联系我们
 您在这里: 首页 / 服务和支持 / 技术支持 / 在线服务中心


如何提取病毒样本?
     一、蠕虫 /特洛伊木马类

       这类病毒一般不感染其它的正常可执行文件,它会像正常的软件一样 "安装 "在系统中,只不过 "安装 "过程是秘密的。
         它们一般会更改系统配置文件及注册表:

         1、更改系统的相关配置文件(这种情况主要是针对 95/98/me系统)。
       病毒可能会更改 autoexec.bat,只要在其中加入执行病毒程序文件的语句即可在系统启动时自动激活病毒。
       更改 drive:\windows\win.ini或者 system.ini文件。病毒通常会在 win.ini的 "run="后面加入病毒自身的文件名,或者在
         system.ini文件中将 "shell="更改。

         2、更改注册表健值。

        目前,只要新出的蠕虫 /特洛伊木马类病毒一般都有修改系统注册表的动作。它们修改的位置一般有以下几个地方:
         HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\
         说明:在系统启动时自动执行的程序
         HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices\
         说明:在系统启动时自动执行的系统服务程序
         HKLM\Software\Microsoft\Windows\CurrentVersion\Run\
         说明:在系统启动时自动执行的程序,这是病毒最有可能修改 /添加的地方。例如: Worm.Netsky.h病毒将增加:
         HKLM\Software\Microsoft\Windows\CurrentVersion\Run\"antivirus" = "%WINDIR%\maja.exe -antivirus service"
         HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\run
         说明:此键值相当于在 Win.ini的 "run="加入病毒自身文件名,能使在系统启动时自动激活病毒。      HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
         说明:此键值相当于在 System.ini的 "shell="加入病毒自身文件名,能使在系统启动时自动激活病毒。      HKEY_CLASSES_ROOT\exefile\shell\open\command
         说明:此键值能使病毒在用户运行任何 EXE程序时被运行,即文件关联键值。以此类推, ..\txtfile\.. 或者 ..\comfile\..      也可被更改,以便实现病毒自动运行的功能。
         另外,有些键值还可能被利用来实现比较特别的功能:
         如有些病毒会通过修改下面的键值来阻止用户查看和修改注册表:
         HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\
         System\DisableRegistryTools =

         从以上键值找出可疑文件文件名,然后全盘查找这些文件作为附件上报。

     二、宏病毒类

         可直接将 Word、 Excel、 PowerPoint的模板文件 (Word 为 Normal.dot、 Excel 位于 xlStart 目录下所有文件 )
         拷贝下来即可,可以用查找方式找到,然后作为附件上报。

     三、电子邮件病毒

         收到可疑的电子邮件,如包含附件是: .exe、 .com、 .scr、 .pif、 .lnk、 .bat等的特殊邮件,请用户将这封邮件
         (含其附件)作为附件上报。

     四、感染文件的病毒(文件型)

       此类病毒在 dos/Win3x时代是最常见的,现在已经不是很常见了。此类病毒最明显的特征是将自身代码加入到正常文件中,
         因此一般情况下(也有特例,使用压缩功能将代码放置于文件的冗余处使得文件长度不变)受感染的文件字节长度会增加。
       简单的判断方法是与正常的系统文件进行比较,字节增加的就是可疑文件。如果不放心可使用系统自带的比较命令 "fc.exe"   
         进行比较: 例如:将可疑的 notepad.exe文件改名为 notepad-vir.exe,再将此文件与正常的 notepad.exe文件放在同一个
         目录中,执行: fc notepad-vir.exe notepad.exe 如果不同,则会提示两个文件的不同代码位置;如果相同,则会提示
         “找不到相异处”。

     五、脚本/恶意代码类

         1、此类病毒很多利用ie漏洞进行传播,一般都是 .js、 .htt、 .as、 .vbs、 .htm、 .html、 .asp等类型文件。
         比如 redlof(红色结束符病毒)更改系统的 folder.htt文件。这类病毒有的会更改本地的网页文件( asp,htm,php等),
         一般会在正常文件后部增加脚本代码。找到这些被修改的网页文件作为附件上报。
         2、如果浏览某网站后出现系统异常,用户可以利用山丽病毒上报提交报告,并在邮件正文描述具体的计算机中病毒的现象。
         在病毒已经激活的情况下,比较常见的病毒都可通过以上方法找到其样本文件。
     
 
 

返回在线服务中心