社区 › Linux › 带来一篇在Linux操纵体系动手动剖析病毒样本技能

若相依 发表于 2015-1-16 16:32:08

带来一篇在Linux操纵体系动手动剖析病毒样本技能

RedHatCentOS等等.学习linux不是逛自由市场,选定版本就要静下心来学习.不要今天换版本明天要升级.这样对你没有好处。
道理：使用md5值的分歧举行文件的对照。
操纵背景：
1.XP安装光盘；
2.病毒样本；
3.U盘；
4.Ubuntu7.10LiveCD
5.所需的几个对照md5和转化二进制文件格局的程序
操纵历程：
1.通盘格局化，同时安装Windows（也可接纳ghost归去，可是必定注重其他磁盘大概的病毒传染）
2.在刚装好的Windows下，导出注册表。将导出文件放进C盘根目次下。这里我定名为1.reg
3.进进Ubuntu体系，注重，进进前f2选择简体中文形式
4.挂载C盘：
mkdir/mnt/hdd1（临盆体系C盘挂载点）
mount-tntfs-oiocharset=cp936/dev/hdd1/mnt/hdd1（将体系C盘挂载到/mnt/hdd1下，注重文件格局和设备号视详细情形而定）
5.挂载U盘：
mkdir/mnt/usb（天生U盘挂载点）
mount-tvfat/dev/sda1/mnt/usb（将U盘挂载到/mnt/usb下，一样注重文件格局和设备号）
6.将导出的注册表信息放进U盘：
假定U盘上已有test目次，同时，在test目次下有parse.sh，parseWinReg，ShowList三个程序
cp/mnt/hdd1/1.reg/mnt/usb/test（将导出注册表拷贝至/mnt/usb/test目次下）
cd/mnt/usb/test（进进U盘test目次）
。/parseWinReg1.regorigreg（将导出注册表举行格局转换，天生origreg）
7.盘算C盘一切文件md5值：
rm/mnt/hdd1/pagefile.sys（这个文件太年夜影响盘算速率，删除）
/mnt/usb/test/parse.sh/mnt/hdd1/>/mnt/usb/origfile（盘算磁盘文件md5值，并将了局导出至U盘test目次下origfile）
8.从头进进Windows，同时，引发病毒文件
注重：先将病毒文件放进磁盘，拔失落U盘，拔失落网线，再引发！
9.反复3，4，5，6，7步骤
mkdir/mnt/hdd1
mount-tntfs-oiocharset=cp936/dev/hdd1/mnt/hdd1
mkdir/mnt/usb
mount-tvfat/dev/sda1/mnt/usb
cp/mnt/hdd1/2.reg/mnt/usb/test（这里假定导出的注册表是2.reg）
cd/mnt/usb/test
。/parseWinReg2.regnewreg
rm/mnt/hdd1/pagefile.sys
/mnt/usb/test/parse.sh/mnt/hdd1/>/mnt/usb/newfile
10.至此，我们失掉了原始的体系信息：origreg，origfile，中病毒以后的信息：newreg，newfile
11.对照文件分歧的地方：diff-Nurorigfilenewfile>filediff
12.对照注册表分歧的地方：diff-Nurorigregnewreg>regdiff
13.剖析filediff和regdiff，失掉结论
剖析小技能：一样平常情形下后面呈现+的就是病毒开释的，-就是有过修改的（传染的），假如是md5值是成双成对呈现（一个+和一个-），那那一行一样平常不是，假如后面没有任何标志，那申明也不是。我们把没用的删除，只留下有单个+大概单个-的，最悦目文件路径，即失掉了病毒的发生文件大概是传染文件

</p>
在这里你会学到更多的知识，学习linux，更要学习一种geek的精神，python之禅中也说过：以总结分享为荣，以跪求其解为耻；

爱飞 发表于 2015-1-17 16:00:33

最好先搜寻一下论坛是否有您需要的文章。这样可以获得事半功倍的效果。

若天明 发表于 2015-1-20 23:04:09

在学习linux的工程中，linux学习方法有很多种，这里是小编的学习心得，给大家拿出来分享一下。

冷月葬花魂 发表于 2015-1-30 07:26:25

期间我阅读了不少关于Linux的相关资料，其中也不乏一些有趣的小故事，这既丰富了我的课余生活，也让我加深了对一些术语的理解，比玩游戏强多了。?

第二个灵魂 发表于 2015-2-6 08:14:04

随着Linux应用的扩展，出现了不少Linux社区。有一些非常优秀的社区往往是Linux高手的舞台，如果在探讨高级技巧的论坛张贴非常初级的问题经常会没有结果。

海妖 发表于 2015-2-15 19:45:39

选择一些适于初学者的Linux社区。

若相依 发表于 2015-3-4 13:41:00

把这个问题放在其他Linux社区请求帮助也是一种选择。如果Linux得不到答案，请不要以为我们觉得无法帮助你。有时只是看到你问题的人不知道答案罢了。这时换一个社区是不错的选择。

兰色精灵 发表于 2015-3-11 19:51:37

学习Linux半年了~个人认为不会的多在网上找资料网上有很多资料可以搜索到,LS那位说放手去搞。

谁可相欹 发表于 2015-3-19 10:44:37

我感觉linux的学习,学习编程~!~!就去学习C语言编程!!

精灵巫婆 发表于 2015-3-27 20:43:00

一些显而易见的小错误还是用vi改正比较方便。以后的大一点的程序就得在Linux下调试了，因为有的头文件在VC里面说找不到。?

查看完整版本: 带来一篇在Linux操纵体系动手动剖析病毒样本技能