Linux系统下手动解析病毒样本本领[Linux安全]

　　Linux系统下解析病毒样本其实还是对比便利的,下面我们来看看若何操作:

　　原理:操纵md5值的差别举行文件的比较.

　　操作后台:

　　1. XP安装光盘;

　　2. 病毒样本;

　　3. U盘;

　　4. Ubuntu 7.10 LiveCD

　　5.所需的几个比较md5和转化二进制文件格局的程序

　　操作历程:

　　1. 全盘格局化,同时安装Windows(也可采取ghost回去,但是一定注意其他磁盘大概的病毒传染)

　　2. 在刚装好的Windows下,导出注册表.将导出文件放入C盘根目录下.这里我命名为1.reg

　　3. 进入Ubuntu系统,注意,进入前f2挑选简体中文情势

　　4. 挂载C盘:

　　mkdir /mnt/hdd1 (生产系统C盘挂载点)

　　mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (将系统C盘挂载到/mnt/hdd1下,注意文件格局和设备号视具体情形而定)

　　5. 挂载U盘:

　　mkdir /mnt/usb (生成U盘挂载点)

　　mount -t vfat /dev/sda1 /mnt/usb (将U盘挂载到/mnt/usb下,一样注意文件格局和设备号)

　　6. 将导出的注册表信息放入U盘:

　　假定U盘上已经有test目录,同时,在test目录下有parse.sh,parseWinReg,ShowList 三个程序

　　cp /mnt/hdd1/1.reg /mnt/usb/test (将导出注册表拷贝至/mnt/usb/test目录下)

　　cd /mnt/usb/test (进入U盘test 目录)

　　./parseWinReg 1.reg origreg (将导出注册表举行格局转换,生成origreg)

　　7. 计算C盘全部文件md5值:

　　rm /mnt/hdd1/pagefile.sys (这个文件太大影响计算速度,删除)

　　/mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/origfile (计算磁盘文件md5值,并将后果导出至U盘test目录下origfile)

　　8. 重新进入Windows,同时,激起病毒文件

　　注意:先将病毒文件放入磁盘,拔掉U盘,拔掉网线,再激起!

　　9. 反复3,4,5,6,7步骤

　　mkdir /mnt/hdd1

　　mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1

　　mkdir /mnt/usb

　　mount -t vfat /dev/sda1 /mnt/usb

　　cp /mnt/hdd1/2.reg /mnt/usb/test (这里假定导出的注册表是2.reg)

　　cd /mnt/usb/test

　　./parseWinReg 2.reg newreg

　　rm /mnt/hdd1/pagefile.sys

　　/mnt/usb/test/parse.sh /mnt/hdd1/ > /mnt/usb/newfile

　　10. 至此,我们得到了原始的系统信息:origreg, origfile,中病毒之后的信息:newreg, newfile

　　11. 对比文件差别之处:diff -Nur origfile newfile > filediff

　　12. 对比注册表差别之处:diff -Nur origreg newreg > regdiff

　　13. 解析filediff 和 regdiff,得到结论

　　解析小本领:普通情形下前面呈现 的就是病毒释放的,-就是有过窜改的(传染的),假如是md5值是成双成对呈现(一个 和一个-),那那一行普通不是,假如前面没有任何标志,那阐明也不是.咱们把没用的删除,只留下有单个大概单个-的,最好看文件途径,即得到了病毒的产生文件大概是传染文件.