新发病毒处理及样本提取方法

新发病毒处理及样本提取方法

1、首先确定病毒源，断开其网络（蠕虫病毒，ARP病毒），阻断传播途径：

2、检查可疑进程：

利用Icesword工具或系统“任务管理器”查看进程，其中Icesword工具可有效显示可疑进程调用文件目录，根据此目录，提取此文件样本，并可直接通过右键中的“结束进程”杀死可疑进程；或在“命令提示符”中输入“ntsd –c q –p PID（进程ID）”结束进程。

注：如果系统EXE文件无法打开，可将Icesword.exe改为再执行。

3、检查注册表启动项：

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunonceEx

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices 在以上表项中检查是否有可疑启动项目，如果有，针对启动项目中提供的路径查找文件，也可根据这些文件名查找其它相关注册表项；

查找文件后，可手动删除可疑表项，或通过使用HijackThis等工具清理注册表启动项；

注意：删除前先导出备份注册表，以备删错重新导入。

4、检查可疑端口：

利用Icesword或netstat –an命令查看端口使用情况，根据工具提供的路径

查找可疑文件。

5、检查系统目录下的可疑文件（尤其是新生成的文件）：

在“工具→文件夹选项→查看”中去掉“隐藏受保护的操作系统文件（推荐）”选项，点中“显示所有文件和文件夹”选项，然后重启机器，启动过程中，按“F8”键，进入“安全模式”；

C:\Documents and Settings\Administrator\Local Settings\Temp

C:\WINNT或C:\WINDOWS

C:\WINNT\system32

在以上目录中按时间顺序查找可疑文件，尤其是最近生成的exe和dll文件。

在C:\Program Files根目录中查找可执行文件。

提取这些文件样本，并将现有可疑文件移动到回收站，如果系统在重启后，

运行正常，再从回收站中彻底删除这些文件。

6、提交病毒样本：将病毒文件打包加密压缩（压缩密码设置为virus），发送到：virus@