能力值:
( LV4,RANK:50 )
|
-
-
2 楼
依據敏感API定位惡意代碼
敏感API包括:網路操作相關函數,註冊表操作相關函數,文件操作相關函數
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
用IDA反汇编后查它的引入表,看看引入了哪些可疑的API,如createfile,socket,RegCreateKey之类
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
我也正在学习中。
|
能力值:
( LV9,RANK:1250 )
|
-
-
5 楼
虚拟机里搞比较好.
基本只要下断:CreateFileA,DeleteFileA,CopyFileA即可.
另外开启regmon.exe,filemon.exe监视.
病毒也就那些步骤,添加进程,拷贝释放病毒,修改注册表,添加服务,从网络下载其他病毒文件,恶劣点的感染文件.
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
谢谢各位,不过我还是有点疑问,因为那篇CIH病毒的分析文章把病毒分析的实在是太透彻了。
因为CIH是个很伟大的病毒,病毒里面利用了很多独特的获取系统Ring0权限的技术,如果只是监视一些函数,那病毒用了系统的什么漏洞,又是用什么技术就根本看不到啊。
不知道有没有更详细的研究方法。
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
有人再解答下吗
|
|
|
|
