APP下载

有的放矢 清除病毒

2015-12-03

网络安全和信息化 2015年9期
关键词:快照注册表变动

使用WhatChange、Install Watch等软件,也可以监控可疑程序运行,分析其具体行为。这里就以小巧精悍的WhatChanged为例进行简单说明。例如,在使用某个注册程序时,为了安全起见,先在虚拟机中启动WhatChanged,在其主界面(如图2所示)中的“扫描对象”栏中勾选所有的项目,对注册表以及文件系统列入扫描范围。点击“抓取系统快照”按钮,对系统进行全面扫描,拍摄当前状态的系统快照,之后在虚拟机中运行该可疑程序,运行完毕后,在WhatChanged主界面中点击“查看自从上次快照以来的更改内容”按钮,WhatChanged可以对您系统进行再次扫描,并将扫描信息与上次创建的快照进行比对分析,来发现该程序对系统所做的所有更改信息。

之后在桌面上会创建 以“WhatChanged_Snapshot2”开头的文件,其中包括文件变动记录文件、注册表变动记录文件等,对其进行浏览,可以得到该可疑程序在系统中建立、修改、删除的文件列表,以及对注册表的修改信息,对其进行分析后,发现其在“C:Windows”文 件 夹中创建了名为“sys32”的文件夹,在其中存放了一些恶意文件,其中有个名为“explorer.exe”的 文 件,明显是冒称系统外壳文件的。此外,还在注册表添加了启动项,让不法程序可以跟随系统运行。了解了这些,可以看待该注册程序其实就是一个木马程序,其中捆绑了一些可疑文件并进行了免杀处理。在WhatChanged主界面中勾选“复制已修改的文件到目录”项,可以将所有发生变动的文件复制到指定的目录中,便于对其进行进一步分析。

图2 WhatChanged运行界面

猜你喜欢

快照注册表变动
EMC存储快照功能分析
北上资金持仓、持股变动
北向资金持仓、持股变动
南向资金持仓、持股变动
变动的是心
应用Hbase快照机制
更上一层楼 用好注册表编辑器
一种基于Linux 标准分区的快照方法
创建磁盘组备份快照
注册表的便捷用法