Linux操作系統(tǒng)下手動(dòng)分析病毒樣本技巧

　　原理:利用md5值的不同進(jìn)行文件的對(duì)比。

　　操作背景：

　　1. XP安裝光盤；

　　2. 病毒樣本；

　　3. U盤；

　　4. Ubuntu 7.10 LiveCD

　　5.所需的幾個(gè)對(duì)比md5和轉(zhuǎn)化二進(jìn)制文件格式的程序

　　操作過程：

　　1. 全盤格式化，同時(shí)安裝Windows(也可采用ghost回去，但是一定注意其他磁盤可能的病毒感染)

　　2. 在剛裝好的Windows下，導(dǎo)出注冊(cè)表。將導(dǎo)出文件放入C盤根目錄下。這里我命名為1.reg

　　3. 進(jìn)入U(xiǎn)buntu系統(tǒng)，注意，進(jìn)入前f2選擇簡(jiǎn)體中文模式

　　4. 掛載C盤：

　　mkdir /mnt/hdd1 (生產(chǎn)系統(tǒng)C盤掛載點(diǎn))

　　mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (將系統(tǒng)C盤掛載到/mnt/hdd1下，注意文件格式和設(shè)備號(hào)視具體情況而定)

　　5. 掛載U盤：

　　mkdir /mnt/usb (生成U盤掛載點(diǎn))

　　mount -t vfat /dev/sda1 /mnt/usb (將U盤掛載到/mnt/usb下，同樣注意文件格式和設(shè)備號(hào))

　　6. 將導(dǎo)出的注冊(cè)表信息放入U(xiǎn)盤：

　　假設(shè)U盤上已經(jīng)有test目錄，同時(shí)，在test目錄下有parse.sh，parseWinReg，ShowList 三個(gè)程序

　　cp /mnt/hdd1/1.reg /mnt/usb/test (將導(dǎo)出注冊(cè)表拷貝至/mnt/usb/test目錄下)

　　cd /mnt/usb/test (進(jìn)入U(xiǎn)盤test 目錄)

　　./parseWinReg 1.reg origreg (將導(dǎo)出注冊(cè)表進(jìn)行格式轉(zhuǎn)換，生成origreg)

　　7. 計(jì)算C盤所有文件md5值：

　　rm /mnt/hdd1/pagefile.sys (這個(gè)文件太大影響計(jì)算速度，刪除)

　　/mnt/usb/test/parse.sh /mnt/hdd1/

億恩科技地址(ADD)：鄭州市黃河路129號(hào)天一大廈608室 郵編(ZIP)：450008 傳真(FAX)：0371-60123888
   聯(lián)系：億恩小凡
   QQ：89317007
   電話:0371-63322206

服務(wù)器租用/服務(wù)器托管中國五強(qiáng)！虛擬主機(jī)域名注冊(cè)頂級(jí)提供商！15年品質(zhì)保障！--億恩科技[ENKJ.COM]