互联网的飞速发展在给用户的日常工作生活带来了巨大方便的同时，也给各种各样的恶意软件提供了一片繁衍扩散的沃土。媒体上时有关于某种恶意软件大规模流行造成严重损失的报道。恶意软件的扩散早已引起信息安全业界的重视，各安全软件和杀毒软件厂商都有成型的解决方案。不过恶意软件的更新换代总是走在安全厂商的产品前面，恶意软件变种的出现速度越来越快，单纯使用防杀毒软件已不能完全保证用户远离恶意软件。

　　本文提出一个分析Windows平台的恶意软件和可疑文件的参考方法，该方法通过监视目标样本的执行后的行为观察，可对目标样本的性质、行为及影响进行判断。

　　恶意软件的定义：恶意软件(Malware，malicioussoftware的缩写)，指未经用户允许安装执行，会对用户及系统运行产生影响和危害的软件，包括病毒(Virus)、蠕虫(Worm)、木马(Trojan)、后门程序(Backdoor/Rootkit)、密码盗窃程序(Mal.PSW)及其他有以上所列恶意软件功能的软件。

　　分析原理和流程

　　关键词定义：

　　1)恶意软件样本：从各种媒介提取到的怀疑是恶意软件的可执行文件、可能包含恶意软件的压缩文件、Office文档等

　　2)软件行为：文档或可执行文件被用户直接或通过其他处理软件打开时该文件或系统执行的操作

　　样本分析原理：

　　在一个可控的Windows测试环境中，通过使用特定的监视工具软件，对目标样本文件打开后执行的操作进行记录，分析记录的结果并与已知的恶意软件行为进行对比，判断目标样本的性质和影响，最后提供受该目标样本影响的系统的清理方案。

　　样本分析流程：

　　1)测试环境搭建

　　2)分析工具软件的准备和安装

　　3)目标样本在测试环境系统上的运行监视、数据采集

　　4)结果处理和文档记录

　　环境准备和搭建

　　1、系统环境：

　　测试平台可选择使用虚拟机或者物理机搭建，两种选择的结果略有不同：如果使用虚拟机作为平台，需要先安装一套虚拟机软件，可以选择VMware(http://www.vmware.com)或VirtualPC(http://www.microsoft.com/windows/virtualpc/),然后在部署好的虚拟机中安装Windows操作系统;如果使用实体机，直接安装Windows操作系统即可。Windows安装完成后，使用WindowsUpdate给测试用操作系统升级，使其达到最新补丁版本状态。

　　本文使用的测试环境为VMwareworkstation上的WindowsXPprofessionalSP2英文版，并升级补丁到2006年11月底的最新版本。

　　2、分析软件：

　　1)系统监视软件

　　a)InstallRite:

　　InstallRite是一个软件安装监视复制工具，可以监视软件安装时对系统文件、注册表执行的改动。它可以用来监视目标样本在执行前后系统发生的改动。InstallRite可以从它的官方网站下载：http://www.epsilonsquared.com/installrite.htm

　　b)ProcessExplorer:

　　ProcessExplorer是一个监视系统当前运行进程、进程创建、进程删除及获取指定进程详细信息的工具，它可以用来分析目标样本对进程的操作。ProcessExplorer可以从它的官方网站下载：http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx

　　c)ProcessMonitor:

　　ProcessMonitor是ProcessExplorer的升级版本，它除了包含ProcessExplorer的功能外，还增加了文件和注册表操作监视功能,但是它进程监视功能使用方便性上比不上ProcessExplorer。它可以用来实时监视目标样本在执行过程中对系统文件、注册表的操作情况。ProcessMonitor可以从它的官方网站下载：http://www.microsoft.com/technet/sysinternals/processesandthreads/processmonitor.mspx

　　d)TCPView:

　　TCPView是一个监视网络连接与进程对应关系的工具，可用于分析目标样本在执行时进行网络操作的情况。TCPView可以从它的官方网站下载：http://www.microsoft.com/technet/sysinternals/utilities/TcpView.mspx

　　2)嗅探器

　　a)Ethereal：

　　Ethereal是一个功能强大的开源网络协议分析软件，它可用于存储和分析目标样本进行的网络传输的具体内容。Ethereal可以从它的官方网站下载：

　　http://www.ethereal.com/download.html

　　b)EffeTechHTTPSniffer:

　　EffeTechHTTPSniffer是一个专长于HTTP流量流量监视和分析的嗅探工具，可以用于分析Downloader一类使用HTTP协议和采用HTTP隧道封装进行通讯封装的目标样本。EffeTechHTTPSniffer可以从它的官方网站上下载：

　　http://www.effetech.com/download/

　　3)系统分析工具

　　a)RootkitRevealer：

　　RootkitRevealer是一个功能强大的Rootkit检测工具，可用于检测Rootkit类及带有Rootkit隐藏功能的目标样本。RootkitRevealer可以从它的官方网站下载:

　　http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx

　　b)Gmer：

　　Gmer是一个来自波兰的Rootkit检测工具，它的功能比RootkitRevealer稍多一点，检测的速度更快，可用于检测Rootkit类及带有Rootkit隐藏功能的目标样本。Gmer可以从它的官方网站上下载：

　　http://www.gmer.net/files.php

　　c)Autoruns:

　　Autoruns是一个功能强大的启动项管理工具，它可以直接操作注册表，管理常见的启动方式，可用于分析目标样本的自启动方式。Autoruns可以从它的官方网站上下载：

　　http://www.microsoft.com/technet/sysinternals/utilities/Autoruns.mspx

　　d)WinHex:

　　WinHex是一个功能强大的通用十六进制编辑工具，它可以用于对目标样本的内容进行查看和字符串查找。WinHex可以从它的官方网站下载：

　　http://www.x-ways.net/winhex/

　　e)FinalRecovery:

　　FinalRecovery是一个快速的反删除工具，它可以用于对目标样本执行过程中删除的文件进行恢复操作。FinalRecovery可以从它的官方网站下载：

　　http://www.finalrecovery.com/download.htm

　　3、文档准备：

　　在完成系统环境和分析软件的安装调试后，应该进行目标样本的记录文档设计。一个使用表格的记录文档的例子如下：

　　样本分析记录表格(1)

　　样本名称样本日期大小(Bytes)样本编号样本来源

　　Sample1.bak2006-1-25 72052060125A2Customer

　　VirusSample.dat2006-1-2521084060125A3Support

　　VirusSample2.dat2006-1-2514205060125A4Support

　　Trojansample.bak2006-1-25104272060125A5Customer

　　样本分析结果登记表 样本编号：060125A5

　　项目属性详细描述备注

　　自删除 是

　　启动方式Run Key\LMHK\Software\Windows\CurrentVers-ion\Run\TrojanRun Trojan.exe

　　释放文件否%SystemRoot%\Trojan.exe复制到%SystemRoot%

　　进程注入是注入到iexplore.exe

　　网络连接TCP连接到212.24.55.188:80Nobody.noip.cn (DNS)

　　其他属性 网络连接、文件不隐藏

　　网络连接不加密