EXE后缀型病毒文件,手工提取样本
EXE后缀型病毒文件,手工提取样本
这类病毒一般是以进程的方式运行,比较容易发现。.exe文件病毒被激活后,一般会开机后自动加载,所以我们只需要把操作系统的各个自动加载的地方找到,然后查看可疑的.exe文件,就可以把病毒样本找出来了
1.注册表(开始>运行>regedit)
以下位置为注册表十三处启动项位置,依次查看各启动项加载的文件,就可把病毒样本找出来
HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon-Userinit
HKLM-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKLM-Software-Microsoft-Windows-Current-Version-RunOnce
HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
HKLM-Software-Microsoft-Windows-CurrentVersion-Run
HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load
HKCU-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once
HKCU-Software-Microsoft-Windows-Current-Version-RunOnce
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services
HKCU-Software-Microsoft-Windows-CurrentVersion-Run
例子:如维金病毒会在HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-load处加载rundl132.exe病毒文件
2.系统WIN.INI文件内 (c:\windows\win.ini或c:\winnt.ini)
在win.ini文件中,“run=”和“load=”是可能加载“木马”程序的途径,必须仔细留心它们。一般情况下,它们的等号后面什么都没有,如果发现后面跟有路径与文件名不是你熟悉的启动文件,你的计算机就可能中上“木马”了。当然你也得看清楚,因为好多“木马”,如“AOL Trojan木马”,它把自身伪装成command.exe文件,如果不注意可能不会发现它不是真正的系统启动件。也许你会问了我是XP系统啊 怎么没有这个呢?不必担心给你个正确的你参考下就知道有没有可疑程序了。下边就是正常的WIN.INI(XP):
正常的c:\windows\win.ini
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
不正常的c:\windows\win.ini
; for 16-bit app support
[fonts]
[extensions]
[mci extensions]
[files]
[Mail]
MAPI=1
Load=c:\windows\system32\svch0st.exe(问题就在这里!)
Run=c:\windows\Iexplore.exe(这也是问题的地方)
[MCI Extensions.BAK]
aif=MPEGVideo
aifc=MPEGVideo
aiff=MPEGVideo
asf=MPEGVideo
asx=MPEGVideo
au=MPEGVideo
m1v=MPEGVideo
m3u=MPEGVideo
mp2=MPEGVideo
mp2v=MPEGVideo
mp3=MPEGVideo
mpa=MPEGVideo
mpe=MPEGVideo
mpeg=MPEGVideo
mpg=MPEGVideo
mpv2=MPEGVideo
snd=MPEGVideo
wax=MPEGVideo
wm=MPEGVideo
wma=MPEGVideo
wmv=MPEGVideo
wmx=MPEGVideo
wpl=MPEGVideo
wvx=MPEGVideo
3.SYSTEM.INI文件中 (c:\windows\system.ini或c:\winnt\system.ini)
在system.ini文件中,在[BOOT]下面有个“shell=文件名”。正确的文件名应该是“explorer.exe”,如果不是“explorer.exe”,而是“shell= explorer.exe 程序名”,那么后面跟着的那个程序就是“木马”程序,就是说你已经中“木马”了。又会有人问了,我是XP系统怎么又不一样呢?给你个正常的XP系统的SYSTEM.INI,请大家可以参考下正常的SYSTEM.INI文件:
; for 16-bit app support
[drivers]
wave=mmdrv.dll
timer=timer.drv
[mci]
[driver32]
[386enh]
woafont=app936.FON
EGA80WOA.FON=EGA80WOA.FON
EGA40WOA.FON=EGA40WOA.FON
CGA80WOA.FON=CGA80WOA.FON
CGA40WOA.FON=CGA40WOA.FON
4.在Config.sys内 (c:\config.sys)
这类加载方式比较少见,但是并不是没有。如果上述方法都找不到的话,请来这里也许会有收获的。
5.在Autuexec.bat内
这类加载方式也是比较少见,建议跟Config.sys方法一样。
4和5的加载方式建议大家先必须确定计算机有病毒,并且上边的方法都找不到后,最后来这里进行查找。
总结:这类病毒是比较容易暴露的,找到病毒本样后,用winrar或winzip把文件压缩,并设置一个叫“virus”的密码,把该压缩文件发送到论坛,然后手动删除这些病毒文件。
[ 本帖最后由 小愉快 于 2008-1-18 11:39 编辑 ]
2001-2007 Comsenz Inc.
