数种病毒样本格式:
1卡巴斯基式病毒分析
详细到骨子里.有意图分析和模板关系.编写者特征等.IP溯源家常便饭.
2金山火眼式
基本信息 火焰点评 危险行为 其它行为
行为描述 附加信息 注册表监控 网络监控
值得注意的是火眼使用最多两种哈希来确定一个样本.当然你可以使用其一.
3Comodo(毛豆)在线分析式
这是一张典型的使用毛豆进行扫描的结果:
Comodo的通过SHA256来进行样本查询操作:
4.SysTracer的监控报告
这里应该简单介绍一下SysTracer,它是一款行为追踪监控程序.”丧心病狂”地使用了大量的钩子:Shadow SSDT的667个函数全部被钩,SSDT也未能”幸免”,总共284个函数除了NtAcceptConnectPort,NtAddAtom,NtDeviceIoControlFile,NtYieldExecution外的280个函数全部被钩.这保证了一般恶意程序的行为会被完整地记录下来.值得注意的一点是,以往的跟踪经验发现互斥对象的建立并没有被SysTracer记录.此外由于机制所限对于内核程序的行为SysTracer就素手无策了.
以下是它的监控报告:
漏洞的利用?
强势的 自我保护 通常是为了掩盖更多的信息.也以为这制作者的团队规模非同寻常.这往往伴随着大量的机器被感染并可能组成 僵尸网络 .
这样的程序值得我们去用 卡巴斯基式分析 去探究.以使我们对样本研究给其它反病毒工程师提供更多信息.
