如何捕获电脑病毒样本

众所周知，计算机病毒与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。

长期操作电脑者会发现，病毒往往紧跟计算机的发展步伐，升级换代频繁，从最初的破坏软件发展到损毁硬件，令人对计算机病毒既怕又恨，防不胜防。因此，及早发现和清除病毒，是将病毒产生的危害降低到最低限度的重要手段，如果在已经安装了防病毒软件且病毒定义码和病毒查杀引擎是最新版本的情况下，病毒仍然发作并造成文件丢失或系统破坏，那么，这就是最新的病毒在发作。这时，就应提取新病毒样本，供反病毒专家分析研究，以便在最短的时间内更新病毒代码库。提取新病毒样本的方法如下:

一、引导型Boot病毒的捕获

引导区类型的病毒提取很简单，首先利用Format A: /S将引导系统文件复制到软盘中，然后再将的硬盘中的一些系统执行文件一同拷贝到软盘中。具体步骤如下: 进入MS-DOS方式，格式化一张系统盘，Format A: /s ，针对不同的系统，请将如下文件拷贝到这同一张软盘之中:

对于Windows 3.x: 拷贝 \Windows\System下的 gdi.exernl286.exe、progman.exe三个文件。

对于Windows 95/98/ME: 拷贝 \Windows\System下的 gdi.exe、krnl386.exe、progman.exe三个文件。(见图1)

图1

对于Windows NT、Windows 2000: 拷贝 \Windows\System32下的 gdi.exe、krnl386.exe、progman.exe 三个文件。

如果格式化软盘时出现死机，请按下列步骤提取:请在该软盘的标签上写明“damaged during infected format as boot disk”。

针对不同的系统的上列文件，拷贝到不同的软盘中，方法同上。

二、文件型File/Macro病毒的捕获

如果你怀疑病毒是文件型，将C盘根目录下的command.com文件拷贝到软盘上，取名为command,即去掉扩展名。

如果你怀疑病毒是MS Word宏病毒，将C:\Program Files\Microsoft Office\Templates目录下的“"normal.dot”文件和C:\Program Files\Microsoft Office\Office\Startup 目录内的所有文件拷贝到软盘。(见图2)

图2

如果你怀疑病毒是MS Excel宏病毒，将XLSTART目录内的所有文件拷贝到软盘。XLSTART位于计算机的多个地方，用Windows搜索功能查找"XLSTART"找到所有的目录，然后将这些目录下的文件全部拷贝到软盘。

如果你怀疑病毒是PowerPoint宏病毒，做以下操作:打开一个空的Power Point文件，然后把它另存为一个文件，保存类型选为“演示文稿设计模板”，然后将此扩展名为.pot文件拷贝到软盘。

请在该软盘的标签上写明“contains infected files”，并尽量让软盘存入尽可能多的带毒文件。

将软盘做成一个影像文件。

三、Trojans病毒的捕获

运行regedit.exe文件打开注册表编辑器。记录下来下面注册项中涉及到的文件。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中涉及到的文件。(如图3)

图3

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中涉及的文件。

打开Win.INI文件，将文件中“load=” 和“ run=” 行中涉及的文件记录下来。

按如上信息确定文件名和它们所在的目录，并将这些文件压缩到一个zip文件中。

四、几款病毒工具软件

ClrText.zip:当你提交的病毒是Word或Excel宏病毒时，这个工具软件可以将你的感染文件的内容清除，而只保留宏，从而可以避免你的保密信息泄露。

SaveMBR.zip:这个工具软件可以将你的感染硬盘的MBR读到一个文件中，然后把文件发送到NAI进行病毒分析。

RWFLOPY.zip:RWFloppy 软件可以恢复或生成软盘影像文件。它的作用是当你不想通过邮寄软盘的方式发送病毒样品时，可以用它生成一个影像文件通过电子邮件发送。特别是对于引导区病毒，由于它隐藏在软盘的80、81扇区，而一般的软件无法读取这两个扇区。

Readt80.zip:为了正确检测BOOT区病毒，我们需要一张包含病毒的软盘。可以通过DOS状态下格式化一张系统软盘来得到:FORMAT /S A:

需要软盘的原因是:引导区病毒通常把自己隐藏在一般DOS软件不能读取的地方(对于1.44M软盘有80个扇区，从 0 到 79，引导区病毒把病毒代码隐藏在80、81 扇区)

如果你用一般的软件来生成一个软盘影像文件，这个影像文件不包含80和 81扇区，所以也就无法进行分析病毒。这个软件就是用来把软盘中包含病毒代码的80、81扇区读出来写到一个文件中去。

SYSU.zip:这个软件用来恢复被多种宏病毒感染的系统。

本文转自starger51CTO博客，原文链接：http://blog.51cto.com/starger/20060 ，如需转载请自行联系原作者

如何捕获电脑病毒样本相关推荐

智能化防杀未知电脑病毒探讨
智能化防杀未知电脑病毒探讨金州[est_vip] 2006.8.21 <?xml:namespace prefix = o ns = "urn:schemas-microsoft-c ...
世界著名电脑病毒排行榜
NO1. CIH病毒最有名的当然是CIH了.CIH病毒传播的主要途径是Internet和电子邮件,当然随着时间的推移,它也会通过软盘或光盘的交流传播他的破坏方式是:CIH病毒只感染Windows ...
2007年中国电脑病毒疫情及互联网安全报告(全文)
2007年,互联网迅猛发展,网络应用日益广泛与深入,网络炒股.网络游戏.网银用户大幅增长:与此同时病毒的"工业化"入侵以及"流程化"攻击等特点越发明显,以熊猫 ...
电脑病毒猛于虎，但这些坏习惯猛于病毒
本文于2019年02月18日首发于IT之家. 地址:点击这里上周,微软工程师Matt Miller在Blue Hat会议上透露的数据揭示,Windows漏洞的实际破坏性正在降低.得益于安全工程师的辛 ...
计算机病毒洛,蓝狐动漫《百变机兽》中未完的战争，蓝毒兽原来是电脑病毒？...
原标题:蓝狐动漫<百变机兽>中未完的战争,蓝毒兽原来是电脑病毒? 最近,好久没有更新了,因为最近找到一部非常好看的童年动漫<百变机兽>,然后就一直追剧.今天和大家一起聊聊< ...
Android版本的Wannacry文件加密病毒样本分析(附带锁机)
一.前言之前一个Wannacry病毒样本在PC端肆意了很久,就是RSA加密文件,勒索钱财.不给钱就删除.但是现在移动设备如此之多,就有一些不法分子想把这个病毒扩散到移动设备了,这几天一个哥们给了一个 ...
勒索病毒病毒样本研究_我们能否通过快速，开放的研究来应对寨卡病毒？
勒索病毒病毒样本研究寨卡病毒的主要问题之一是对其知之甚少. 这意味着许多研究必须非常快地完成. 寨卡病毒是全球卫生紧急情况的核心. 自2015年爆发以来,它已成为全球卫生紧急情况,并可能与先天缺陷有 ...
小学计算机病毒与危害的课,第一课《电脑病毒与危害》.ppt
<第一课<电脑病毒与危害>.ppt>由会员分享,可在线阅读,更多相关<第一课<电脑病毒与危害>.ppt(8页珍藏版)>请在人人文库网上搜索. 1.虎贝中 ...
教你如何与电脑病毒打游击
很多人每天上网都要小心翼翼的,生怕电脑病毒来袭.也有很多人报怨杀毒软件杀不了病毒....对于电脑病毒,真的是令人头疼的一件事,网络上的病毒多种多样,令人防不胜防,我们杀不了,那我们避开它,这也总算达 ...
有电脑病毒就会有杀毒软件！李开复和MIT彭特兰这样看AI挑战
MIT-CHIEF 出品量子位转载 | 公众号 QbitAI 近日,创新工场董事长兼CEO李开复博士与阿莱克斯·彭特兰教授(Alex Pentland)展开了一场"AI如何重塑人类社 ...

如何捕获电脑病毒样本

如何捕获电脑病毒样本相关推荐

最新文章

热门文章