返回
分析一个挺有意思的病毒

分析一个挺有意思的病毒

ID:9514669

大小:64.00 KB

页数:8页

时间:2018-05-02

分析一个挺有意思的病毒_第1页
分析一个挺有意思的病毒_第2页
分析一个挺有意思的病毒_第3页
分析一个挺有意思的病毒_第4页
分析一个挺有意思的病毒_第5页
资源描述:

《分析一个挺有意思的病毒》由会员上传分享,免费在线阅读,更多相关内容在应用文档-天天文库

1、分析一个挺有意思的病毒~教育资源库  从本文你可以学到:  1.分析跟踪病毒发作过程  2.手动删除病毒文件,恢复被破坏的注册表信息  朋友给我一个病毒,说是从他的网站上拿到的,叫我有空帮他分析下,我分析后觉得这个病毒集合几个挺有意思的功能模块,于是就写了本文给各位看客看下。  先说下测试环境:  1、在FilesmonFilesSystem目录下,改名为djogqvy.exe,再次复制到C:ProgramFilesmonFilesMicrosoftShared目录下,更是修改名字为kjsfqhl.exe,并且两个都设置为隐藏。    图2  接着启动djogqvy.exe病毒体,再在C:P

2、rogramFiles目录下生成同样的病毒体,命名为meex.exe,同目录下还生成一个mxtdep;O)  shellopenmand=gxkfxne.exe  shellopenDefault=1  shellexplore=资源管理器(X)  shellexploremand=gxkfxne.exe  很明显,这个文件是为下面的在每一个分驱生成autorun.inf做准备的,接着马上在各个分驱创建autorun.inf以及病毒文件gxkfxne.exe。如下图:    图3(由于我在Tiny设置各个分驱没有写的权限,所以图中都是红圈)  这个时候马上就有更多的动作了,比如试图终止exp

3、lorer.exe,还有就是象下载者一样连接网络下载另外的病毒体并运行它们:    图4  跟着更牛了,这个时候开始用上了ageFileExecutionOptions,位于注册表的:  HKEY_LOCAL_MACHINESOFTicrosoftinimal{4D36E967-E325-11CE-BFC1-08002BE10318}  HKLMSystemCurrentControlSetControlSafeBootNetCurrentControlSet001ControlSafeBootMinimal{4D36E967-E325-11CE-BFC1-08002BE10318}  HK

4、LMSystemCurrentControlSet001ControlSafeBoot1234下一页友情提醒:,特别!Netet连接共享和防火墙服务)就是把注册表里的HKLMSYSTEMCurrentControlSetServicesSharedAccess的Start改为dFilesmonFilesSystem或者C:ProgramFilesmonFilesMicrosoftShared,病毒体会把这个目录关闭掉,你根本就删除不掉那个病毒。不过这个病毒对自己的保护力度就这么一点本事,你只要打开任务管理器,把djogqvy.exe以及kjsfqhl.exe两个进程分别结束掉(右击其中一个进

5、程,利用结束进程树的方法结束这两个进程),那么你就可以访问C:ProgramFilesmonFilesSystem或者C:ProgramFilesmonFilesMicrosoftShared这两个目录了,这个时候就可以把djogqvy.exe以及kjsfqhl.exe两个病毒体删除掉;接着把C:ProgramFiles目录下meex.exe以及mxtdeet连接共享和防火墙服务)、系统自动更新的服务和帮助和支持中心服务等(我后来反编译病毒体,看到病毒也许还要破坏其他的服务,比如假如你有安装Rising瑞星的话,它就会禁用rsppsys服务)。所以要恢复被破坏的系统注册表里的重要键值,请新建

6、一个reg注册表文件,内容如下,然后直接双击这个文件即可恢复(我也已经做好了这个servcie_backup.reg注册表文件,各位可以参考下)。  CurrentControlSetServiceshelpsvc]  Start=dACHINESYSTEMCurrentControlSetServicesSharedAccess]  Start=dACHINESYSTEMCurrentControlSetServicesACHINESYSTEMCurrentControlSetServicesACHINESOFTicrosoftWindowsCurrentVersionExplorerAd

7、vancedFolderHiddenS上一页1234下一页友情提醒:,特别!HOACHINESYSTEMControlSet001ControlSafeBootNetal{4D36E967-E325-11CE-BFC1-08002BE10318}]  =DiskDrive  [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSafeBootNetageFileE

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。