论文部分内容阅读
当病毒通过各种途径侵入系统后,总是想方设法对系统进行各种破坏行动,轻则造成文件受损,重则导致系统崩溃。病毒发作之后,肯定会通过各种不法行为来实现危害系统的目的。总体来说,病毒会对文件系统、注册表、系统进程、网络连接、驱动程序等方面进行非法的修改、删除、注入、加载、伪装、开启后门、设置钩子等等恶意操作。因此,对病毒的行为进行跟踪、监控和分析,就可以将其各种不法操作彻底曝光,进而找出其对系统所做的所有渗透和修改操作。在充分了解其特点的基础上,就可以有针对性地将其彻底清除。
一、了解分析工具的用法和特点
俗话说,工欲善其事必先利其器。在进行病毒行为分析之前,首先要掌握各种分析工具的使用要点。例如,Filemon是一款强悍的文件操作监控工具,在使用之前,最好对其进行合理配置。当Filemon运行后,可以看到其字体很小,不利于观察。为此可以点击菜单“设置”→“字体”项,将字体大小设置为10,观看起来就轻松多了。
当Filemon运行后,会记录所有的文件变动情况,会让人眼花缭乱。点击“Ctrl+E”键,终止监控操作。当然,也可以在其主界面(如图1)中点击“Ctrl+A”键,停止滚屏操作,但监控依然进行。可以拖动滚动条,查看监控信息。在监控信息中的“请求”列中显示文件操作方式,包括创建、打开、写入、删除等。在“结果”列中显示操作结果,包括成功和失败。在“路径”列中显示被操作的文件的完整路径信息,这对于病毒分析很重要。为了排除干扰,准确捕获病毒操作文件信息,可以在监控列表中选择无关进程项,在其右键菜单中选择“排除进程”项,将其排除在监控范围之外。注意,诸如“explorer.exe”“iexplorer.exe”等进程不要进行排除。为了便于查看监控数据,需要将无关内容过滤掉。点击“Ctd+L”键,在弹出窗口中的‘包含”列表中输入需要监控的进程,这样就只监控该进程的文件操作信息。
Regmon是强悍的注册表监控工具,注册表的任何变化都逃不出其法眼。其显示字体调整,开启暂停监控,设置过滤等操作均与Filemon相同。在其监控列表(如图2)中的“Request”列中显示注册表操作方式,包括删除键值和设置键值等。在“other”列显示在注册表某子键下添加或者删除的键值,这很值得我们关注。注意,在Regrnon中点击菜单“Options”→“Log Boot”项,可以激活启动记录功能。Regmon会使其在下次启动系统时先于任何其它驱动之前加载到系统中,这样,系统在启动过程中所有驱动程序和服务项目对注册表的任何操作都会被Regmon记录下来,并将其内容保存在“C:\Windows\regmn.log”文件中。
不管是系统自带的任务管理器,还是别的进程管理工具,都无法同ProcessExplorer这款软件相比,它不仅可以查看正常的进程信息,而且可以看到隐藏在后台的进程项目,其功能强大可以终止任何进程。同Filemon和Regmon一样,ProcessExplorer同样是基于Ring0模式运行。ProcessExploer使用不同颜色区分进程,例如,新创建额进程以绿色显示,被结束的进程以红色显示,当前用户进程以浅粉色显示,服务进程以绿色显示。在ProcessExplorer主界面左侧的“进程”列表提供了升序、降序、分支等显示模式。为了便于观察病毒活动建议取用分支显示模式,即让所有进程按照树形结构以父子关系进行排列显示,可以观察到某个进程都创建了什么进程等。如果病毒进程新建了进程,可以彻底暴露出来。此外,ProcessExplorer还具有查看进程详细信息、搜索宿主进程等功能。
病毒在活动时,很可能需要和外界建立网络连接。对该类活动进行监控,可以让狡猾的病毒现出原形。同netstat.exe等工具相比,TCPView可谓是监控网络连接的高手。TCPView的使用比较简单,在监控列表中可以显示进行网络操作的进程名、使用的网络协议、本地端口地址和远程端口网络地址等。在“状态列”中顯示网络连接状态,包括监听、已建立连接、等待客户端响应、正在发送同步信号等。例如,当触发某个脚本病毒后,如果其和外界建立连接,在TCPView监控界面(如图4)中就会发现名为“Wscript.exe”进程建立了一个网络连接,以内脚本病毒需要“Wscript.exe”程序解释执行。这样,就需要引起我们的警觉了。因为这种连接速度很快,使用一般的工具很难捕获。
二、病毒行为特点的实例分析
这里列举了一个简单的例子,使用PiwcessExploier、Regmon、Filemon、TCPView等工具,对某个病毒程序进行分析,追踪其行为特点,确定其在系统中的一举一动,并据此将其清除掉。启动Vmware Workstation虚拟机,在其中执行名为“winingr.exe”的可疑程序。当其运行后,从表面上看系统毫无反应,这其实是大多数病毒木马的共同特点,主要用来麻痹用户,对其失去警惕性。但是,在分析工具面前,其马脚就暴露出来了。在ProcessExplorer主界面左侧进程列表中可以看到,该病毒程序已经运行。在Filemon和Regmon程序窗口中,也出现了与之关联的监控信息,说明该病毒已经在执行各种文件操作,在注册表中也开始修改数据了。
稍后,在ProcessExplorer进程列表中看到,病毒程序创建了名为“iexplorer.exe”的新进程,“iexplorer.exe”进程我们都很熟悉,这是IE浏览器。病毒之所以启动IE浏览器进程,只能说明病毒试图将自身注入到IE进程中,这样就可以更好地隐蔽自己,即使用户查看进程列表,一般也不会对熟悉的IE进程产生怀疑。否则的话,对于进程列表的“winmgr.exe”病毒进程来说,肯定会被用户发现并进行查杀。当病毒插入到IE等合法进程后,通常会关闭原来的病毒进程,来避开用户的追踪。继续观察ProcessExplorer进程列表。发现病毒有启动了“cmd.exe”进程,这是命令行进程。 很快,在进程列表中的“cmd.exe”进程下出现了“ping.exe”进程的身影,不难看出,這是病毒利用ping命令对网络连接情况进行探测。随后,在进程列表发现“winmgr.exe”病毒进程消失了,而且作为测试的病毒程序文件也不见了。这说明,病毒已经执行了自删除操作,来毁灭证据,防止用户对其进行分析检测。但是,在TCPView窗口中,发现“iexplorer.exe”进程在执行网络连接操作,和可疑的远程主机建立了网络连接。这说明注入到“iexplorer.exe”进程中的病毒代码开始操纵IE进程执行非法的网络连接动作,执行开启后门、盗窃数据、下载其它程序等操作。在ProcessExplorer进程列表中看到“cmd.exe”进程结束了,但是在TCPView窗口中IE进程依然处于网络连接状态。继续对进程列表进行查看,发现已经没有什么变化了,说明病毒进程的活动已经告一段落。
既然病毒活动已经明朗化,接下来就可以分析病毒对文件和注册表的操作情况了。在Filemon窗口中显示了与该病毒相关的所有文件监控信息,对其进行一番分析后,可以发现病毒的所有“小动作”。病毒在“C:\Windows\system”文件夹创建了名为“f0dwgsqyn.exe”“grunagdqr.dll”等文件,病毒还在“C:\Program Files\Internet Explorer”文件夹下创建了名为“rundll_32.exe”的文件,注意,其处于隐藏状态,无法直接观察到。病毒在“C:\Windows\system32\drivers”目录下创建名为“19b5406.sys”的驱动文件。此外,其还在“C:\Windows\System32\Winfile”文件夹中生成了“_rundll_32.exe”“winks.exe”“gamesetup.exe”“htedto.exe”“qqhs.exe”“svcr.exe”“rasdf.exe”等众多可疑文件。
病毒在“C:\Program Files\Common Files\MicrosoftShared\MSInfo”文件夹中生成了_一个记录文件、一个病毒主文件。在“C:\Windows”中创建了名为“reserver.exe”的程序,之后在“C:\Window\System32”文件夹中生成了名为“brlmon.exe”的隐藏文件。在“C:\User\All Users”文件夹中创建名为“vbgzcom.ini”文件,在C盘根目录下创建名为“accvparam.cmd”的文件。根据文件监控继续,病毒之后删除了自身文件和C盘中的“accvparam.cmd”文件。在RegMon界面中显示与该病毒关联的注册表修改动作,在注册表分析项目中,发现该木马创建了名为“Network Manger Agent”的系统服务,在其描述信息中显示“网络管理实用工具”字样,起到迷惑用户的目的。与该服务关联的程序为“fOdwgsqyn.exe”。这样,病毒就可以跟随系统自动运行。该“fodwgsqyn.exe”程序实际上就是更名后的病毒文件,利用CompareFile等工具,可以看出其与病毒原文件完全一致。
经过对病毒行为的分析,可以看出病毒的活动特点。当病毒被激活后,将自身复制到系统文件夹中,并更名为“f0dwgsqyn.exe”。之后病毒创建名为“Network Manger Agent”的系统服务,使其可以跟随系统自动运行。病毒以很隐蔽的方式启动IE浏览器进程,并将病毒代码注入到该进程中。病毒释放的“grunagdqr.dll”是一个动态链接库,其中包含相关的病毒代码,病毒将其注入到IE进程中。在ProcessExplorer主界面中点击“Ctrl+E”键,在搜索窗口中输入“grunagdqr.dll”,点击搜索按钮,果然发现其宿主进程就是IE进程。
利用建立的非法连接,病毒从网上下载了更多的恶意程序,并将其存放在不同的路径中。为了从底层潜入系统中,病毒创建了“19b5406.sys”的驱动文件,实现了从系统底层的加载。之后病毒释放了“accvparam.cmd”文件,其作用是删除病毒文件自身。在FilemonN控记录中,清晰地显示了病毒通过调用“cmd.exe”进程执行该批处理文件的动作,将病毒原文件删除。了解了该病毒的行为特点后,清理起来就很简单了。使用WinPE优盘引导系统,在WinPE环境将上述病毒文件彻底删除,并清除注册表中病毒修改和创建的所有项目,就可以将病毒彻底清理干净。
一、了解分析工具的用法和特点
俗话说,工欲善其事必先利其器。在进行病毒行为分析之前,首先要掌握各种分析工具的使用要点。例如,Filemon是一款强悍的文件操作监控工具,在使用之前,最好对其进行合理配置。当Filemon运行后,可以看到其字体很小,不利于观察。为此可以点击菜单“设置”→“字体”项,将字体大小设置为10,观看起来就轻松多了。
当Filemon运行后,会记录所有的文件变动情况,会让人眼花缭乱。点击“Ctrl+E”键,终止监控操作。当然,也可以在其主界面(如图1)中点击“Ctrl+A”键,停止滚屏操作,但监控依然进行。可以拖动滚动条,查看监控信息。在监控信息中的“请求”列中显示文件操作方式,包括创建、打开、写入、删除等。在“结果”列中显示操作结果,包括成功和失败。在“路径”列中显示被操作的文件的完整路径信息,这对于病毒分析很重要。为了排除干扰,准确捕获病毒操作文件信息,可以在监控列表中选择无关进程项,在其右键菜单中选择“排除进程”项,将其排除在监控范围之外。注意,诸如“explorer.exe”“iexplorer.exe”等进程不要进行排除。为了便于查看监控数据,需要将无关内容过滤掉。点击“Ctd+L”键,在弹出窗口中的‘包含”列表中输入需要监控的进程,这样就只监控该进程的文件操作信息。
Regmon是强悍的注册表监控工具,注册表的任何变化都逃不出其法眼。其显示字体调整,开启暂停监控,设置过滤等操作均与Filemon相同。在其监控列表(如图2)中的“Request”列中显示注册表操作方式,包括删除键值和设置键值等。在“other”列显示在注册表某子键下添加或者删除的键值,这很值得我们关注。注意,在Regrnon中点击菜单“Options”→“Log Boot”项,可以激活启动记录功能。Regmon会使其在下次启动系统时先于任何其它驱动之前加载到系统中,这样,系统在启动过程中所有驱动程序和服务项目对注册表的任何操作都会被Regmon记录下来,并将其内容保存在“C:\Windows\regmn.log”文件中。
不管是系统自带的任务管理器,还是别的进程管理工具,都无法同ProcessExplorer这款软件相比,它不仅可以查看正常的进程信息,而且可以看到隐藏在后台的进程项目,其功能强大可以终止任何进程。同Filemon和Regmon一样,ProcessExplorer同样是基于Ring0模式运行。ProcessExploer使用不同颜色区分进程,例如,新创建额进程以绿色显示,被结束的进程以红色显示,当前用户进程以浅粉色显示,服务进程以绿色显示。在ProcessExplorer主界面左侧的“进程”列表提供了升序、降序、分支等显示模式。为了便于观察病毒活动建议取用分支显示模式,即让所有进程按照树形结构以父子关系进行排列显示,可以观察到某个进程都创建了什么进程等。如果病毒进程新建了进程,可以彻底暴露出来。此外,ProcessExplorer还具有查看进程详细信息、搜索宿主进程等功能。
病毒在活动时,很可能需要和外界建立网络连接。对该类活动进行监控,可以让狡猾的病毒现出原形。同netstat.exe等工具相比,TCPView可谓是监控网络连接的高手。TCPView的使用比较简单,在监控列表中可以显示进行网络操作的进程名、使用的网络协议、本地端口地址和远程端口网络地址等。在“状态列”中顯示网络连接状态,包括监听、已建立连接、等待客户端响应、正在发送同步信号等。例如,当触发某个脚本病毒后,如果其和外界建立连接,在TCPView监控界面(如图4)中就会发现名为“Wscript.exe”进程建立了一个网络连接,以内脚本病毒需要“Wscript.exe”程序解释执行。这样,就需要引起我们的警觉了。因为这种连接速度很快,使用一般的工具很难捕获。
二、病毒行为特点的实例分析
这里列举了一个简单的例子,使用PiwcessExploier、Regmon、Filemon、TCPView等工具,对某个病毒程序进行分析,追踪其行为特点,确定其在系统中的一举一动,并据此将其清除掉。启动Vmware Workstation虚拟机,在其中执行名为“winingr.exe”的可疑程序。当其运行后,从表面上看系统毫无反应,这其实是大多数病毒木马的共同特点,主要用来麻痹用户,对其失去警惕性。但是,在分析工具面前,其马脚就暴露出来了。在ProcessExplorer主界面左侧进程列表中可以看到,该病毒程序已经运行。在Filemon和Regmon程序窗口中,也出现了与之关联的监控信息,说明该病毒已经在执行各种文件操作,在注册表中也开始修改数据了。
稍后,在ProcessExplorer进程列表中看到,病毒程序创建了名为“iexplorer.exe”的新进程,“iexplorer.exe”进程我们都很熟悉,这是IE浏览器。病毒之所以启动IE浏览器进程,只能说明病毒试图将自身注入到IE进程中,这样就可以更好地隐蔽自己,即使用户查看进程列表,一般也不会对熟悉的IE进程产生怀疑。否则的话,对于进程列表的“winmgr.exe”病毒进程来说,肯定会被用户发现并进行查杀。当病毒插入到IE等合法进程后,通常会关闭原来的病毒进程,来避开用户的追踪。继续观察ProcessExplorer进程列表。发现病毒有启动了“cmd.exe”进程,这是命令行进程。 很快,在进程列表中的“cmd.exe”进程下出现了“ping.exe”进程的身影,不难看出,這是病毒利用ping命令对网络连接情况进行探测。随后,在进程列表发现“winmgr.exe”病毒进程消失了,而且作为测试的病毒程序文件也不见了。这说明,病毒已经执行了自删除操作,来毁灭证据,防止用户对其进行分析检测。但是,在TCPView窗口中,发现“iexplorer.exe”进程在执行网络连接操作,和可疑的远程主机建立了网络连接。这说明注入到“iexplorer.exe”进程中的病毒代码开始操纵IE进程执行非法的网络连接动作,执行开启后门、盗窃数据、下载其它程序等操作。在ProcessExplorer进程列表中看到“cmd.exe”进程结束了,但是在TCPView窗口中IE进程依然处于网络连接状态。继续对进程列表进行查看,发现已经没有什么变化了,说明病毒进程的活动已经告一段落。
既然病毒活动已经明朗化,接下来就可以分析病毒对文件和注册表的操作情况了。在Filemon窗口中显示了与该病毒相关的所有文件监控信息,对其进行一番分析后,可以发现病毒的所有“小动作”。病毒在“C:\Windows\system”文件夹创建了名为“f0dwgsqyn.exe”“grunagdqr.dll”等文件,病毒还在“C:\Program Files\Internet Explorer”文件夹下创建了名为“rundll_32.exe”的文件,注意,其处于隐藏状态,无法直接观察到。病毒在“C:\Windows\system32\drivers”目录下创建名为“19b5406.sys”的驱动文件。此外,其还在“C:\Windows\System32\Winfile”文件夹中生成了“_rundll_32.exe”“winks.exe”“gamesetup.exe”“htedto.exe”“qqhs.exe”“svcr.exe”“rasdf.exe”等众多可疑文件。
病毒在“C:\Program Files\Common Files\MicrosoftShared\MSInfo”文件夹中生成了_一个记录文件、一个病毒主文件。在“C:\Windows”中创建了名为“reserver.exe”的程序,之后在“C:\Window\System32”文件夹中生成了名为“brlmon.exe”的隐藏文件。在“C:\User\All Users”文件夹中创建名为“vbgzcom.ini”文件,在C盘根目录下创建名为“accvparam.cmd”的文件。根据文件监控继续,病毒之后删除了自身文件和C盘中的“accvparam.cmd”文件。在RegMon界面中显示与该病毒关联的注册表修改动作,在注册表分析项目中,发现该木马创建了名为“Network Manger Agent”的系统服务,在其描述信息中显示“网络管理实用工具”字样,起到迷惑用户的目的。与该服务关联的程序为“fOdwgsqyn.exe”。这样,病毒就可以跟随系统自动运行。该“fodwgsqyn.exe”程序实际上就是更名后的病毒文件,利用CompareFile等工具,可以看出其与病毒原文件完全一致。
经过对病毒行为的分析,可以看出病毒的活动特点。当病毒被激活后,将自身复制到系统文件夹中,并更名为“f0dwgsqyn.exe”。之后病毒创建名为“Network Manger Agent”的系统服务,使其可以跟随系统自动运行。病毒以很隐蔽的方式启动IE浏览器进程,并将病毒代码注入到该进程中。病毒释放的“grunagdqr.dll”是一个动态链接库,其中包含相关的病毒代码,病毒将其注入到IE进程中。在ProcessExplorer主界面中点击“Ctrl+E”键,在搜索窗口中输入“grunagdqr.dll”,点击搜索按钮,果然发现其宿主进程就是IE进程。
利用建立的非法连接,病毒从网上下载了更多的恶意程序,并将其存放在不同的路径中。为了从底层潜入系统中,病毒创建了“19b5406.sys”的驱动文件,实现了从系统底层的加载。之后病毒释放了“accvparam.cmd”文件,其作用是删除病毒文件自身。在FilemonN控记录中,清晰地显示了病毒通过调用“cmd.exe”进程执行该批处理文件的动作,将病毒原文件删除。了解了该病毒的行为特点后,清理起来就很简单了。使用WinPE优盘引导系统,在WinPE环境将上述病毒文件彻底删除,并清除注册表中病毒修改和创建的所有项目,就可以将病毒彻底清理干净。