我要投搞

标签云

收藏小站

爱尚经典语录、名言、句子、散文、日志、唯美图片

当前位置:六合生肖表 > 反病毒 >

懂反病毒的来 虚拟机如何病毒测试

归档日期:08-25       文本归类:反病毒      文章编辑:爱尚语录

  虚拟机中如何部署病毒测试系统?一个陌生文件,在虚拟机里面跑,要能测试出文件的活动,注册表活动和网络活动等?包括系统底层的访问等?该如何弄?那些防病毒公司的技术人员是怎么部...

  虚拟机中如何部署病毒测试系统?一个陌生文件,在虚拟机里面跑,要能测试出文件的活动,注册表活动和网络活动等?包括系统底层的访问等?该如何弄?那些防病毒公司的技术人员是怎么部署的?懂的人麻烦说下

  可选中1个或多个下面的关键词,搜索相关资料。也可直接点“搜索资料”搜索整个问题。

  装好系统,装好必要的工具,开整~~就行了~如果你需要的是类似于“蜜罐”的自动分析监控系统,那就比较麻烦了~各大安全厂商自己都是组织专业人员在做。少数也有对外销售的~但一般而言都是价格不菲,而且未必就好用。

  一个陌生文件,在虚拟机里面跑,要能测试出文件的活动,注册表活动和网络活动等?

  行为监控的话,原来是FileMon和RegMon,现在被集成到一个ProcMon中了,可以同时监控系统中所有进程的文件操作、注册表操作、线程操作、网络操作等行为,信息量极大。用的时候要根据需要过滤。ProcMon已经被集成到微软的“Sysinternals Suite”工具套装中了,可以去搜一下,免费的,很好用,里面还有不少其他实用的系统工具。

  底层一些的建议用HIPS类软件(上面的行为监控也可以用这个),例如:COMODO、Malware Defender、SSM等。可以监控每一个程序的每一步操作,并按照需要选择拦截还是放行,看的非常清除。但缺点就是太麻烦~~

  装好虚拟机,装好软件,一步一步看就行了,主要软件就是以上这些,还有几个我下面会提到。至于哪一个动作是病毒动作,那就看你对病毒行为的熟悉程度了~我这就没法一一说明了~~如果怎么装虚拟机怎么装软件都不会~我个人建议那就先别讨论分析病毒的问题了

  大体上就是上面这些东西。当然,必要的代码分析工具是绝不能少的。毕竟行为监控有许多的限制:你的测试环境没有满足病毒的运行要求怎么办?病毒文件已经损坏无法运行怎么办?病毒文件压根就不是可自运行文件怎么办(DLL、SYS之类的PE文件)?病毒绕过了你的监控怎么办?

  而代码分析是最根本的方案。代码分析一般分为静态和动态两种:静态分析的首选工具毋庸置疑是IDA Pro,强大的程度已经超出了人类可以阻止的范围了……不但本身跨Win、Linux、Mac三大平台,可分析的代码也从各大平台的可执行程序到PSP、S60平台应用程序无所不有,异常的强大;动态分析一般用OllyDBG、WinDBG、SoftICE等(Linux下要用到GDB或EDB),一般ring3上的32位代码还是用OllyDBG来分析更方便,其他OllyDBG没法分析的,就交给WinDBG和SoftICE吧,强大但比较麻烦的两个工具。具体分析到什么程度,还看你Windows API、汇编、算法等方面的熟悉程度了。大方向来看就这些~还有其他一些的小程序——查壳、反-反虚拟机工具、网络抓包工具等等,就看你用什么了,零七八碎的东西还是很多的,就不一一介绍了~

  当然,如果你需要的是“蜜罐”~~要么去买一个……很贵的……要么就自己试着做~~我印象里有相关的教程,但能作成什么样,就看你有没有神级的编程技巧了……

  用冰刃查看文件的释放路径并监视端口的开放和绑定,用木马辅助查找器定位可以文件,这样基本就可以确定病了,,如果想清楚病毒,可以在虚拟机测试之前创建一个快照,,测试完还原就OK了,

本文链接:http://oms15.com/fanbingdu/691.html