赞同!
莫失 + 1 + 1 用心讨论,共获提升!
liujunhong + 1 + 1 谢谢@Thanks!
kangkst + 1 + 1 帖子很棒,正能量。。。32个赞!
firyang + 1 谢谢@Thanks!
yangstreven + 1 + 1 谢谢@Thanks!
悬崖孤鸠 + 1 + 1 热心回复!
luckypants + 1 + 1 热心回复!
herderer + 1 + 1 用心讨论,共获提升!
风若晨曦 + 1 + 1 谢谢@Thanks!
ynm3000 + 1 + 1 热心回复!
exe19890522 + 1 + 1 用心讨论,共获提升!
yj942583252 + 1 + 1 我很赞同!
梦想家小可 + 1 + 1 谢谢@Thanks!
52pj23444433 + 1 + 1 谢谢@Thanks!
redpose + 1 + 1 谢谢@Thanks!
滑来滑去 + 1 + 1 我很赞同!
若初见 + 1 + 1 谢谢@Thanks!
Thiray + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
zzxmgjy + 1 + 1 我很赞同!
younge + 1 + 1 我很赞同!
SsudiN + 1 + 1 很好的教程!
小姐别跑 + 1 感觉好厉害
Alex_vk + 1 + 1 我很赞同!
fringes + 1 + 1 谢谢@Thanks!
iamcjsyr + 1 + 1 谢谢@Thanks!
Comeyu + 1 + 1 用心讨论,共获提升!
心魔OL + 1 + 1 日常冒泡
IME + 1 谢谢@Thanks!
wkhugq + 1 + 1 我很赞同!
南亓 + 1 我很赞同!
langzqf + 1 + 1 热心回复!
a37324614 + 1 + 1 我很赞同!
werido + 1 + 1 谢谢@Thanks!
酱油过 + 1 + 1 谢谢@Thanks!
bluefirejl + 1 + 1 谢谢@Thanks!
smais + 1 + 1 学习了。
我爱521 + 1 热心回复!
ysxsyzx + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
lkqscqaz20 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
aisiqiba + 1 + 1 谢谢@Thanks!
eryahuan + 1 + 1 热心回复!
bulian + 1 + 1 我很赞同!
jigsaw + 1 + 1 我很赞同!
螺丝起子 + 1 + 1 谢谢@Thanks!
Lullaby. + 1 + 1 学到了。
qxyokok + 1 + 1 谢谢@Thanks!
PJack + 1 + 1 我很赞同!
国士无双01 + 1 + 1 我很赞同!
clwh2006 + 1 + 1 谢谢@Thanks!
gao0411 + 1 + 1 我很赞同!
Sanzha + 1 + 1 谢谢@Thanks!
jackjack999 + 1 + 1 用心讨论,共获提升!
XX1967 + 1 + 1 谢谢@Thanks!
者行孙12138 + 1 + 1 热心回复!
MaxMadcc + 1 + 1 我很赞同!
ddh191 + 1 + 1 谢谢@Thanks!
ayaoko + 1 + 1 谢谢@Thanks!
leaou + 1 + 1 谢谢@Thanks!
xuanqing + 1 + 1 谢谢@Thanks!
zyp199708 + 1 + 1 谢谢@Thanks!
那么骄傲丶 + 1 我很赞同!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

阳光可乐 发表于 2014-11-20 16:41
技术贴一定要顶
qawsed 发表于 2010-10-30 19:14
看了小生的录像再结合楼主说讲,又学到了一点防马的技巧了.... ...
沙盘是个好东东,比虚拟机小巧,方便测试
hoho

免费评分

参与人数 2热心值 +2 收起 理由
落叶的影子 + 1 热心回复!
a_lee + 1 精品文章

查看全部评分

 楼主| 是昔流芳 发表于 2010-10-29 19:10
回复 2# lkou

http://www.52pojie.cn/thread-30084-1-2.htmlhttp://www.52pojie.cn/thread-30109-1-2.html


这两个帖子比较详细.
HIPS比较小的有,基本上都是很麻烦的,想用的顺得自己写规则...

免费评分

参与人数 1热心值 +1 收起 理由
gds雪狼 + 1 谢谢@Thanks!

查看全部评分

小爱1994 发表于 2014-11-20 18:31
作为新人我可能不是很懂,,,不过以后会用上,顶楼主
lkou 发表于 2010-10-29 18:46
不错,顶你,有啥小而强大的HIPS介绍介绍?
500382 发表于 2010-10-29 18:57
好象不怎么方便啊
MissSun 发表于 2014-8-1 11:07
恩恩,学习一下,以后免得被杀毒软件弄的疑神疑鬼的。谢谢啦
yayaxueyu88 发表于 2010-10-29 19:06
来学习方法。。[s:365]
wawaluoxu 发表于 2014-11-21 19:32
....这么老的帖子  又被人挖坟了{:1_930:}
brianwz 发表于 2014-7-24 23:02
谢谢楼主分享,虽然这些都没用过!以后会用的
lkou 发表于 2010-10-29 19:15
好的,我看看
头像被屏蔽
qq526033781 发表于 2010-10-29 19:34
哈,以后不用借助直感来判断了,收藏了,感谢楼主!
Sloth 发表于 2010-10-29 20:21
不错啊, 小芳是我的榜样.
cv900302 发表于 2010-10-30 06:37
学习一下!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-19 14:36

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表