ccidnet????

出版日期:2001-10-31 总期号:442 本年期号:42

本期导读
热点聚焦
硬件世界
CCE评测
软件.net
数码娱乐
社会培训
教育信息化
编读往来
 捕获病毒样本

书生、雪花

  病毒紧跟计算机的发展步伐,升级换代频繁,从最初的破坏软件发展到损毁硬件,令人对计算机病毒既怕又恨,防不胜防。因此,及早发现和清除病毒,是将病毒产生的危害降低到最低限度的重要手段,如果在已经安装了防病毒软件且病毒定义码和病毒查杀引擎是最新版本的情况下,病毒仍然发作并造成文件丢失或系统破坏,那么,这就是最新的病毒在作怪。这时,就应提取新病毒样本,以供反病毒专家分析研究,以便在最短的时间内更新病毒代码库。提取新病毒样本的方法如下:


  引导型Boot病毒的捕获
  引导区类型的病毒提取很简单,首先利用Format A: /s将引导系统文件复制到软盘中,然后再将硬盘中的一些系统执行文件一同拷贝到软盘中。具体步骤如下: 进入MS-DOS方式, 格式化一张系统盘,Format A: /s , 针对不同的系统,请将如下文件拷贝到这同一张软盘之中:

  对于Windows 3.x: 拷贝 \Windows\System下的 gdi.exe、krnl286.exe、progman.exe三个文件。

  对于Windows 95/98/Me: 拷贝 \Windows\System下的 gdi.exe、krnl386.exe、progman.exe三个文件。

  对于Windows NT/2000: 拷贝 \Windows\System32下的 gdi.exe、krnl386.exe、progman.exe 三个文件。

  如果格式化软盘时出现死机,请在该软盘的标签上写明“damaged during infected format as boot disk”。


  文件型病毒的捕获
  如果你怀疑病毒是文件型,将C盘根目录下的command.com文件拷贝到软盘上,取名为command,即去掉扩展名。

  如果是Word宏病毒,将C:\Program Files\Microsoft Office\Templates目录下的“normal.dot”文件和C:\Program Files\Microsoft Office\Office\Startup 目录内的所有文件拷贝到软盘(如图1)。


  图1

  如果是Excel宏病毒,将XLStart目录内的所有文件拷贝到软盘。XLStart位于计算机的多个地方,用Windows搜索功能查找“XLStart”,找到所有的目录,然后将这些目录下的文件全部拷贝到软盘。

  如果是PowerPoint宏病毒,做以下操作:打开一个空的PowerPoint文件,然后把它另存为一个文件,保存类型选为“演示文稿设计模板”,然后将此扩展名为pot文件拷贝到软盘。

  请在该软盘的标签上写明“contains infected files”,并尽量让软盘存入尽可能多的带毒文件。


  Trojans病毒的捕获
  运行regedit.exe文件打开注册表编辑器,记录下下面注册项中涉及到的文件。

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中涉及到的文件(如图2)。

  HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中涉及的文件。

  打开Win.ini文件,将文件中“load=” 和“ run=” 行中涉及的文件记录下来。

  按以上信息确定文件名和所在的目录,并将这些文件压缩到一个ZIP文件中。


  病毒的提交
  普通用户在捕获了病毒样本之后,很显然自己是没有能力进行研究的,此时最适宜的做法就是及时与相应的软件开发商联系并发送到开发部门。

  对于引导类型的病毒样本,因为一般都是提取至软盘中,所以用户可将磁盘直接送达病毒样本的接收处,或者以邮寄方式送至开发商处也可。


  图2

  对于文件型病毒及宏病毒的样本,有条件的用户可将染毒文件经压缩处理后以电子邮件方式发送到病毒样本接收处。引导型的病毒样本也可使用如HDCOPY之类的工具软件将整个磁盘制作成磁盘影射文件,然后压缩处理再通过电子邮件发送。

  而对于电子邮件蠕虫病毒的提交则更为简单了,只需给病毒样本接收处发一封电子邮件即可,因为邮件本身就包含了病毒样本。

  在提取病毒样本的时候,可以借助于辅助工具进行,比如RWFloppy(http://www.ccidnet.com/soft/cce/)可以恢复或生成软盘影像文件。它的作用是当你不想通过邮寄软盘的方式发送病毒样品时,可以用它生成一个映像文件通过电子邮件发送。

  而电子邮件提交病毒样本的方式以其方便快捷的特点愈来愈受欢迎。利用电子方式发送病毒样本,需要注意: 如果病毒样本是文件型病毒或宏病毒,将文件压缩为ZIP文件时请设置密码保护,否则有可能会被病毒扫描器误删除;将已压缩的病毒样本(ZIP文件)作为附件发送,注意邮件正文应包括以下信息,以方便开发商分析病毒:你所使用的计算机系统信息;什么症状使你怀疑系统被感染了;你所使用的反病毒产品的信息(版本、公司);你的姓名、公司名称、联系电话和E-mail;附件中的文件清单描述。