如何分析病毒的行为？（转自卡饭论坛，作者：zuo）

seely

继上次介绍如何分析未知文件是否安全之后，在给大家写一部文章，介绍如何跟踪病毒的行为。本文专为那些正在学习安全知识的童鞋而写。

首先，分析病毒的行为方法数不胜数。决不仅限于下面几种方法，除了下面几种以外，还可以用快照对比软件，sysanalyze，softice、olydbg等。但这些都不怎么常用，这里就不介绍了。

第一种 在线沙盘分析
有许多在线沙盘可供选择，这些在线沙盘其实也就是在线行为分析网站。本人推荐的有http://camas.comodo.com/和
http://www.threatexpert.com/submit.aspx，这些网站会详细列出文件的行为，包括创建的进程，文件，注册表项，值，以及插入的线程等。下面这个是COMODO在线沙盘的教程，大家自己琢磨一下就可以了，这里就不多说了，http://bbs.kafan.cn/thread-397652-1-1.html



第二种 手动HIPS分析
这也是最常用的一种，通过给手动HIPS编写规则，定义一些危险的行为。当有程序触发这些规则时，便会按照规则做出相应的反应。这样便可以直观的看出病毒的行为。这里建议大家在虚拟机里安装，因为不能排除HIPS会漏掉一些动作，所以最好在虚拟机里测试病毒。
下面我用一个实例为大家说明，这里用MD来说明，其他的HIPS的用法可以去HIPS区找教程。

病毒样本下载地址：http://bbs.kafan.cn/thread-885050-1-1.html
病毒包情况：


首先双击病毒样本……。MD弹框，这里你可以阻止，也可以允许，如果你想要完整的看到病毒所有的危险动作，建议你一路点允许。但是如果是多样本测试，这样就不太合适了，最好点阻止。这里我点阻止。有的病毒动作并不是一下子就全都显示出来的，你要耐心等待，等到进程结束了，或长时间没有任何反应了，才算结束。


这时在日志一栏里点击右键，选“全部选定”再点“多行复制”。然后把它粘贴到文本文件里，或在论坛里相应的帖子里跟贴。一份详细的日志会被导出，这时，病毒的危险行为便会一览无余了。



第三种 用process monitor分析
  Process Monitor一款系统进程监视软件，总体来说，Process Monitor相当于Filemon+Regmon，其中的Filemon专门用来监视系统中的任何文件操作过程，而Regmon用来监视注册表的读写操作过程。
    有了Process Monitor，使用者就可以对系统中的任何文件和注册表操作同时进行监视和记录，通过注册表和文件读写的变化，对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说，非常有用。
下面就以正常程序QQ为例，介绍如何使用 process monitor。
首先，运行process monitor，(因为虚拟机中没有安装什么软件，所以就在实机中运行了)

然后打开QQ，登录账号。右键单击QQ.exe，选择“Include"QQ,exe：”一项，过滤掉其他无关程序。你还可以通过上面那四个按钮调整要检测的范围。

你瞧，QQ的动作一览无余了。如果运行的是病毒的话，病毒的任何操作都逃不过process monitor的监控，你就可以检查是否有可疑的动作了。这样的结果比HIPS要全面，但是缺点也很明显：不够直观，需要从一大堆动作中去筛选。

第四种 沙盘
通过沙盘也一样可以分析病毒的行为，可以查看病毒向电脑里注入了那些文件。不过这种方法不能用来检查注册表，对文件的修改和删除等所以自然很少用到。


下面我来介绍一下沙盘的用法，你可以用沙盘运行病毒，等病毒差不多部署完毕了，再结束掉病毒进程，然后单击沙盘——Defaultbox——浏览保存内容，看病毒生成了一些什么文件。

这里我更推荐使用第二种方法：单击沙盘——Defaultbox——在沙盘中运行——运行windows资源管理器,打开沙化资源管理器。
然后依次打开C盘——sandbox——“你的用户名”——DefaultBox  一样可以查看沙盘里的内容。而且更加安全，防止不慎误点病毒生成的文件。







[size=0.83em]2011-1-9 11:50 上传
下载附件 [size=0.83em](64.35 KB)







查看到病毒添加的文件后，就可以基本判断出病毒属于哪一类的了，有的会添加随机字符的文件，有的会在临时文件夹内添加一大堆文件，视情况而定。
所说的，分析的方法远不止这么多。如果有什么错误还请诸位高手指出。

离家的人

看的我头疼

天涯孤鸿