博客专栏  >  互联网   >  病毒木马查杀实战

病毒木马查杀实战

《病毒木马查杀》系列以真实的病毒木马(或统称为恶意程序)为研究对象,通过现有的技术手段对其分析,总结出它的恶意行为,进而制定出相应的应对方法(如编写专杀工具),对其彻底查杀。本系列更多地是讨论如何应对某一个特定的病毒,而不涉及广义的杀毒软件的编写。

关注
32 已关注
24篇博文
  • 病毒木马查杀实战第024篇:MBR病毒之编程解析引导区

    前言        通过之前的学习,相信大家已经对磁盘的引导区有了充分的认识。但是我们之前的学习都是利用现成的工具来对引导区进行解析的,而对于一名反病毒工程师而言,不单单需要有扎实的逆向分析功底,同...

    2016-04-18 22:23
    3680
  • 病毒木马查杀实战第023篇:MBR病毒之引导区的解析

    前言        引导型病毒指寄生在磁盘引导区或主引导区的计算机病毒。这种病毒利用系统引导时,不对主引导区的内容正确与否进行判别的缺点,在引导系统的过程中入侵系统,驻留内存,监视系统运行,伺机传染和...

    2016-04-18 22:13
    3893
  • 病毒木马查杀实战第022篇:txt病毒研究

    前言       反病毒爱好者们很喜欢讨论的一个问题就是,如今什么样的病毒才算得上是主流,或者说什么样的病毒才是厉害的病毒呢?我们之前的课程所讲解的都是Ring3层的病毒,所以有些朋友可能会认为,那么...

    2016-04-20 15:22
    12172
  • 病毒木马查杀实战第021篇:Ring3层主动防御之编程实现

    前言       我们这次会依据上次的内容,编程实现一个Ring3层的简单的主动防御软件。整个程序使用MFC实现,程序开始监控时,会将DLL程序注入到explorer.exe进程中,这样每当有新的进程...

    2016-04-20 15:16
    11534
  • 病毒木马查杀实战第020篇:Ring3层主动防御之基本原理

    前言       如果说我们的计算机中安装有杀毒软件,那么当我们有意或无意地下载了一个恶意程序后,杀软一般都会弹出一个对话框提示我们,下载的程序很可能是恶意程序,建议删除之类的,或者杀软就不提示,直接...

    2016-04-20 15:14
    11465
  • 病毒木马查杀实战第019篇:病毒特征码查杀之编程实现

    一、前言上次我们已经简单介绍过了病毒特征码提取的基本方法,那么这次我们就通过编程来实现对于病毒的特征码查杀。 二、定义特征码存储结构为了简单起见,这次我们使用的是setup.exe以及unpacked...

    2016-04-20 14:32
    12061
  • 病毒木马查杀实战第018篇:病毒特征码查杀之基本原理

    前言       在本系列的导论中,我曾经在“病毒查杀方法”中简单讲解过特征码查杀这种方式。而我也在对于实际病毒的专杀工具编写中,使用过CRC32算法来对目标程序进行指纹匹配,从而进行病毒判定。一般来...

    2016-04-20 14:24
    12397
  • 病毒木马查杀实战第017篇:U盘病毒之专杀工具的编写

    前言       经过前几次的讨论,我们对于这次的U盘病毒已经有了一定的了解,那么这次我们就依据病毒的行为特征,来编写针对于这次U盘病毒的专杀工具。 专杀工具功能说明       因为这次是一个U盘病...

    2016-04-20 13:52
    16494
  • 病毒木马查杀实战第016篇:U盘病毒之逆向分析

    比对脱壳前后的程序       我们这次所要研究的是经过上次的脱壳操作之后,所获取的无壳病毒样本。其实我们这里可以先进行一下对比,看看有壳与无壳的反汇编代码的区别。首先用IDA Pro载入原始病毒样本...

    2016-04-20 11:54
    10875
  • 病毒木马查杀实战第015篇:U盘病毒之脱壳研究

    前言       由于我们的最终目标是编写出针对于这次的U盘病毒的专杀工具,而通过上次的分析我们知道,病毒有可能在不同的计算机中会以不同的名称进行显示,如果真是如此,那么就有必要在此分析出病毒的命名规...

    2016-04-20 11:14
    11003
  • 病毒木马查杀实战第014篇:U盘病毒之手动查杀

    在U盘中发现病毒       前段时间需要往虚拟机中拷贝点资料,如同往常一样,插上我的U盘,并且在虚拟机的设置中选择连接U盘。奇怪的是这次的连接时间较以往长,并且还出现了“自动播放”窗口:图1 自动播...

    2016-04-20 10:07
    9130
  • 病毒木马查杀实战第013篇:一个基于.NET的“敲竹杠”病毒研究

    一、前言         恶意程序发展至今,其功能已经从最初的单纯破坏,不断发展为隐私的窥探,信息的盗取,乃至如今非常流行的“敲竹杠”病毒,用于勒索。可见随着时代的发展,病毒的作者们往往也是想利用自己...

    2015-01-08 01:56
    2308
  • 病毒木马查杀实战第012篇:QQ盗号木马之逆向分析

    一、前言         在本系列的文章中,对每一个病毒分析的最后一个部分,若无特殊情况,我都会采用逆向分析的手段来为读者彻底剖析目标病毒。但是之前的“熊猫烧香”病毒,我用了三篇文章的篇幅(每篇250...

    2015-01-13 22:49
    1980
  • 病毒木马查杀实战第011篇:QQ盗号木马之专杀工具的编写

    一、前言         由于我已经在《病毒木马查杀第004篇:熊猫烧香之专杀工具的编写》中编写了一个比较通用的专杀工具的框架,而这个框架对于本病毒来说,经过简单修改也是基本适用的,所以本文就不讨论那...

    2014-12-27 00:53
    2149
  • 病毒木马查杀实战第010篇:QQ盗号木马之十六进制代码分析

    一、前言 按照我的个人习惯,在运用诸如IDA Pro与OllyDBG对病毒进行逆向分析之前,我都会利用一些自动化的工具,通过静态或动态的分析方法(参见《病毒木马查杀第008篇:熊猫烧香之病毒查杀总结》...

    2014-12-25 17:25
    1606
  • 病毒木马查杀实战第009篇:QQ盗号木马之手动查杀

    一、前言         之前在《病毒木马查杀第002篇:熊猫烧香之手动查杀》中,我在不借助任何工具的情况下,基本实现了对于“熊猫烧香”病毒的查杀。但是毕竟“熊猫烧香”是一款比较简单的病毒,它并没有采...

    2014-12-23 17:16
    1704
  • 病毒木马查杀实战第008篇:熊猫烧香之病毒查杀总结

    一、前言         之前用了六篇文章的篇幅,分别从手动查杀、行为分析、专杀工具的编写以及逆向分析等方面,对“熊猫烧香”病毒的查杀方式做了讨论。相信大家已经从中获取了自己想要的知识,希望大家在阅读...

    2014-11-21 12:55
    2407
  • 病毒木马查杀实战第007篇:熊猫烧香之逆向分析(下)

    一、前言         这次我们会接着上一篇的内容继续对病毒进行分析。分析中会遇到一些不一样的情况,毕竟之前的代码我们只要按照流程顺序一步一步往下走,就能够弄清楚病毒的行为,但是在接下来的代码中,如...

    2014-11-20 15:12
    2043
  • 病毒木马查杀实战第006篇:熊猫烧香之逆向分析(中)

    一、前言         上一篇文章讲解了“熊猫烧香”病毒样本的反汇编代码入口处的分析,虽然尚未研究到病毒的核心部分,但其实我们后续的分析与之前的思想是一致的。而越到核心部分,可能会遇到越来越多的AP...

    2014-11-18 15:11
    1936
  • 病毒木马查杀实战第005篇:熊猫烧香之逆向分析(上)

    一、前言         对病毒进行逆向分析,可以彻底弄清楚病毒的行为,从而采取更有效的针对手段。为了节省篇幅,在这里我不打算将“熊猫烧香”进行彻底的分析,只会讲解一些比较重要的部分,大家只要掌握了这...

    2014-11-17 12:29
    2935
img博客搬家
img撰写博客
img专家申请
img意见反馈
img返回顶部