外贸商机网

本贴旨在给初学的朋友，介绍个简单的病毒行为分析方法。因为本贴的用户群体是初学者（但是必须要有基本的电脑操作基础知识），因此本贴的内容会比较简单。希望高手别喷我。

工具：
1：电脑（废话，没电脑玩个屁），要求，电脑配置稍高，至少cpu2.0意思，内存尽可能2g以上（略小于也没事，但是。。。）
2：虚拟机（推荐用vmware）
3：行为检测工具，比如（File Monitor, Registry Monitor, installwatch, 或者任意一个你熟悉，喜欢的hips软件）

步骤及说明：
1：安装vmware，建议别用精简版，用完整版吧，官网注册个，然后下个keygen，或者网上搜个sn吧。具体不多说了。
2：vmware里面装操作系统winxp（这步不懂的话，网上搜下vmware吧，得自己会装操作系统，如果不会，顺道练习吧。）因为这个系统，主要是用来跑病毒，分析病毒的，因此，得图速度快，内存分配个256内存，应该差不多了——不要影响主系统呀。。。嗯，之前忘记提一点了，看的后面的朋友的回帖，才知道漏了个，装完操作系统后，千万要记得装VMWare Tools呀，这是VMware的一个驱动，其中最重要的一个功能是，可以直接把主系统（host）里面的文件，通过鼠标拖拽方式，跟客户系统（guest）互传。
3：操作系统装完后，根据自己的需求考虑是否给vmware里面的操作系统打补丁，因为有些病毒是利用漏洞的，如果要搞这类病毒，那么就不能打补丁，否则，病毒没漏洞可用，那还看个屁的行为呀。。。如果纯粹就是膜拜下，想弥补下自己的好奇心才看看病毒的行为的话，就打吧。
4：跟据自己的习惯，往vmware里面的xp装些自己用的顺手的常规软件。虽然这个系统的主要目的，就是为了跑病毒，但是，根据经验发现，有些时候的操作，还是在里面搞，会比较方便，比如，我就是firefox的忠实用户，必装的啦。。。比如，如果看官您功力高深，想完全，详细，认真的分析病毒行为，可以考虑ollydbg？？话又说回来了，能用ollydbg的，怎么的，也看不上咱为了混精华而写的贴吧。。。
5：重点了，往系统里面装些“行为”检测软件。我个人而言，常用的就是File Monitor, Registry Monitor，后面会介绍这俩软件的使用。当然，您也可以用InstallWatch这款软件，这个软件也很强悍，我后面会对这款软件做个说明性介绍，不会介绍使用。或者，你也可以装个你喜欢的hips软件，因为一个好的，优秀的hips软件，也能对行为作出完整的监控。
6：系统布置好后，一个很关键的一步，千万别忘记，忘记的话，就痛苦了。。。就是，给这个布置好的系统，做一个镜像。在这里，我介绍下镜像，方便对vmware这款软件不熟悉的朋友做个简单的了解。vmware的镜像，顾名思义，就是对你配置好的系统做个备份，你在后面的操作中，会对vmware里面的系统，跑病毒，或者可能做些别的恶意性，破坏性操作的话，可以通过还原镜像，达到恢复到你备份镜像的时候的状态。嘿嘿，这个功能就很彪悍，对我们非常非常有用，试想下，你不想等着因为跑病毒把vmware里面的系统破坏后，在重新按照本贴从头来过吧？？？

至此，准备工作已经做完，可以开始实战了。
如果准备工作做好的话，实战其实非常简单。
就是，把一个病毒拖到虚拟机里面，然后双击运行：）
当然，运行前，必须按照前面提到的行为监控软件，运行起来，这样，这些行为监控软件，会监控出病毒的行为，然后，您就可以知道病毒大概，表面上做了哪些了。（如果高手看到这，别拍砖，本文是写给初学者的）。
然后，完毕了~~。看官们得注意下，每次，只能跑一个病毒，因为，如果一次，跑了多个病毒的话，病毒的行为会混杂在一起，你会搞不清楚到底某个行为是哪个病毒的行为。
换句话说，跑完一个病毒，就得恢复次镜像，回到备份状态。然后跑下一个。

行为监控软件介绍：
hips软件：这类软件，就没必要多说了吧。比如，可以考虑下微点？？你在跑病毒的时候，他会把行为都监控到，然后给你提示。这样，你就能看到病毒到底做了哪些东西了，我不是微点用户，也从不用微点，提这个纯粹是举例说明。你可以考虑别的。

InstallWatch：这款软件我用的不多，但是也非常不错，偶不喜欢它，只是嫌他慢而已。其实，它还是款非常不错的软件。这款软件，在你运行某个软件前运行，它会记录出这时候的系统里面的状态（文件，注册表）然后，你开始跑病毒，这年头病毒的表面行为通常是，把自己拷贝到某个地方，或者从网上下个病毒到某个地方，然后在注册表里面添加某些选项，这些行为都能监控到。跑完病毒后，InstallWatch会重新计算当前状态，并且跟之前一次的状态做对比，这样，就会判断出哪里多了些文件，哪里少了些文件，哪里的文件被修改过，哪里多了些注册表项，哪里少了些注册表项，哪里的注册表项被修改过。嘿嘿，会了这，就可以自己手工清除病毒了：）

File Mointor, Registry Monitor：这两款软件，我比较喜欢，比较小巧。顾名思义，File Mointor是文件监控器，Registry Monitor是注册表监控器。作用跟Install Watch差不多，不过差别比较大，InstallWatch，是计算两次状态，然后前后两次状态做对比，File Monitor, Registry Monitor不是这样，它是实时监控计算机里面程序的运行。我简要说明下这两款软件的用法。两块软件的用法，界面都差不多，我就选一款说了。双击软件运行后，你会发现屏幕刷刷的往上翻，不要紧，这是因为你没对这款软件做设置，监控的比较多。通常情况下，explorer.exe 的记录会比较多，可以考虑把这个进程的记录给过滤，右键explorer，然后选择排除（英文单词是啥忘记了，自己凑合看吧），然后把些很明显的，刷的很多的进程给排除掉，这样，就会干净很多，这样在进行病毒行为监控的时候，就会有目的的看，否则大片干扰数据，嘿嘿。
另外，建议下，把查询的记录给关掉，操作失败的记录，也可以考虑关掉。因为查询的记录实在太多了，杂七杂八的数据也很多，严重干扰分析，根据经验，病毒通常会在某个位置拷贝自己，或者释放个文件，或者写注册表，这些东西都是在写操作中能成功的，因此，打开写成功，就会好了，查询一定要关闭呀。就这么简单介绍到这吧。

题外话：如果想监控些网络的话，比如，想看病毒从哪里下病毒的话，可以考虑下tcpview之类的软件。总之，你想看啥行为，就用啥监控软件。
本文来自于:外贸商机网 (http://www.tradeurl.com.cn),获取更多同类文章请访问以上网站.