Linux操作系统下手动分析病毒样本技巧

　　原理:利用md5值的不同进行文件的对比。

　　操作背景：

　　1. XP安装光盘；

　　2. 病毒样本；

　　3. U盘；

　　4. Ubuntu 7.10 LiveCD

　　5.所需的几个对比md5和转化二进制文件格式的程序

　　操作过程：

　　1. 全盘格式化，同时安装Windows(也可采用ghost回去，但是一定注意其他磁盘可能的病毒感染)

　　2. 在刚装好的Windows下，导出注册表。将导出文件放入C盘根目录下。这里我命名为1.reg

　　3. 进入Ubuntu系统，注意，进入前f2选择简体中文模式

　　4. 挂载C盘：

　　mkdir /mnt/hdd1 (生产系统C盘挂载点)

　　mount -t ntfs -o iocharset=cp936 /dev/hdd1 /mnt/hdd1 (将系统C盘挂载到/mnt/hdd1下，注意文件格式和设备号视具体情况而定)

　　5. 挂载U盘：

　　mkdir /mnt/usb (生成U盘挂载点)

　　mount -t vfat /dev/sda1 /mnt/usb (将U盘挂载到/mnt/usb下，同样注意文件格式和设备号)

　　6. 将导出的注册表信息放入U盘：

　　假设U盘上已经有test目录，同时，在test目录下有parse.sh，parseWinReg，ShowList 三个程序

　　cp /mnt/hdd1/1.reg /mnt/usb/test (将导出注册表拷贝至/mnt/usb/test目录下)

　　cd /mnt/usb/test (进入U盘test 目录)

　　./parseWinReg 1.reg origreg (将导出注册表进行格式转换，生成origreg)

　　7. 计算C盘所有文件md5值：

　　rm /mnt/hdd1/pagefile.sys (这个文件太大影响计算速度，删除)

　　/mnt/usb/test/parse.sh /mnt/hdd1/

亿恩科技地址(ADD)：郑州市黄河路129号天一大厦608室 邮编(ZIP)：450008 传真(FAX)：0371-60123888
   联系：亿恩小凡
   QQ：89317007
   电话:0371-63322206

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]