因为属于短途飞行,一个小时的时间飞机就从东海到达了南丹市,下了飞机之后刘毅发现此时的南丹已经下起了小雨,出了机场的国内出口通道,因为已经九点多了,机场附近也没有通往自己家的公交车,只能打车,机场出口外的出租车还是比较多的,很轻松找到一台出租车,上了车告诉了目的地,出租车向自己家的方向驶去。
“小伙子,到了!”
因为是下雨天,又是晚上,路上的车不是很多,车开得很快,没到半个小时的时间,就从机场来到自己家,刘毅看了看计价器上显示的金额,付了钱下了车,飞快向自己家跑去。
上了楼,掏出了自己身上的房门钥匙,发现屋里的灯都已经关了,他知道父母晚上睡的早,怕耽误父母的休息,轻手轻脚的进了屋子,慢慢将门关上,走进自己的房间。
回到房间后他,连忙跑到电脑前将自己的电脑打开,在飞机上他就一直在思考关于他在酒店看到的那一篇关于新型变种蠕虫病毒的帖子,等待电脑开机后,他调出虚拟机,通过虚拟机内的搜索引擎登录到自由人黑客论坛,想要看看还有没有蠕虫病毒的样本。
这一看,还真的有所发现,这才两三个小时,网站内就贴出了五六种,蠕虫病毒的病毒样本,刘毅找了一个下载量最多的一个帖子,进行了病毒下载。
下载后呈现压缩文件,刘毅点开压缩文件,看到里边儿压缩着的熊猫烧香exe可执行程序,为了了解病毒的运行方式,以及运行后电脑出现的状况,他运行了病毒,随后只见虚拟机界面变黑,系统重启,刘毅清楚,这台虚拟机是废了。
刘毅退出虚拟机,重新配置虚拟机,将自己用到的工具,通过u盘拷贝到虚拟机当中开始下载病毒,因为有了刚才的操作,他知道病毒运行后会有一个重启的操作,刘毅为了防止病毒分析中出现意外,首先运行了自己编写的防重启工具,之后打开了一款名叫的进程筛选器,随后将病毒加载到筛选器当中才开始运行病毒,可能用了防重启工具的关系,这一次病毒运行后,虚拟机没能重启成功,刘毅仔细观察进程筛选器,只见筛选器当中出现一个进程名为“熊猫烧香。exe”的可执行程序,他打开熊猫烧香的进程拓展项,病毒每一步的命令在筛选器当中全部显示出来。
他这么做的首要目的是因为自己对于这款变种蠕虫病毒的了解太浅,无从下手,想要通过这款进程筛选器,可以通过监控病毒的进程,来全面的了解病毒的执行方式以及感染文件的目的。
刘毅鼠标猛击展开进程拓展项,同时从兜里拿出一盒玉溪,点了火抽了起来。
还真是挺有意思,刘毅嘴里叼着烟,笑了笑,程序执行后,他发现从原病毒中衍生出一个叫做ld命令提示符,执行了一次netshare命令,这个命令也就是删除系统盘网络共享,看着这一段程序自操作的过程,果断放弃了后边儿的操作。
“怎么会这样?还真是有点儿奇怪?如此分析,并没有什么非法操作的啊?不应该啊?”
在分析“熊猫烧香。exe”的过程中,发现其中所执行的命令都是一些无用命令,没有发现一个有用的操作,唯一一个可疑点就是那个衍生的lsv程序。
难道说,这个lsv的执行程序才是真正的病毒?而这个熊猫烧香。exe不过是一个外壳,一个载体?因为没有一个好的答案,对于眼前的程序,刘毅只能全靠猜测。
“看来想要真正找出病毒感染的过程,还是需要分析这个lsv可执行程序才行!”
刘毅神色一紧,找出注册表监控分析工具,开始对于这个名叫lsv注册表操作加以分析,只见一排排数据显示在分析工具中。
刘毅瞪大了眼睛,看着眼前的数据,“你还真牛!也不知道是哪家杀软公司得罪你了?”
因为刘毅的虚拟机当中没有安装任何杀软,在注册表分析的列表中,刘毅看到,病毒写入注册表的命令都是,删除市面上常用的不常用的安全软件自启动项目。
“果然是这样!”
在注册表分析工具中的一跳命令提示引起了刘毅的注意,开机自启时在系统盘根目录创建,o隐藏文件,看着这样的操作充分证明了开始时刘毅的猜测,果然这个熊猫烧香。exe只是一个外壳,真正的病源,正是这个lsv程序。
原来真的是这样!病毒通过浏览器或者邮箱默认下载,运行后,衍生lo的隐藏文件,通过重启自运行后,通过阻断杀软运行,通过d开始感染文件。
随后刘毅通过注册表分析软件,对病毒进行了网络监控,也就是想要看看这款病毒是否有联网动作,一排排数据出现在分析软件当中,lsv正在向外网123。456。789。45发送并接受信息,并且不断连接192。168。1。1局域网中的计算机。
这个123。456。789。45大概就是病毒向外发送的数据包了,这个192。168。1。1应该就是链接局域网,通过局域网感染其他机器,这样外网,内网共同传播,难怪帖子说病毒传播的速度特别的快。
基本掌握了病毒的原理,刘毅切换到主机,打算先制作一份专杀工具,通过整个分析的过程,他知道病原体来自于那个名叫ll恢复注册表的方式解决病毒。
切换到主系统,进入c++进行病毒的编写工作,首先制作程序的界面,界面很简单,一个数列下拉框,一个一键杀毒的按钮