【详细】如何分析病毒

一、获取病毒的基本信息：

1、病毒的MD5值或SHA1值：我们知道MD5与SHA1都是不可逆的加密算法，不同文件的MD5值或SHA1值是不一样的。病毒文件只要稍被修改，那么这个MD5值或SHA1值肯定就会变化！故以此来判别这个病毒文件是否被修改了。一般情况下，我们只需要知道MD5值就OK，获得文件的MD5值可以使用专门的小软件miniMD5.exe。

2、病毒的加壳类型及编写语言：加壳是为了保护自身以达到免杀目的，也就是加了段保护程序。我们可以用PEiD.exe来获得病毒文件的加壳信息以及编写语言。

3、病毒文件大小：直接查看病毒文件属性即可。

4、病毒名称：不同杀毒软件给出的同一病毒的名称会不一样，病毒名称的命名也是有规律的。可以使用多引擎在线查毒的服务来获得病毒名称，比如这个网站http://www.virustotal.com/。当然我直接就用病毒库为最新的卡巴查知。如果查不出病毒名称，那么恭喜你，这个毒是最新的！

病毒的其他基本信息，比如：病毒类型（木马or蠕虫or下载者等等）、病毒作用范围之类的，我们这些业余的反病毒人士只要心中有数即可，这些基本信息对我们没太大的帮助。最有意义的在于获知这个病毒的行为！

二、获得病毒的行为信息：

了解了病毒的基本信息后，我们要开始分析病毒的行为，这也许是最刺激的环节，但往往有时候是枯燥的，因为你将做大量的重复工作，不过我认为应该存在这样的软件：

当你运行病毒后，这个软件会自动分析病毒的行为，然后生成分析报告（TXT格式或最好XML格式的文件），并且此软件将自动根据生成的分析报告制造出专杀工具雏形！

我认为这是有可能的，并且我会尝试这个……虽然我现在的实力不够。如何分析病毒的行为信息？我使用SSM（System Safety Monitor）或Tiny Firewall 2005，习惯使用Tiny Firewall 2005。SSM属于HIPS（主机入侵防御系统）类软件。HIPS软件是以进程为判断核心的，对进程产生的行为（运行、访问网络、访问注册表、访问文件、注册驱动、进程注入、组件调.用等）进行实时监控。对于这些行为，HIPS都会返回对话框询问用户是否允许，并根据用户的选择进行记忆。正是根据这个特征，我们就可以使用HIPS软件进行病毒的行为分析……

1、当然我认为Tiny Firewall 2005（以下简称TF）是具有HIPS功能的优秀软件，这是好友westbeck推荐的。分析病毒时，打开TF的所有保护。然后运行病毒，TF弹出对话框：

我现在分析的是CNNIC，这个可.恶的插件。如上图，当我双击这个插件准备激活它的时候，TF弹出了拦截窗口：“这是未知的应用程序，它有可能是最近安装上的，也有可能是木马，请选择你想做的：”看，这个对话框也给出了这个文件的MD5值，不过我们无法复制（所以我推荐mimiMD5.exe了^^），由于我们知道这个文件是不安全的并且我们要对它的行为进行测试。所以我们选择THIS TIME ONLY的"Run with Default Security"。接着看下图：

能看懂么？很简单，这个插件在Set registry key value（设置注册表键值--在注册表操作！），上图给出了操作注册表的路径，你将鼠标移到路径上就可以查看完整.路径了。我们继续分析，看看这个CNNIC到底想干什么！点击"Allow"，然后会弹出一个小对话框，点击"OK"即可，接着TF继续弹出拦截窗口，如下图：

这个插件在Create file（创建文件）C:\windows\system32\drives\dxwahg.sys。dxwahg.sys就是这个插件的驱动文件！然后我们继续"Allow"，继续获知病毒.的行为信息，直到病毒行为结束……就这样，你将获知到这个病毒相对全面的信息了！

2、对于一些需要连接Internet的病毒（比如：下载者Downloader，这太令人抓狂了，往往因为此而中一大堆其他病毒……），我们可以用一下抓包软件进行跟踪。抓取病毒与Internet交流的信息！关于这方面的信息可以参考我这篇文章：对木马的一次跟踪。

3、有时候我们还可以通过这样方法来获得病毒更深一层的信息，不过这不太必要。但是这样能提高自己的技术：反汇编！这涉及到软件的加密解密技术，需要汇编与反汇编的知识，结合静态分析技术与动态分析技术进行病毒的调试以获得更深的信息……我是这个领域的菜鸟，正在深入中。现在还无法介绍这个，有兴趣而又很疯狂的朋友可以去尝试：）。对于一般的.反病毒人士有以上两点的掌握就足够了……

最后说明几点：关于如何分析病毒，估计每个人的做法都不太一样，但是原理是相同的，只要知道原理，即可举一反三。我的实力有限，这个话题只能从我的实践出发。病毒测试的环境，可以在虚拟机下（建议），影子系统下（方便），专门用来测试病毒的电脑（你要是有的话）。测试病毒时最好将网络接通，将不必要的程序关了。注意每个细节！

病毒就这样分析完了。分析病毒的好处是，我们可以更好的杀毒，并依据此而写出专杀。当然上面介绍的工具是我习惯用的，还有许多很优秀的软件可以配合使用。比如：procexp.exe、sreng以及其他HIPS软件等等。工欲善其事，必先利其器！工具的熟练使用是很有必要的。多掌握些技术，没有坏处。反病毒人士也可以写病毒，这很正常！

最后给出文中提到软件的下载地址：

影子系统简单教程与下载地址：http://www.skycn.com/article/4379.html
Tiny Firewall 2005：http://www.skycn.com/soft/3216.html
SSM(System Safety Monitor)：http://www.skycn.com/soft/24429.html
推荐其他HIPS软件：微点主动防御软件、SNS、GSS、EQSecure……好多呢，自己可以上网搜索。其他软件都可以到我网盘上找http://ycosxhack.ys168.com/。

这篇文章是在我的分析病毒实践中总结出来，我不清楚其他反病毒人士是如何分析病毒，但是原理就是这样，大家可以继续推荐一些方法与好软件。