日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

木馬 對一款病毒程序的分析

云知道

對一款病毒(木馬)程序的分析普通用戶一聽到病毒(木馬)軟件,就會覺得很神秘,雖然它聽起來比較專業(yè)不是普通用戶所能掌握的,其實它們并不如想象中的那么神秘,所有病毒(木馬)軟件都要借助一定的媒介和載體,網(wǎng)絡(luò)和優(yōu)盤(移動設(shè)備等)是病毒傳播的主要媒介 。病毒和木馬程序表現(xiàn)在細(xì)微之處,那就是它們必須在磁盤中以文件形式存在,它們會采取一定的策略和多種方法來隱藏自己,因此通過跟蹤和分析病毒文件可以徹底的清除病毒(木馬)程序 。本文就是從文件的角度去清除一款病毒程序 。
【木馬 對一款病毒程序的分析】 (一)識別病毒在本文中已經(jīng)對木馬病毒文件進(jìn)行了精確的定位,即文件wmgtpvd.exe為病毒文件 。病毒文件的定位有以下幾種方式:(1)使用殺毒軟件對磁盤文件進(jìn)行殺毒掃描,掃描結(jié)束后,病毒軟件會顯示查殺結(jié)果,在這些結(jié)果中,查殺到的病毒文件往往以紅色進(jìn)行醒目顯示 。
(2)使用抓包工具進(jìn)行端口監(jiān)聽 。計算機啟動后,默認(rèn)狀況下不進(jìn)行任何正常應(yīng)用程序的網(wǎng)絡(luò)連接,如果在抓包工具中發(fā)現(xiàn)有網(wǎng)絡(luò)連接,那么可以認(rèn)為,系統(tǒng)可能存在木馬程序,在對外進(jìn)行網(wǎng)絡(luò)連接 。
(3)使用一些進(jìn)程查看軟件進(jìn)行查看 。
(二)查看病毒屬性選中“wmgtpvd.exe”文件后,右鍵單擊,在彈出的菜單中選擇“屬性”,然后在“wmgtpvd.exe屬性”中選擇“版本”進(jìn)行版本信息等查看,如圖1所示 。
圖1 查看病毒程序文件屬性說明:(1)通過文件屬性可以查看該木馬程序的產(chǎn)品版本、產(chǎn)品名稱、公司以及語言等信息 。通過文件屬性主要了解該病毒可能是來自那個國家,不過有些病毒編寫者會混淆語言,比如病毒編寫者是日本人,他的本國語言應(yīng)該是日語,但他編寫的語言采用英語,因此查看文件屬性中顯示為“English”,不能判斷該程序就是英國人編寫的 。(2)通過文件的描述進(jìn)行相關(guān)搜索和判斷 。透過文件描述來判斷該程序是否為系統(tǒng)或者應(yīng)用程序正常文件 。這個判斷往往跟經(jīng)驗相關(guān),普通用戶判斷相對較難 。不過網(wǎng)絡(luò)搜索可以解決該問題 。打開瀏覽器后可以在百度以及Google等搜索引擎中查找該文件的相關(guān)信息,如圖2所示 。在Google中沒有查到該病毒文件的任何信息,后面我又在百度中進(jìn)行了搜索,也沒有任何結(jié)果 。該文件太過于生疏,因此極有可能是非流行病毒程序 。由于目前網(wǎng)絡(luò)用戶過億,很多用戶會在碰到病毒后將碰到的問題發(fā)表在bbs等處以獲取幫助 。圖2 通過Google等搜索引擎查找病毒信息(三)通過工具軟件打開病毒文件,獲取病毒文件相關(guān)信息 對于exe文件不要直接運行,可以使用Winhex或者UltraEdit等工具軟件使用二進(jìn)制格式方式打開病毒文件,打開后依次從上往下查看右邊的信息,如圖3所示,可以發(fā)現(xiàn)該病毒文件是以將病毒插入到svchost.exe進(jìn)程,且會訪問網(wǎng)站地址:http://zht.9966.org/worldmanage/default.aspx 。

    推薦閱讀