Virut样本取证特征
生活随笔
收集整理的这篇文章主要介绍了
Virut样本取证特征
小编觉得挺不错的,现在分享给大家,帮大家做个参考.
1、网络特征
ant.trenz.pl ilo.brenz.pl2、文件特征
通过对文件的定位,使用PEID查看文件区段,如果条件符合增加了7个随机字符区段的文件,则判定为受感染文件。
3、受感染特征
参考:
【病毒分析】Virut.ce-感染型病毒分析报告
http://www.cnblogs.com/17bdw/p/7776877.html
4、证明正常进程空间里含有恶意代码
把受感染进程的内存dump出来,通过微软工具String将内存里的字符串打印出来,搜索IOC域名字符串就可以看到网络特征里的域名了。注:图中604这个PID号对应受感染后的Winlogon进程。
尝试把Winlogon的DLL全都dump出来,依次用Strings打印出来。就可以定位到哪个DLL里有被注入的ShellCode了
转载于:https://www.cnblogs.com/17bdw/p/9011964.html
总结
以上是生活随笔为你收集整理的Virut样本取证特征的全部内容,希望文章能够帮你解决所遇到的问题。
- 上一篇: 为什么需要StringBuffer
- 下一篇: 面试常见问题及回答技巧