怎么捕获电脑病毒样本

众所周知，计算机病毒与医学上的“病毒”不同，它不是天然存在的，是某些人利用计算机软、硬件所固有的脆弱性，编制的具有特殊功能的程序。其能通过某种途径潜伏在计算机存储介质(或程序)里，当达到某种条件时即被激活，它用修改其他程序的方法将自己的精确拷贝或者可能演化的形式放入其他程序中，从而感染它们，对计算机资源进行破坏的这样一组程序或指令集合。

长期操作电脑者会发现，病毒往往紧跟计算机的发展步伐，升级换代频繁，从最初的破坏软件发展到损毁硬件，令人对计算机病毒既怕又恨，防不胜防。因此，及早发现和清除病毒，是将病毒产生的危害降低到最低限度的重要手段，如果在已经安装了防病毒软件且病毒定义码和病毒查杀引擎是最新版本的情况下，病毒仍然发作并造成文件丢失或系统破坏，那么，这就是最新的病毒在发作。这时，就应提取新病毒样本，供反病毒专家分析研究，以便在最短的时间内更新病毒代码库。提取新病毒样本的方法如下：一、引导型Boot病毒的捕获

引导区类型的病毒提取很简单，首先利用Format A: /S将引导系统文件复制到软盘中，然后再将的硬盘中的一些系统执行文件一同拷贝到软盘中。具体步骤如下：进入MS-DOS

方式，格式化一张系统盘，Format A: /s ，针对不同的系统，请将如下文件拷贝到这同一张软盘之中：

对于Windows 3.x: 拷贝 \Windows\System下的 gdi.exe rnl286.exe、progman.exe 三个文件。

对于Windows 95/98/ME: 拷贝 \Windows\System下的 gdi.exe、krnl386.exe、progman.exe三个文件。(见)

height=351

共3页: 1 内容导航对于Windows NT、Windows 2000: 拷贝 \Windows\System32下的gdi.exe、krnl386.exe、progman.exe 三个文件。

如果格式化软盘时出现死机，请按下列步骤提取：请在该软盘的标签上写明“damaged during infected format as boot disk”。

针对不同的系统的上列文件，拷贝到不同的软盘中，方法同上。

二、文件型File/Macro病毒的捕获

如果你怀疑病毒是文件型，将C盘根目录下的文件拷贝到软盘上，取名为command，即去掉扩展名。

如果你怀疑病毒是MS Word宏病毒，将C:\Program Files\Microsoft Office\Templates 目录下的“"normal.dot”文件和C:\Program Files\Microsoft Office\Office\Startup 目录内的所有文件拷贝到软盘。（见）

height=366

如果你怀疑病毒是MS Excel宏病毒，将XLSTART目录内的所有文件拷贝到软盘。XLSTART 位于计算机的多个地方，用Windows搜索功能查找"XLSTART"找到所有的目录，然后将这些目录下的文件全部拷贝到软盘。

如果你怀疑病毒是PowerPoint宏病毒，做以下操作:打开一个空的Power Point文件，然后把它另存为一个文件，保存类型选为“演示文稿设计模板”，然后将此扩展名为.pot 文件拷贝到软盘。

请在该软盘的标签上写明“contains infected files”，并尽量让软盘存入尽可能多的带毒文件。

将软盘做成一个影像文件。

三、Trojans病毒的捕获

运行regedit.exe文件打开注册表编辑器。记录下来下面注册项中涉及到的文件。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中涉及到的文件。（如图3）

height=388

图3

共3页: 2 内容导航

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中涉及的文件。

打开Win.INI文件，将文件中“load=” 和“ run=” 行中涉及的文件记录下来。

按如上信息确定文件名和它们所在的目录，并将这些文件压缩到一个zip文件中。

四、几款病毒工具软件

ClrText.zip:

当你提交的病毒是Word或Excel宏病毒时，这个工具软件可以将你的感染文件的内容清除，而只保留宏，从而可以避免你的保密信息泄露。

SaveMBR.zip:

这个工具软件可以将你的感染硬盘的MBR读到一个文件中，然后把文件发送到NAI进行病毒分析。

RWFLOPY.zip:

RWFloppy 软件可以恢复或生成软盘影像文件。它的作用是当你不想通过邮寄软盘的方式发送病毒样品时，可以用它生成一个影像文件通过电子邮件发送。特别是对于引导区病毒，由于它隐藏在软盘的80、81扇区，而一般的软件无法读取这两个扇区。

Readt80.zip:

为了正确检测BOOT区病毒，我们需要一张包含病毒的软盘。可以通过DOS状态下格式化一张系统软盘来得到：FORMAT /S A：

需要软盘的原因是：引导区病毒通常把自己隐藏在一般DOS软件不能读取的地方（对于1.44M软盘有80个扇区，从 0 到 79，引导区病毒把病毒代码隐藏在80、81 扇区）

如果你用一般的软件来生成一个软盘影像文件，这个影像文件不包含80和 81扇区，所以也就无法进行分析病毒。这个软件就是用来把软盘中包含病毒代码的80、81扇区读出来写到一个文件中去。

SYSU.zip:

这个软件用来恢复被多种宏病毒感染的系统。

（责任编辑 zhaohb zhaohb#TEL:（010）68476636-8002）

共3页: 3 内容导航本周时间里，微软公司发布了今年8月份的系统漏洞补丁程序，这一次数量比较多，共计12个。其中Windows操作系统的漏洞补丁程序就有10个、办公文字处理软件Office的漏洞补丁程序有2个。并且按照漏洞补定程序危害级别来划分，其中Windows 操作系统严重的漏洞补丁有7个、办公文字处理软件Office严重的漏洞补丁有2个，重要的漏洞补丁有3个。微软公司发布的这12个漏洞补丁程序这次一共修复了Windows操作系统和办公文字处理软件Office中的20多处漏洞。

国家计算机病毒应急处理中心建议广大计算机用户注意这12个漏洞补丁程序中的以下几个，它们分别是：

（一） MS06-040：Microsoft Windows Server服务远程缓冲区溢出漏洞，Microsoft Windows 的Server服务在处理RPC（远程过程调用）通讯中的恶意消息时存在溢出漏洞，恶意攻击者可以通过发送恶意的RPC报文来触发这个漏洞，导致执行任意代码。

（二） MS06-048：Microsoft Powerpoint远程执行任意代码漏洞，Microsoft Powerpoint 是非常流行的文稿演示工具。Powerpoint在解析特制文档中的某些字符串时存在错误，可能允许恶意攻击者通过诱骗用户打开恶意PPT文档，从而进一步可以在系统中执行任意代码。

（三） MS06-049：Microsoft Windows 2000内核本地权限提升漏洞，本地的恶意攻击者可以利用Microsoft Windows 2000内核中未检查的缓冲区而获得系统权限的提升，这样恶意攻击就可以完全控制受影响的计算机系统。

（四） MS06-051：Microsoft Windows未处理异常远程代码执行漏洞，Microsoft Windows 在处理内存中常驻的应用程序时没有正确的处理异常，如果计算机用户因为受骗而访问了恶意站点或Web页面，那么恶意攻击很有可能会在用户计算机系统上执行任意代码。

专家提醒：

针对我们提到的上述提到的四个主意的漏洞补丁程序，根据以往的经验来看，这几个重要的漏洞补丁程序很可能会被恶意攻击者利用来进行病毒传播。用户不可以忽视它们，大家要根据自己的系统情况尽快地下载安装这个补丁程序，防止类似的利用系统漏洞进行恶意攻击现象的发生。（责任编辑 zhaohb zhaohb#TEL:（010）68476636-8002）

关键词: 病毒、网络蠕虫、变形病毒、病毒生产机、特络依木马、有害代码、抗病毒软件、数据备份、快速升级、灾难恢复

一摘要

文章概略的揭示了计算机病毒出现由简单到复杂的特性与目的，编病毒者还抛出了“病毒自动生产机”软件。文中指出了计算机病毒自身结构主要将向能对抗反病毒手段的变形病毒方向发展，并把这类病毒归纳为一维、二维、三维、四维变形病毒，使人们站在一定的高度上对变形病毒有一个较清楚的认识，以便今后针对其采取有效的措施进行主动诊治。文中提到的病毒名字都是作者亲自编程杀过的，作者总结了多年的反病毒经验，提出抗病毒最基本的做法是：一备份，二快升级，三灾难恢复。

二我们将与病毒长久共存

人类进入了信息社会创造了智能机器(电子计算机)，同时也创造了机器(电子计算机)病毒，福祸同降。人类在信息社会更容易与机器(电子计算机)融为一个整体，可是，破坏这个整