計(jì)算機(jī)病毒與惡意代碼 課件 2-1-1病毒分析常用工具

計(jì)算機(jī)病毒與防治重慶電子工程職業(yè)學(xué)院計(jì)算機(jī)病毒與防治課程小組教學(xué)單元2-1病毒行為分析平臺(tái)

判斷文件類型

關(guān)于Ultraedit

文件修復(fù)

第一講病毒分析常用工具計(jì)算機(jī)病毒與防治課程小組小結(jié)

分離捆綁文件

Ultraedit介紹計(jì)算機(jī)病毒與防治課程小組

Ultraedit是一套功能強(qiáng)大的文字、Hex、ASCII碼編輯器，可以取代記事本，內(nèi)建英文單字檢查、C++及VB指令突顯，可同時(shí)編輯多個(gè)文件，而且即使開啟很大的文件速度也不會(huì)慢。其并且附有HTMLTag顏色顯示、搜尋替換以及無限制的還原功能，常被用其來修改EXE或DLL文件。在病毒分析中它可以用來分析和修復(fù)文件。

計(jì)算機(jī)病毒與防治課程小組Ultraedit功能界面

UltraEdit的啟動(dòng)很簡單，可以選擇要編輯的文件，然后在右鍵菜單中選擇“UltraEdit-32”即可，使用起來簡單、方便。UltraEdit的主界面，上面是標(biāo)題欄、菜單和工具欄，下部為文本編輯區(qū)，我們打開的文件就顯示在文本編輯區(qū)中這里。Ultraedit功能界面

計(jì)算機(jī)病毒與防治課程小組判斷文件類型我們?nèi)匀豢梢酝ㄟ^Ultraedit來分析頭文件的方法來判斷文件類型。使用UltraEdit打開文件，并采用十六進(jìn)制查看。如下圖所示是一個(gè)doc文件，它的十六進(jìn)制文件是以D0CF11E0開頭?？梢赃@樣說，正常的office文件，如果以十六進(jìn)制文件形式打開，那么文件頭都應(yīng)該是D0CF11E0。使用Ultraedit打開word文件

計(jì)算機(jī)病毒與防治課程小組判斷文件類型除了通過文件頭部反應(yīng)出的文件類型，在用Ultraedit查看十六進(jìn)行文件內(nèi)容中，同樣可以看到Microsoftofficeword這樣的反應(yīng)文件類型的內(nèi)容。

使用Ultraedit查看到的文件相關(guān)信息計(jì)算機(jī)病毒與防治課程小組判斷文件類型使用UltraEdit打開圖片文件在打開的十六進(jìn)制文件中，有GIF字樣，并且文件以47494638開頭，由此可以判斷這是一個(gè)圖片文件，并且是GIF類型的圖片文件。計(jì)算機(jī)病毒與防治課程小組判斷文件類型文件類型后綴名文件頭內(nèi)容WorddocD0CF11E0PowerPointpptD0CF11E0excelexlD0CF11E0JPEGjpgFFD8FFPNGpng89504E47GIFgif47494638XMLxml3C3F786D6CHTMLhtml68746D6C3EOutlookpst2142444EAdobeAcrobatpdf255044462D312EZIPArchivezip504B0304RARArchiverar52617221WindowsMediaasf3026B2758E66CF11MPEGmpg000001BAMPEGmpg000001B3計(jì)算機(jī)病毒與防治課程小組文件修復(fù)在某些時(shí)候當(dāng)我們打開一個(gè)word文檔時(shí)可能出現(xiàn)無法打開的情況，碰到這種情況很多人往往束手無策，這時(shí)候就可以用UltraEdit來試著解決這個(gè)問題。

文件無法打開計(jì)算機(jī)病毒與防治課程小組文件修復(fù)

用UltraEdit來打開損壞的文件，這時(shí)我們可以看到這個(gè)word文件并不是以D0CF11E0開頭，并且開頭處有“mz”字樣。查看實(shí)驗(yàn)文件的文件頭

計(jì)算機(jī)病毒與防治課程小組關(guān)于捆綁文件

捆綁文件的原理很簡單，就是把兩個(gè)文件捆綁在一起，當(dāng)其中一個(gè)文件被運(yùn)行時(shí)，另外一個(gè)文件也會(huì)被同時(shí)運(yùn)行。捆綁文件的檢測方法很簡單。對(duì)于一個(gè)完整有效的PE文件或者是EXE文件，它里面都包含了幾個(gè)絕對(duì)固定的特點(diǎn)，一是文件以MZ開頭，跟著DOS頭后面的PE頭以PE\0\0開頭。有了這兩個(gè)特點(diǎn)，檢測就變得很簡單了。只需利用UltraEdit一類工具打開目標(biāo)文件搜索關(guān)鍵字MZ或者PE，如果找到兩個(gè)或者兩個(gè)以上，則說明這個(gè)文件一定是被捆綁了。計(jì)算機(jī)病毒與防治課程小組文件修復(fù)

在初步判斷實(shí)驗(yàn)文件可能是捆綁文件后，接下來我們查找十六進(jìn)制文件中是否含有D0CF11E0字樣，判斷一下該文件是否有可能是真正的office文件。我們利用UltraEdit的查找工具，在文件中查找D0CF11E0。在文件中查找關(guān)鍵內(nèi)容計(jì)算機(jī)病毒與防治課程小組文件修復(fù)

在找到D0CF11E0所在的位置之后，將該位置前的所有內(nèi)容剪切掉，然后將剪切后的文件另存為一個(gè)新的文件“實(shí)驗(yàn)文件（修正）.doc”。保存修改后的文件計(jì)算機(jī)病毒與防治課程小組文件修復(fù)

將保存的文件重新打開，我們可以發(fā)現(xiàn)文件可以正常打開了。打開修復(fù)后的文件

計(jì)算機(jī)病毒與防治課程小組分離捆綁文件

首先我們打開一個(gè)可執(zhí)行文件RegistryMonitor，我們可以看到圖所示圖片，這是一個(gè)注冊表監(jiān)視工具。注冊表監(jiān)視器

計(jì)算機(jī)病毒與防治課程小組分離捆綁文件

接下來用UltraEdit打開文件，我們會(huì)發(fā)現(xiàn)該文件是以“mz”字樣開頭。我們可以初步判斷該文件是一個(gè)捆綁文件。接下來，我們查找文件中是否還有“mz”字樣的內(nèi)容。我們將第二個(gè)“mz”之前的內(nèi)容剪切掉，將剩下的文件內(nèi)容另外保存。查找文件中的關(guān)鍵內(nèi)容

計(jì)算機(jī)病毒與防治課程小組分離捆綁文件

將重新保存的文件打開之后我們可以看到分離出的是一個(gè)可執(zhí)行文件TCPView，如圖所示。該文件和分離之前的文件已經(jīng)不是同一個(gè)文件了。分離出的文件本講