我们这样分析病毒

用户上报 样本交换 现场采集 定向采集 VDS/网络采集 honeypot捕获 再分析结果 其它
在各种环节中，用户上报仍是最主要的来源，安天的木马防线（Antiy Ghostbusters） 等安全产品都具有一定的未知木马/病毒判断机制，如果一个程序检测不到病毒但判断为可 疑文件，则会建议用户把样本上报给安天。此外大量采用安天反病毒引擎 AVL SDK 的用户， 其软件出品厂商也会将用户上报的样本反馈给安天。用户上报的主要问题是，样本的“纯度” 较差，多数用户上报的都是正常文件。
©安天实验室 版权所有
第5页/共8页
清除参数
我们这样分析病毒
# module ID 0x9770 # disinfect cih # 返回值说明： # @R=0 成功 @R=-2 失败 @R=-3 删除
$DisifectResult = -2
# 检查感染标志 GetPtr %PEH - 1,1 if @R == 0
二、 我们这样管理样本
安天 CERT 通过安天基础平台组开发的 VX Plat“病毒管理平台”可以对病毒相关资源如 样本、样本文件信息、病毒特征等方便有效的进行管理。
点击样本浏览栏的按钮，可以在树型目录中选择自己要查找的病毒，如图下图所示：
从图中可以看出病毒病毒的几大分类，从上到下分别是“黑客工具”、“其他”、“间谍软 件”、“测试”、“特洛伊木马”等等，现在蠕虫病毒部分被展开查看，我们可以看到，大类“蠕 虫”又被分为几个类，如“Email 蠕虫”、“及时聊天蠕虫”、“IRC 蠕虫”，“宏病毒”、“网络 蠕虫”等等。病毒都被详细的归类，以便管理！
如果选择“DisAsmListCtrl”则可以查看该 PE 文件的反汇编代码，选择 StrFiEditCtrl 可以查看该文件所有包含的字符串。
当自动提取特征码后，可以和服务端连接，把特征码提交给病毒分析服务器。 让我们看看安天反病毒引擎 AVL SDK 中 CIH 病毒的特征和清除参数：
病毒名 特征码
病毒处理原则表
处理 编写应急处理报告和专杀程 序，提取特征码，并测试查杀 编写代码分析报告，提取特征 码，并测试查杀
一般性填写病毒资料，提取特 征码，并测试查杀 仅提取特征码，并测试查杀 仅提取特征码，并测试查杀
我们一般按照上述原则，对不同病毒进行不同粒度的处理。 样本分析一般分为两个部分，一个是动静态代码分析、一个是外部行为分析。 首先看看病毒分析需要的的工具：
RETURN $DisifectResult endif Fill %PEH - 1, 1, 00 # 清除感染标志 if %EOP < %SH1
# 修复 EOP Find %EOP, %SH1, FB $Addr = @R if $Addr != -1
Find $Addr, %SH1, 68 $Addr = @R if $Addr != -1
动静态代码分析：
把病毒样本拖进虚拟机，用调试器载入一看，如果加了壳，就先把壳脱了。 把脱完壳的病毒拖进虚拟机中再用调试器载入，如果不需要写非常细的代码分析，可以 先查看所有的函数调用，对多数病毒来说，查看 API 调用就可以大概的把病毒的行为限定某 个范围之内。接着往一些敏感的函数地址下断点。比如文件输出函数（如 CreateFileA，fopen 等），这个函数调用时候通常是病毒要创建某些文件或者释放出某个文件，文件拷贝函数 （CopyFile 等），调用这个函数时候通常是病毒开始拷贝自身到目标路径。还有如线程注入 时的一些关键性函数如开头 WRITEPROCESSMEMORY 等，还有一些注册表修改函数，以及服务 的创建和修改函数等。在程序调用这些函数的地方下断点，然后运行程序，根据运行时断点 的先后顺序就能推出程序的大概流程，并且，通过观察调用的这些函数的入栈参数以及参数 的数据结构就能推出每一个函数具体做了些什么，进一步推出程序在此处里做了些什么，比 如和某某网站连接；上传或下载文件；把自身加入启动项；修改或创建某某服务；以及线程 注入到那个线程中，甚至注入多少字节，以及是把本进程从某某地址范围内的内存内容注入 到某某进程的某某地方，并且还能深入到这注入的这些内存单元是从哪里来的等，都可以推 及开来。最后慢慢的理出程序的大体流程。当然此时也可以采用 IDA 一类的工具生成流程图。 以上是用来分析非感染型病毒（比如说木马后门一类），但要是碰到感染型病毒就只能 从入口点一步一步的跟了。跟这种类型的病毒要特别仔细，因为这种类型病毒大小通常都不 大，而且通常使用纯汇编写的，这个时候如果不小心的话就跟飞了（跑到载体程序入口点执 行去了），跟这种类型的病毒要多注意堆栈的变化，最好就是从入口点开始一条一条语句逐 句分析，最好尽最大努力做到解了所有已经看过的语句作用后再往下跟。如某些语句一时不 能了解功能，那么就先往下跟，每跟一条指令就尽量与上面哪些还不知道功能的语句联系起 来。同时还要注意一些新语句之间是否已经能组成一个整体，这样慢慢跟，最后就能把功能
把病毒脱进虚拟机，接着给系统做个快照，运行病毒，然后再次做个快照，最后通过比 较两次注册表快照的差异来确定病毒行为,也可以采用文件和注册表跟踪工具来解决，这往 往取决于病毒分析员的爱好。
在这个过程中，你可以直观的知道病毒把自己拷贝到什么地方，建立了那些键值、开了 哪些端口、进程和服务的名字等等。
四、 病毒特征码提取
2005 年 1 月 31 日，安天统计了截止到当日中午 12 点的最近的 7032 个病毒样本的获取 来源。经过计算，其中用户上报占 68.84%，与国外 AV 企业交换占 17.50%，现场采集占 0.50%， 定向采集占 3.31%，通过使用安天网络病毒监控系统 VDS 改造的捕获探头进行网络捕获占 0.27%， 通过蜜罐捕获占 5.4%，再分析结果占 4.61%，其他占 0.52%。
Virus.Win95.CIH
55 8D 44 24 F8 33 DB 64 87 03 E8 00 00 00 00 5B 8D 4B 42 51 50 50 0F 01 4C 24 FE 5B 83 C3 1C FA 8B 2B 66 8B 6B FC 8D 71 12 56 66 89 73 FC C1 EE 10 66 89 73 02 5E CC 56 8B F0 8B 48 FC F3 A4 83
做授权。联系邮箱：resource@antiy.cn 。
©安天实验室 版权所有
第1页/共8页
我们这样分析病毒
安天 CERT
一、 我们这样获得样本
我们这样分析病毒
捕获样本是病毒分析的基础，安天的通过 ArrectNET 病毒捕获体系采集样本，这个体系 由大量的 VDS 网络病毒抓取探头、蜜罐(Honeypot)捕获节点、诱饵信箱组成，同时与安天进 行病毒交换的境外反病毒企业、安天的样本上报志愿者、软件用户等，也同样是安天样本的 来源。
另外，病毒管理平台还提供病毒搜索功能，点击样本查询，可看到下面对话框：
这里只要输入病毒名就可以对整个病毒库进行搜索，寻找相匹配的病毒资料。如上图， 现在寻找病毒库里所有是包含 netsky 关键字病毒名。这里一共提供了 3 个的搜索条件，分 别是“包含”、“不包含”、“全匹配”。这里在搜索路径中可以是库中树型目录下的任一目录。
点击确定后就出现下面对话框：
©安天实验室 版权所有
第4页/共8页
我们这样分析病毒
如图，1 中的内容为静态特征码，2 中为分析特征码区域,区别是后者是在虚拟执行展开 结果后上提取的，3 如果分析员选择了特征码就会被标红。
此时对文件的查看属于 16 进制查看模式，如果选择圆圈 5 的按钮则可以查看 PE 格式。 如图所示：
安天是较早使用分布式蜜罐体制捕获病毒的安全企业之一。蜜罐是指目的在于吸引攻击 者、然后记录下攻击行为的计算机系统。它与反病毒领域的结合趋势始于 2002 年，成熟于 2004 年。蜜罐体系是安天 ArrectNET 监控网络的重要组成部分，蜜罐获取样本的绝对种类 数不大，但意义非凡。蜜罐主要的价值是：第一时间捕获流行的扫描型蠕虫，安天截获冲击 波、震荡波以及他们的变种都依赖于蜜罐体制。此外，蜜罐具有统计意义，能够对流行情况 /节点压力进行比较准确的判断和分析。
样本交换是厂商之间常见的交流手段，由于不同厂商用户分布不同，相互交换可以有效 地弥补的捕获网络的覆盖面的不足。通过与 AV 企业交换获得的样本，数量大、质量高，但 往往不及时，因为企业间可能比较保守。
VDS 网络捕获探头，是在安天 VDS 网络病毒监控系统基础上改造的传输型蠕虫捕获设备。 可以旁路捕获邮件型蠕虫等病毒。
$Addr = $Addr + 1 GetPtr $Addr ,4 $Addr = @R Fill %EOP , 448, 00 # 清除病毒代码 SetEOP $Addr $DisifectResult = 0 endif endif
# 清除各节空穴内容 $Idx = 0 DO
$Idx = $Idx + 1 $Idx1 = $Idx + 1 if $Idx > %NOS - 1
安天 CERT 病毒分析员从病毒库取得病毒样本后，用安天基础平台组开发的 saker 病毒 分析机打开病毒样本文件，会弹出一个对话框，如下图：
该对话框红圈 1 中显示了该样本文件的一些基本信息，如文件名、位置、大小等等，红 圈 2 中显示了 CRC32 校验码和文件加壳信息。红圆圈 3 提示以什么方式打开该文件，如果 你觉得麻烦的话可不必选择，直接把下面的“自动检测文件类型”打上钩就行了。
样本管理平台还有病毒库输出等各种功能。
©安天实验室 版权所有
第2页/共8页
三、 我们如何分析病毒样本
我们这样分析病毒
对病毒分析工程师来说，基本的分析工作是分析、命名、提取特征和编写查杀参数，但 并不是每个病毒都要编写详尽的分析报告。
病毒级别 A级 B级
C级 D级 E级
定义 大面积感染流行，给网络造成一定压力或开 有后门或有反制 AV 技术。 有一定的感染流行面积，或者有鲜明的技术 特点，技术值得关注，或虽然大面积感染流 行但为既往 A 级蠕虫变种 有少量感染流行，或虽然有一定感染流行面 积，但是既往 B 级蠕虫变种。 有极少量感染流行，但有一定潜在威胁。 没有发现感染流行。
©安天实验室 版权所有
第3页/共8页
我们这样分析病毒
全都串起来。一个病毒的结构以及各种行为也就浮出水面。这个时候把病毒修改的程序入口 点以及病毒自身在文件中的偏移等特征记下，就可以编写清除参数了。
代码分析有时会欺骗病毒分析员，比如说一些病毒分析报告说，runouce 病毒生成 eml 格式的文件写入远端目录，实际上虽然病毒体中包含类似代码，但在写入文件前没有声明文 件名，实际上写入是无法成功的。但由于病毒分析员每天要分析大量样本，对这种病毒微观 问题往往不能有更多细腻的兼顾。在这种时候，采用行为分析的方式往往更为直观。
我们这样分析病毒
作者 背景介绍 版权说明
我们这样分析病毒
安天实验室
文档信息
安天 CERT
发布日期
本文介绍了安天如何分析病毒。
本文版权属于安天实验室所有。本着开放共同进步的原则，允许以
非商业用途使用自由转载。转载时需注明文章版权、出处及链接， 并保证文章完整性。以商业用途使用本文的，请联系安天实验室另
1. 虚拟机 2. 反汇编和调试工具：IDA、SOFTICE、OLLYDEBUG、当然更多还是用我们自己的 saker 3. 一些系统服务、进程管理的工具，木马防线自己也可以作这样的工作 4. 网络诊断工具：Sniffer pro 和 Iris 用来分析网络行为 5. 其他一些小工具，如快照工具等等。
由于用户上报到达安天的文件中，多数都是正常文件。因此必须首先进行一次自动化的 筛选。文件分拣服务器通过黑白名单和神经网络系统进行两重分拣，然后把分拣后的文件提 交给样本预处理组，样本预处理组对这些文件开始进一步的提取，排除那些非病毒文件，最
©安天实验室 版权所有
第1页/共8页
我们这样分析病毒
后确定病毒样本并传给样本服务器，而病毒分析组则直接从样本服务器中提取பைடு நூலகம்本，进行样 本分析和特征提取。