[分享]自动反病毒分析工具-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[分享]自动反病毒分析工具

发表于: 2010-6-10 18:00 19194

[分享]自动反病毒分析工具

逆向小兵

2010-6-10 18:00

19194

计算机病毒分析不外乎有两种分析方法：
一、行为监控
二、代码分析。
通常拿到一个样本，待看一下其是否加壳，编译器信息，字符串信息，版本信息等信息后，紧接着要做的应该是首先在虚拟机下跑一下病毒，利用各种监控工具监控一下病毒的行为。对病毒做初步了解。然后为了完全掌握病毒的功能才是代码分析。盲目进行代码分析只能事倍功半。行为监控不涉及脱壳、解密等繁琐工作。行为监控不但可以得知病毒的传播途径，对系统的破坏，这对将来恢复中毒的系统具有重要意义。而且还对后面的代码分析具有一定的启发意义。所以个人认为分析病毒的时候进行行为监控分析是必不可少的，也是非常重要的。
当今流行有众多的监控软件，如sysinternals公司监控系列工具：Filemon、Regmon、Tcpview、ProcessMonitor、ProcessExplorer等，再如SSM、InCtrl5、wireshark、regshot，又如瑞星的黑镜头等等。利用这些监控工具分析病毒的确比较方便。这里将介绍另外一款计算机病毒辅助分析工具-------MyMonitor。这款工具使用非常方便，只需将病毒样本拖放到监控窗口中，之后他会显示出这个样本所调用的关键API函数，最后给出一份被监控样本的详细报告。
工具下载链接：
http://www.safe163.com/dispbbs.asp?boardid=8&Id=22
效果图如下所示：

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

收藏・13

免费・0

支持

最新回复 (29) 1 2 ▶
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 2 楼有的像SoftSnoop 2010-6-10 18:28 0
Phoenix 雪币： 153 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 413 粉丝 1 关注私信	Phoenix 3 楼还要注册才能下载，杯具 2010-6-10 18:30 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 4 楼是啊，要注册的，楼主有别的链接么 2010-6-10 19:57 0
逆向小兵雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	逆向小兵 5 楼没有别的链接了，注册一下也用不了多长时间。值不值得，注册后下载用了便知道！ 2010-6-10 20:16 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 6 楼我来做好人，连同程序加上附属的dll一并打包.... 用这个程序监视他自己其实蛮好玩的，要是附带一些什么帮助说明就更好了...... 上传的附件： mymonitor.part1.rar （1.95MB，374次下载） mymonitor.part2.rar （1.55MB，297次下载） 2010-6-10 21:49 0
yjhfast 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	yjhfast 7 楼用几个正常程序测试了一个，初始化出错。测试出错的文件是hfs网络文件传送器、GPU-Z、屏幕录像专家。功能不错，就是稳定性还得增强。如果像sandboxie那样兼容性很强，这个工具就完美了。 2010-6-10 22:03 0
yjhfast 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	yjhfast 8 楼又测试了一个，楼主网站上的KillVirus程序，同样在监控程序里运行出错。希望楼主能早日完善。 2010-6-10 22:13 0
逆向小兵雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	逆向小兵 9 楼您好！感谢您的测试。不过您说的这些程序我都测过，没问题的。估计是你没有下载相关的支持库文件。请把所有的支持库文件下载放到主程序目录中再试！！非常感谢！ 2010-6-11 07:40 0
yjhfast 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	yjhfast 10 楼按楼主提示，把完整的库文件下载到监控程序目录后，被监控程序不能运行的问题得以解决。还有个问题是，当监控程序退出后，被监控程序还在正常运行，正常程序当然没问题，如果是病毒会不会对系统造成影响？ 2010-6-11 08:34 0
ahyanglf 雪币： 223 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 186 粉丝 0 关注私信	ahyanglf 11 楼看来win7下不稳定的说 2010-6-11 09:14 0
逆向小兵雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	逆向小兵 12 楼对了，忘了提醒大伙儿了，跑病毒的话一定要在虚拟机中。因为用这个工具运行病毒，病毒真的跑起来了，该做的事儿都做了。所以再真机下肯定中毒。顺便再补充一句：等待被监控的进程退出后就会出现该病毒的监控报告！！！ 2010-6-11 09:33 0
ahyanglf 雪币： 223 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 186 粉丝 0 关注私信	ahyanglf 13 楼出错了拖入软件后出错了 2010-6-11 17:17 0
逆向小兵雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	逆向小兵 14 楼什么软件？请问您放需要支持的动态库了吗？ 2010-6-11 17:20 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 15 楼正需要的好东西，病毒分析正在摸索中。测试一下看看。。。 2010-6-11 18:47 0
心随风落雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	心随风落 16 楼还不错，如果能增加对修改注册表项的监控就更好了，目前测试了几个病毒文件，发现修改的注册表项没有记录。日志能够支持选中复制，日志保存等功能就更方便。 2010-6-12 11:32 0
逆向小兵雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	逆向小兵 17 楼感谢测试，请问可以把病毒样本发给我吗？完善工具之用，谢谢！！！ 2010-6-12 15:09 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 18 楼确实不错，增加稳定性 2010-6-12 15:13 0
dncwbc 雪币： 170 活跃值： (116) 能力值： ( LV9，RANK：140 ) 在线值：发帖 10 回帖 33 粉丝 3 关注私信	dncwbc 3 19 楼请使用了此工具的朋友把发现的问题和好的建议告知在下，从而不断完善这个工具！ 2010-6-13 15:45 0
ginazhou 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ginazhou 20 楼看见有人说Windows7下可能不稳定，我还是过会再下了试试吧 2010-6-13 16:05 0
shlmyth 雪币： 427 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 89 粉丝 0 关注私信	shlmyth 21 楼下来测试下... 2010-6-13 16:45 0
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 22 楼不错的东东。谢谢分享 2010-6-14 12:50 0
路过人间雪币： 498 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 59 粉丝 0 关注私信	路过人间 23 楼楼主能不能把常用的那些动态库打包一下一起放上来，谢谢了 2010-6-14 15:04 0
jackieruo 雪币： 669 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 76 粉丝 0 关注私信	jackieruo 24 楼 6楼好人呀 2010-6-14 15:11 0
buddhawyk 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	buddhawyk 25 楼这个得支持了！！ 2010-6-15 11:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

逆向小兵

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (29) 1 2 ▶
wynney 雪币： 224 活跃值： (147) 能力值： ( LV9，RANK：970 ) 在线值：发帖 65 回帖 1109 粉丝 7 关注私信	wynney 24 2 楼有的像SoftSnoop 2010-6-10 18:28 0
Phoenix 雪币： 153 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 413 粉丝 1 关注私信	Phoenix 3 楼还要注册才能下载，杯具 2010-6-10 18:30 0
nbw 雪币： 339 活跃值： (1510) 能力值： ( LV13，RANK：970 ) 在线值：发帖 141 回帖 2842 粉丝 23 关注私信	nbw 24 4 楼是啊，要注册的，楼主有别的链接么 2010-6-10 19:57 0
逆向小兵雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	逆向小兵 5 楼没有别的链接了，注册一下也用不了多长时间。值不值得，注册后下载用了便知道！ 2010-6-10 20:16 0
无聊的菜鸟雪币： 622 活跃值： (294) 能力值： ( LV13，RANK：410 ) 在线值：发帖 59 回帖 561 粉丝 5 关注私信	无聊的菜鸟 9 6 楼我来做好人，连同程序加上附属的dll一并打包.... 用这个程序监视他自己其实蛮好玩的，要是附带一些什么帮助说明就更好了...... 上传的附件： mymonitor.part1.rar （1.95MB，374次下载） mymonitor.part2.rar （1.55MB，297次下载） 2010-6-10 21:49 0
yjhfast 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	yjhfast 7 楼用几个正常程序测试了一个，初始化出错。测试出错的文件是hfs网络文件传送器、GPU-Z、屏幕录像专家。功能不错，就是稳定性还得增强。如果像sandboxie那样兼容性很强，这个工具就完美了。 2010-6-10 22:03 0
yjhfast 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	yjhfast 8 楼又测试了一个，楼主网站上的KillVirus程序，同样在监控程序里运行出错。希望楼主能早日完善。 2010-6-10 22:13 0
逆向小兵雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	逆向小兵 9 楼您好！感谢您的测试。不过您说的这些程序我都测过，没问题的。估计是你没有下载相关的支持库文件。请把所有的支持库文件下载放到主程序目录中再试！！非常感谢！ 2010-6-11 07:40 0
yjhfast 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 58 粉丝 0 关注私信	yjhfast 10 楼按楼主提示，把完整的库文件下载到监控程序目录后，被监控程序不能运行的问题得以解决。还有个问题是，当监控程序退出后，被监控程序还在正常运行，正常程序当然没问题，如果是病毒会不会对系统造成影响？ 2010-6-11 08:34 0
ahyanglf 雪币： 223 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 186 粉丝 0 关注私信	ahyanglf 11 楼看来win7下不稳定的说 2010-6-11 09:14 0
逆向小兵雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	逆向小兵 12 楼对了，忘了提醒大伙儿了，跑病毒的话一定要在虚拟机中。因为用这个工具运行病毒，病毒真的跑起来了，该做的事儿都做了。所以再真机下肯定中毒。顺便再补充一句：等待被监控的进程退出后就会出现该病毒的监控报告！！！ 2010-6-11 09:33 0
ahyanglf 雪币： 223 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 186 粉丝 0 关注私信	ahyanglf 13 楼出错了拖入软件后出错了 2010-6-11 17:17 0
逆向小兵雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	逆向小兵 14 楼什么软件？请问您放需要支持的动态库了吗？ 2010-6-11 17:20 0
nba2005 雪币： 423 活跃值： (11) 能力值： ( LV9，RANK：230 ) 在线值：发帖 15 回帖 388 粉丝 1 关注私信	nba2005 5 15 楼正需要的好东西，病毒分析正在摸索中。测试一下看看。。。 2010-6-11 18:47 0
心随风落雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	心随风落 16 楼还不错，如果能增加对修改注册表项的监控就更好了，目前测试了几个病毒文件，发现修改的注册表项没有记录。日志能够支持选中复制，日志保存等功能就更方便。 2010-6-12 11:32 0
逆向小兵雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 8 粉丝 0 关注私信	逆向小兵 17 楼感谢测试，请问可以把病毒样本发给我吗？完善工具之用，谢谢！！！ 2010-6-12 15:09 0
叶xiang 雪币： 445 活跃值： (52) 能力值： ( LV3，RANK：20 ) 在线值：发帖 7 回帖 207 粉丝 0 关注私信	叶xiang 18 楼确实不错，增加稳定性 2010-6-12 15:13 0
dncwbc 雪币： 170 活跃值： (116) 能力值： ( LV9，RANK：140 ) 在线值：发帖 10 回帖 33 粉丝 3 关注私信	dncwbc 3 19 楼请使用了此工具的朋友把发现的问题和好的建议告知在下，从而不断完善这个工具！ 2010-6-13 15:45 0
ginazhou 雪币： 1 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 10 粉丝 0 关注私信	ginazhou 20 楼看见有人说Windows7下可能不稳定，我还是过会再下了试试吧 2010-6-13 16:05 0
shlmyth 雪币： 427 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 89 粉丝 0 关注私信	shlmyth 21 楼下来测试下... 2010-6-13 16:45 0
lzqgj 雪币： 280 活跃值： (281) 能力值： ( LV9，RANK：250 ) 在线值：发帖 38 回帖 312 粉丝 1 关注私信	lzqgj 6 22 楼不错的东东。谢谢分享 2010-6-14 12:50 0
路过人间雪币： 498 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 59 粉丝 0 关注私信	路过人间 23 楼楼主能不能把常用的那些动态库打包一下一起放上来，谢谢了 2010-6-14 15:04 0
jackieruo 雪币： 669 活跃值： (18) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 76 粉丝 0 关注私信	jackieruo 24 楼 6楼好人呀 2010-6-14 15:11 0
buddhawyk 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 31 粉丝 0 关注私信	buddhawyk 25 楼这个得支持了！！ 2010-6-15 11:24 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复