前两次随笔我介绍了手动查杀病毒的步骤,然而仅通过手动查杀根本无法仔细了解病毒样本的行为,这次我们结合Process Monitor进行动态的行为分析。 Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon ...
分类:
其他好文 时间:
2019-05-25 13:19:26
阅读次数:
136
本系列教程版权归“i春秋”所有,转载请标明出处。
本文配套视频教程,请访问“i春秋”(www.ichunqiu.com)。
一、在U盘中发现病毒
前段时间需要往虚拟机中拷贝点资料,如同往常一样,插上我的U盘,并且在虚拟机的设置中选择连接U盘。奇怪的是这次的连接时间较以往长,并且还出现了“自动播放”窗口:
图1 自动播放窗口
在扫描完后,来到了U盘...
分类:
其他好文 时间:
2016-04-21 07:33:52
阅读次数:
209
一、前言
之前在《病毒木马查杀第002篇:熊猫烧香之手动查杀》中,我在不借助任何工具的情况下,基本实现了对于“熊猫烧香”病毒的查杀。但是毕竟“熊猫烧香”是一款比较简单的病毒,它并没有采取一些特别强的自我保护技术,所以我们完全可以“徒手”解决。但是这次研究的恶意程序就没那么简单,它采取了进程保护的技术,使得我们不能够使用常规手法对其实现查杀。所以这次我引入了两个工具——iceswo...
分类:
其他好文 时间:
2014-12-23 19:39:34
阅读次数:
207
一、前言
之前用了六篇文章的篇幅,分别从手动查杀、行为分析、专杀工具的编写以及逆向分析等方面,对“熊猫烧香”病毒的查杀方式做了讨论。相信大家已经从中获取了自己想要的知识,希望大家在阅读完这几篇文章后,能够有一种“病毒也不过如此”的感觉,更希望这些文章能够为有志于在未来参与到反病毒工作的朋友,打下坚实的理论基础。以下就是我在这几篇文章的分析中所总结出来的一些知识点,分为静态分析与动...
分类:
其他好文 时间:
2014-11-21 14:29:34
阅读次数:
377
一、前言
作为本系列研究的开始,我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒,主要是因为它具有一定的代表性。一方面它当时造成了极大的影响,使得无论是不是计算机从业人员,都对其有所耳闻;另一方面是因为这款病毒并没有多高深的技术,即便是在当时来讲,其所采用的技术手段也是很一般的,利用我们目前掌握的知识,足够将其剖析。因此,我相信从这个病毒入手,会让从前没有接触过病毒研究...
分类:
其他好文 时间:
2014-11-03 14:39:20
阅读次数:
291
之前重启服务器上的服务,均是先使用ps -ef | grep
xxx指令查询出PID,然后再使用kill -9
PID指令杀死进程。由于重启的服务只止一个,每次都要重复输入,甚是麻烦。示例今天研究了一下,把以上手动查杀、重启服务的过程写成了shell脚本,重启服务只需执行脚本就可以了。附脚本样例:
...
分类:
其他好文 时间:
2014-05-07 20:18:02
阅读次数:
461
