前言 《病毒木马查杀》系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀。当然,本系列更多地是讨论...
前言 《病毒木马查杀》系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀。当然,本系列更多地是讨论...
前言 为了分析“熊猫烧香”病毒的行为,我这里使用的是Process Monitor v3.10...关于这款软件的使用,可参考以下三篇文章: 《文档翻译第001篇:ProcessMonitor帮助文档(Part 1)》 《文档翻译第002篇:ProcessMonito...
usr/local/clamav/bin/clamscan -r --bell -i / (扫描所有文件并且显示有问题的文件的扫描结果)/usr/local/clamav/bin/clamscan -r --remove (查杀当前目录并删除感染的文件)Data scanned: 0.00 MB ## 扫描文件的...
本涵盖了95%以上前端开发知识点,真正体系化!**
前言 之前用了六篇文章的篇幅,分别从手动查杀、行为分析、专杀工具的编写以及逆向分析等方面,对“熊猫烧香”病毒的查杀方式做了讨论。相信大家已经从中获取了自己想要的知识,希望大家在阅读完这几篇文章后,能够...
Lockdown2000.exe → 将死者病毒。Pcfwallicon.exe → 将死者病毒。Taskmon.exe → 诺维格蠕虫病毒。Cfiadmin.exe → 将死者病毒。Cfiaudit.exe → 将死者病毒。Cfinet32.exe → 将死者病毒。Msblast.exe → 冲击波...
/usr/local/clamav/bin/clamscan -r --bell -i / (扫描所有文件并且显示有问题的文件的扫描结果)当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,...
前言 在本系列的导论中,我曾经在“病毒查杀方法”中简单讲解过特征码查杀这种方式。而我也在对于实际病毒的专杀工具编写中,使用过CRC32算法来对目标程序进行指纹匹配,从而进行病毒判定。一般来说,类似于MD5以及...
前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见《病毒木马查杀第008篇:熊猫烧香之病毒查杀总结》)来对病毒的行为产生一定...
基本涵盖了95%以上前端开发知识点,真正体系化!**
支持读写扫描提供病毒数据更新可以扫描档案和压缩文件。
在U盘中发现病毒 前段时间需要往虚拟机中拷贝点资料,如同往常一样,插上我的U盘,并且在虚拟机的设置中选择连接U盘。奇怪的是这次的连接时间较以往长,并且还出现了“自动播放”窗口:图1 自动播放窗口 在扫描完...
前言 这次我与大家分享的是我所总结的关于JS下载者脚本木马的分析与防御技术。之所以要选择这样的一个题目,是因为在日常的病毒分析工作中,每天都会遇到这类病毒样本,少则几个,多则几十个(当然了,更多的样本已经...
基本涵盖了95%以上前端开发知识点,真正体系化!**
基本涵盖了95%以上前端开发知识点,真正体系化!**
前言 在本系列的文章中,对每一...但是之前的“熊猫烧香”病毒,我用了三篇文章的篇幅(每篇2500字左右)也仅仅分析了病毒的三分之一,而且还没分析到病毒的核心部分。主要也是因为那是我这个系列为大家分析的第一个病...
前言 上次我们已经简单介绍过了病毒特征码提取的基本方法,那么这次我们就通过编程来实现对于病毒的特征码查杀。定义特征码存储结构 为了简单起见,这次我们使用的是setup.exe以及unpacked.exe这两个病毒样本。经过...
阶课程,基本涵盖了95%以上前端开发知识点,真正体系化!**
阶课程,基本涵盖了95%以上前端开发知识点,真正体系化!**
前言 反病毒爱好者们很喜欢讨论的一个问题就是,如今什么样的病毒才算得上是主流,或者说什么样的病毒才是厉害的病毒呢?我们之前的课程所讲解的都是Ring3层的病毒,所以有些朋友可能会认为,那么Ring0层的病毒其实...
前言 之前在《病毒木马查杀第002篇:熊猫烧香之手动查杀》中,我在不借助任何工具的情况下,基本实现了对于“熊猫烧香”病毒的查杀。但是毕竟“熊猫烧香”是一款比较简单的病毒,它并没有采取一些特别强的自我保护...
前言 作为本系列研究的开始,我选择“熊猫烧香”这个病毒为研究对象。之所以选择这一款病毒,主要是因为它具有一定的代表性。一方面它当时造成了极大的影响,使得无论是不是计算机从业人员,都对其有所耳闻;另一...
而通过上次的分析我们知道,病毒有可能在不同的计算机中会以不同的名称进行显示,如果真是如此,那么就有必要在此分析出病毒的命名规律等特征,然后再进行查杀。对病毒样本进行脱壳 按照常规,首先是对病毒进行查壳...
比对脱壳前后的程序 我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本。其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别。首先用IDA Pro载入原始病毒样本:图1 可以发现此时...
前言 对病毒进行逆向分析。能够彻底弄清楚病毒的行为,从而採取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,仅仅会解说一些比較重要的部分。大家仅仅要掌握了这些思想,那么就...
引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。这种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中入侵系统,驻留内存,监视系统运行,伺机传染和破坏。按照引导型...
前言 经过前几次的讨论,我们对于这次的U盘病毒已经有了一定的了解,那么这次我们就依据病毒的行为特征,来编写针对于这次U盘病毒的专杀工具。专杀工具功能说明 因为这次是一个U盘病毒,所以我打算把这次的专杀工具...
前言 由于我已经在《病毒木马查杀第004篇:熊猫烧香之专杀工具的编写》中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那些重叠的知识,只针对这个...
前言 如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了。当然对于我们这次研究的对象——“熊猫烧香”来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟还没有对其进行逆向...
但是我们之前的学习都是利用现成的工具来对引导区进行解析的,而对于一名反病毒工程师而言,不单单需要有扎实的逆向分析功底,同时也需要有很强的编程能力来解决实际问题。对于我们本次的课程来说,就需要大家亲自...