怎么捕获电脑病毒样本.doc

众所周知，计算机病毒与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。 长期操作电脑者会发现，病毒往往紧跟计算机的发展步伐，升级换代频繁，从最初的破坏软件发展到损毁硬件，令人对计算机病毒既怕又恨，防不胜防。因此，及早发现和清除病毒，是将病毒产生的危害降低到最低限度的重要手段，如果在已经安装了防病毒软件且病毒定义码和病毒查杀引擎是最新版本的情况下，病毒仍然发作并造成文件丢失或系统破坏，那么，这就是最新的病毒在发作。这时，就应提取新病毒样本，供反病毒专家分析研究，以便在最短的时间内更新病毒代码库。提取新病毒样本的方法如下： 一、引导型Boot病毒的捕获引导区类型的病毒提取很简单，首先利用Format A: /S将引导系统文件复制到软盘中，然后再将的硬盘中的一些系统执行文件一同拷贝到软盘中。具体步骤如下： 进入MS-DOS方式， 格式化一张系统盘，Format A: /s ， 针对不同的系统，请将如下文件拷贝到这同一张软盘之中：对于Windows 3.x: 拷贝 WindowsSystem下的 gdi.exernl286.exe、progman.exe三个文件。对于Windows 95/98/ME: 拷贝 WindowsSystem下的 gdi.exe、krnl386.exe、progman.exe三个文件。(见)height=351 共3页: 1 内容导航对于Windows NT、Windows 2000: 拷贝 WindowsSystem32下的 gdi.exe、krnl386.exe、progman.exe 三个文件。如果格式化软盘时出现死机，请按下列步骤提取：请在该软盘的标签上写明“damaged during infected format as boot disk”。针对不同的系统的上列文件，拷贝到不同的软盘中，方法同上。二、文件型File/Macro病毒的捕获如果你怀疑病毒是文件型，将C盘根目录下的文件拷贝到软盘上，取名为command，即去掉扩展名。如果你怀疑病毒是MS Word宏病毒，将C:Program FilesMicrosoft OfficeTemplates目录下的“normal.dot”文件和C:Program FilesMicrosoft OfficeOfficeStartup 目录内的所有文件拷贝到软盘。（见）height=366 如果你怀疑病毒是MS Excel宏病毒，将XLSTART目录内的所有文件拷贝到软盘。XLSTART位于计算机的多个地方，用Windows搜索功能查找XLSTART找到所有的目录，然后将这些目录下的文件全部拷贝到软盘。如果你怀疑病毒是PowerPoint宏病毒，做以下操作:打开一个空的Power Point文件，然后把它另存为一个文件，保存类型选为“演示文稿设计模板”，然后将此扩展名为.pot文件拷贝到软盘。 请在该软盘的标签上写明“contains infected files”，并尽量让软盘存入尽可能多的带毒文件。 将软盘做成一个影像文件。三、Trojans病毒的捕获运行regedit.exe文件打开注册表编辑器。记录下来下面注册项中涉及到的文件。HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun中涉及到的文件。（如图3）height=388 图3 共3页: 2 内容导航HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices中涉及的文件。 打开Win.INI文件，将文件中“load=” 和“ run=” 行中涉及的文件记录下来。 按如上信息确定文件名和它们所在的目录，并将这些文件压缩到一个zip文件中。四、几款病毒工具软件ClrText.zip: 当你提交的病毒是Word或Excel宏病毒时，这个工具软件可以将你的感染文件的内容清除，而只保留宏，从而可以避免你的保密信息泄露。SaveMBR.zip: 这个工具软件可以将你的感染硬盘的MBR读到一个文件中，然后把文件发送到NAI进行病毒分析。RWFLOPY.zip: RWFloppy 软件可以恢复或生成软盘影像文件。它的作用是当你不想通过邮寄软盘的方式发送病毒样品时，可以用它生成一个影像文件通过电子邮件发送。特别是对于引导区病毒，由于它隐藏在软盘的80、81扇区，而一般的软件无法读取这两个扇区。Readt80.zip: 为了正确检测BOOT区病毒，我们需要一张包含病毒的软盘。可以通过DOS状态下格式化一张系统软盘来得到：FORMAT /S A：需要软盘的原因是：引导区病毒通常把自己隐藏在一般DOS软件不能读取的地方（对于1.44M软盘有80个扇区，从 0 到 79， 引导区病毒把病毒代码隐藏在80、81 扇区）如果你用一般的软件来生成一个软盘影像文件，这个影像文件不包含80和 81扇区，所以也就无法进行分析病毒。这个软件就是用来把软盘中包含病毒代码的80、81扇区读出来写到一个文件中去。SYSU.zip: 这个软件用来恢复被多种宏病毒感染的系统。（责任编辑 zhaohb zhaohb#51TEL:（010）68476636-8002） 共3页: 3 内容导航本周时间里，微软公司发布了今年8月份的系统漏洞补丁程序，这一次数量比较多，共计12个。其中Windows操作系统的漏洞补丁程序就有10个、办公文字处理软件Office的漏洞补丁程序有2个。并且按照漏洞补定程序危害级别来划分，其中Windows操作系统严重的漏洞补丁有7个、办公文字处理软件Office严重的漏洞补丁有2个，重要的漏洞补丁有3个。微软公司发布的这12个漏洞补丁程序这次一共修复了Windows操作系统和办公文字处理软件Office中的20多处漏洞。国家计算机病毒应急处理中心建议广大计算机用户注意这12个漏洞补丁程序中的以下几个，它们分别是：（一） MS06-040：Microsoft Windows Server服务远程缓冲区溢出漏洞，Microsoft Windows的Server服务在处理RPC（远程过程调用）通讯中的恶意消息时存在溢出漏洞，恶意攻击者可以通过发送恶意的RPC报文来触发这个漏洞，导致执行任意代码。（二） MS06-048：Microsoft Powerpoint远程执行任意代码漏洞，Microsoft Powerpoint是非常流行的文稿演示工具。Powerpoint在解析特制文档中的某些字符串时存在错误，可能允许恶意攻击者通过诱骗用户打开恶意PPT文档，从而进一步可以在系统中执行任意代码。（三） MS06-049：Microsoft Windows 2000内核本地权限提升漏洞，本地的恶意攻击者可以利用Microsoft Windows 2000内核中未检查的缓冲区而获得系统权限的提升，这样恶意攻击就可以完全控制受影响的计算机系统。（四） MS06-051：Microsoft Windows未处理异常远程代码执行漏洞，Microsoft Windows在处理内存中常驻的应用程序时没有正确的处理异常，如果计算机用户因为受骗而访问了恶意站点或Web页面，那么恶意攻击很有可能会在用户计算机系统上执行任意代码。专家提醒：针对我们提到的上述提到的四个主意的漏洞补丁程序，根据以往的经验来看，这几个重要的漏洞补丁程序很可能会被恶意攻击者利用来进行病毒传播。用户不可以忽视它们，大家要根据自己的系统情况尽快地下载安装这个补丁程序，防止类似的利用系统漏洞进行恶意攻击现象的发生。 （责任编辑 zhaohb zhaohb#51TEL:（010）68476636-8002）关键词: 病毒、网络蠕虫、变形病毒、病毒生产机、特络依木马、有害代码、抗病毒软件、数据备份、快速升级、灾难恢复一 摘 要文章概略的揭示了计算机病毒出现由简单到复杂的特性与目的，编病毒者还抛出了“病毒自动生产机”软件。文中指出了计算机病毒自身结构主要将向能对抗反病毒手段的变形病毒方向发展，并把这类病毒归纳为一维、二维、三维、四维变形病毒，使人们站在一定的高度上对变形病毒有一个较清楚的认识，以便今后针对其采取有效的措施进行主动诊治。文中提到的病毒名字都是作者亲自编程杀过的， 作者总结了多年的反病毒经验，提出抗病毒最基本的做法是：一备份，二快升级，三灾难恢复。二 我们将与病毒长久共存人类进入了信息社会创造了智能机器(电子计算机)， 同时也创造了机器(电子计算机)病毒，福祸同降。 人类在信息社会更容易与机器(电子计算机)融为一个整体，可是，破坏这个整体的一个方面将是机器病毒(计算机病毒)，人类同时在与生物病毒作斗争时又要与机器病毒作斗争，这是人类在方便自己时也在为难自己。从一九八三年计算机病毒首次被确认以来，并没有引起人们的重视。直到一九八七年计算机病毒才开使受到世界范围内的普遍重视。我国于一九八九年在计算机界发现病毒。至今，全世界已发现近数万种病毒，并且还在高速度的增加。由于计算机软件的脆弱性与互联网的开放性，我们将与病毒长久共存。而且，病毒主要朝着能更好的隐蔽自己并对抗反病毒手段的方向发展。同时，病毒已被人们利用其特有的性质与其他功能相结合进行有目的的活动。病毒的花样不断翻新，编程手段越来越高，防不胜防。特别是Internet的广泛应用，促进了病毒的空前活跃，网络蠕虫病毒传播更快更广，Windows病毒更加复杂，带有黑客性质的病毒和特络依木马等有害代码大量涌现。下面按病毒先后出现的顺序，简要例举部分病毒的特性就可看出其发展过程。三 病毒的发展过程20世纪60年代初，美国贝尔实验室里，三个年轻的程序员编写了一个名为“磁芯大战”的游戏，游戏中通过复制自身来摆脱对方的控制，这就是所谓“病毒”的第一个雏形。20世纪70年代，美国作家雷恩在其出版的一书中构思了一种能够自我复制的计算机程序，并第一次称之为“计算机病毒”。1983年11月，在国际计算机安全学术研讨会上，美国计算机专家首次将病毒程序在VAX/750计算机上进行了实验，世界上第一个计算机病毒就这样出生在实验室中。20世纪80年代后期，巴基斯坦有两个编软件为生的兄弟，他们为了打击那些盗版软件的使用者，设计出了一个名为“巴基斯坦智囊”的病毒，该病毒只传染软盘引导。这就是最早在世界上流行的一个真正的病毒。1988年至1989年，我国也相继出现了也能感染硬盘和软盘引导区的Stoned(石头)病毒，该病毒体代码中有明显的标志“Your PC is now Stoned!”、“LEGALISE MARIJUANA！”，也称为“大麻”病毒”等。该病毒感染软硬盘0面0道1扇区，并修改部分中断向量表。该病毒不隐藏也不加密自身代码，所以很容易被查出和解除。类似这种特性的还有“小球、Azusa/Hong-Kong/2708、 Michaelangelo，这些都是从国外传染进来的。而国产的有Bloody、 Torch、Disk Killer等病毒，实际上它们大多数是Stoned病毒的翻版。20世纪90年代初，感染文件的病毒有Jerusalem（黑色13号星期五）、 YankeeDoole、 Liberty、 1575、 Traveller、1465、2062，4096等，主要感染.COM和.EXE文件。这类病毒修改了部分中断向量表，被感染的文件明显的增加了字节数，并且病毒代码主体没有加密，也容易被查出和解除。 这些病毒中， 略有对抗反病毒手段的只有Yankee Doole病毒， 当它发现你用DEBUG工具跟踪它的话，它会自动从文件中逃走。接着， 又一些能对自身进行简单加密的病毒相继出现，有1366(DaLian)、1824(N64)、1741(Dong)、1100等病毒。它们加密的目的主要是防止跟踪或掩盖有关特征等。在内存有1741病毒时， 用DIR列目录表，病毒会掩盖被感染文件所增加的字节数，使看起来字节数很正常。而1345-64185病毒却每传染一个目标就增加一个字节， 增到64185个字节时，文件就被破坏。以后又出现了引导区、文件型“双料”病毒，这类病毒既感染磁盘引导区、又感染可执行文件，常见的有Flip/Omicron、 XqR(New century)、Invader/侵入者、 Plastique/塑料炸弹、3584/郑州(狼)、3072(秋天的水）、ALFA/3072-2、Ghost/One_Half/3544(幽灵)、Natas(幽灵王)、TPVO/3783等，如果只解除了文件上的病毒，而没解除硬盘主引导区的病毒，系统引导时又将病毒调入内存，会重新感染文件。如果只解除了主引导区的病毒，而可执行文件上的病毒没解除，一执行带毒的文件时，就又将硬盘主引导区感染。Flip/Omicron（颠倒）、XqR（New century新世纪）这两种病毒都设计有对抗反病毒技术的手段，Flip（颠倒）病毒对其自身代码进行了随机加密，变化无穷，使绝大部分病毒代码与前一被感染目标中的病毒代码几乎没有三个连续的字节是相同的，该病毒在主引导区只潜藏了少量的代码，病毒另将自身全部代码潜藏于硬盘最后个扇区中，并将硬盘分区表和DOS引导区中的磁盘实用扇区数减少了个扇区，所以再次起动系统后， 硬盘的实用空间就减少了6个扇区。这样，原主引导记录和病毒主程序就保存在硬盘实用扇区外，避免了其它程序的覆盖，而且用DEBUG的L命令也不能调出查看，就是用FORMAT进行格式化也不能消除病毒，可见，病毒编制者用意深切！与此相似的还有Denzuko病毒。XqR(New century新世纪)病毒也有它更狡猾的一面，它监视着INT13、INT21中断有关参数，当你要查看或搜索被其感染了的主引导记录时，病毒就调换出正常的主引导记录给你查看或让你搜索，使你认为一切正常，病毒却蒙混过关。病毒的这种对抗方法，我们在此称为：病毒在内存时，具有“反串”（反转）功能。这类病毒还有Mask(假面具)、2709/ROSE(玫瑰)、One_Half/3544(幽灵)、Natas/4744、Monkey、PC_LOCK、DIE_HARD/HD2、GranmaGrave/Burglar/1150、 3783病毒等，现在的新病毒越来越多的使用这种功能来对抗按装在硬盘上的抗病毒软件，但用无病毒系统软盘引导机器后，病毒就失去了“反串”（反转）功能。1345、 1820、PCTCOPY-2000病毒却直接隐藏在COMMAND.COM文件内的空闲(0代码)部位，从外表上看，文件一个字节也没增加。INT60(0002)病毒隐藏的更加神秘，它不修改主引导记录， 只将硬盘分区表修改了两个字节，使那些只检查主引导记录的程序认为完全正常，病毒主体却隐藏在这两个字节指向的区域。硬盘引导时，ROM-BIOS程序糊理糊涂的按这两个字节的引向，将病毒激活。病毒太狡猾了，只需两个字节，就可以牵着机器的鼻子走！Monkey（猴子）、PC_LOCK（加密锁）病毒将硬盘分区表加密后再隐藏起来， 如果轻易将硬盘主引导记录更换，或用FDISK/MBR格式轻易将硬盘主引导记录更换， 那么，就再进不了硬盘了，数据也取不出来了，所以，不要轻易使用FDISK/MBR格式。1992年以来，DIR2-3、DIR2-6、NEW DIR2病毒以一种全新的面貌出现，具有感染力极强，无任何表现，不修改中断向量表，而直接修改系统关键中断的内核，修改可执行文件的首簇数， 将文件名字与文件代码主体分离。 在系统有此病毒的情况下，一切就象没发生一样。而在系统无病毒时，你用无病毒的文件去覆盖有病毒的文件，灾难就会发生，全盘所有被感染的可执行文件内容都是刚覆盖进去的文件内容。这是病毒“我死你也活不成”的罪恶伎俩。该病毒的出现，使病毒又多了一种新类型。20世纪内，决大多数病毒是基于DOS系统的，有80的病毒能在WINDOWS中传染。TPVO/3783病毒是“双料性”、（传染引导区、文件）“双重性”（DOS、WINDOWS）病毒，这是病毒随着操作系统发展而发展。当然，Internet的广泛应用，Java恶意代码病毒也出现了。脚本病毒“HAPPYTIME快乐时光”是一种传染能力非常强的病毒。该病毒利用体内VBScript代码在本地的可执行性（通过Windows Script Host进行），对当前计算机进行感染和破坏。即，一旦我们将鼠标箭头移到带有“HAPPYTIME快乐时光”病毒体的邮件名上时，不必打开信件，就能受到HAPPYTIME“快乐时光”病毒的感染，该病毒传染能力很强。近几年，出现了近万种WORD(MACRO宏)病毒，并以迅猛的势头发展，已形成了病毒的另一大派系。由于宏病毒编写容易，不分操作系统，再加上Internet网上用WORD格式文件进行大量的交流，宏病毒会潜伏在这些WORD文件里，被人们在Internet网上传来传去。早在1995年时，出现了一个更危险的信号，在我们对众多的病毒剥析中，发现部分病毒好象出于一个家族，其“遗传基因”相同，简单的说，是“同族”病毒。但绝不是其他好奇者简单的修改部分代码而产生的“改形”病毒。“改形”病毒的定义此应简单的说，与“原种”病毒的代码长度相差不大，绝大多数病毒代码与“原种”的代码相同， 并且相同的代码其位置也相同， 否则就是一种新的病毒。大量具有相同“遗传基因”的“同族”病毒的涌现，使人不的不怀疑“病毒生产机”软件已出现。1996年下半年在国内终于发现了“G2、IVP、VCL”三种“病毒生产机软件”，不法之徒，可以用来编出千万种新病毒。