2018-01-08
721
1)Отключить текущую антивирусную программу. Приведем пример отключения программа Антивирус Касперского 2010. Для этого необходимо зайти в Настройки программы и в пункте меню Защита снять галочку Включить защиту и нажать кнопку Применть:
Рисунок 4.1 – Отключение антивирусной защиты Касперского
2) Настроить среду запуска вирусов.
2.1) Создать новую песочницу в программе Sandboxie. Для этого откройте программу и перейдите в меню «Песочница->Создать новую песочницу»
2.2) Запретить форсирование программ. Это необходимо для того чтоб каждая запускаемая программа не переносилась в песочницу. Для это необходимо выбрать в меню «Файл->Запретить форсированные программы».
2.3) В папку песочницы (C:\Sandbox\..\..\drive\C) поместить исходный образец вируса(выбрать любой из архива с вирусами, прилагаемом на диске или же найти самостоятельно. Пароль на архив с вирусами - 1), а также исходные копии программ tester1.exe и tester2.exe.
2.4) Поменять расширение вируса на *.exe.
2.5) Запустить вирус, который находится в папке песочницы
|
|
|
Примечание: некоторые вирусы за один запуск инфицируют только один файл. Исходный размер тестовых программ – 3кб, если после запуска вируса их размер остался неизменным, то запустите вирус еще раз.
2.6)Завершить все процессы в песочнице.
Рисунок 4.2 – Завершение процессов в песочнице
3) Провести анализ зараженных файлов
3.1) Запустить программу WinHex.
3.2) Открыть в WinHex зараженные программы tester1.exe и tester2.exe.
3.3) Проведите сравнение двух копий инфицированных программ для этого выполните Tools->File Tools->Compare..
Рисунок 4.3 – Сравнение файлов в WinHex
3.4) Установить настройки сравнения.
Во-первых, задать смещение в зараженных файлах, с которого начнется операция сравнения, в нашем случае оно равно С00(hex) или 3072(dec) (данный размер соответствует размеру неинфицированных программ tester1 и tester2; при использовании других исходных копий незараженных образцов данное смещение необходимо вычислить самостоятельно).
Во-вторых, установить значение поля Compare. Данное значение рассчитывается как «текущий размер программы tester1.exe минус смещение». В нашем случае:
5120 – 3072 = 2048 (байт)
Выбрать пункт "Search equal bytes" и нажать Ok.
Рисунок 4.4 – Установка параметров сравнения
3.5) В полученном отчете найти цепочку, последовательно идущих байт (в приведенном примере С00-С14).
Рисунок 4.5 – Определение сигнатуры
3.6)Установить антивирусную программу ClamWinPortable. Для этого запустите ClamWinPortable_0.95.3_English.paf.exe и укажите в какую папку разархивировать программу.
3.7)Перейти в папку ClamWinPortable\Data\db
3.8) Создать базу данных, содержащую сигнатуру, найденного вируса (Правила и примеры создания сигнатур[10]):
|
|
|
Создать текстовый файл и переименовать его в “sign.db”.
3.9) Поместить в файл запись вида:
ваше название вируса=ваша сигнатура вируса
В нашем случае данная запись будет иметь вид:
test_virus=609CBD003000008DB5372040008BFEB9BC000000BB
3.10) Открыть консоль. Для этого нажмите на кнопке Пуск и выберите команду Выполнить. В появившемся диалоговом окне введите cmd.exe и нажмите кнпоку Ok.
3.11) Перейти в папку "ClamWinPortable\App\clamwin\bin"
3.12) Набрать команду:
clamscan.exe -r -d..\..\..\Data\db C:\Sandbox\..\test\drive\
3.13) Ознакомится с результатом работы антивирусной программы. Результат работы антивирусного сканера поместить в отчет по работе.
3.14) Зайдите на сайт http://www.virustotal.com/ru/ и загрузите одну из зараженных копий программы tester.exe для анализа. Название вашего вируса вставьте в отчет по работе.
Будьте внимательны, ваше антивирусное ПО все еще отключено.
3.15) По названию вируса, используя поисковую систему или же специальный сайт http://www.securelist.com/ru/, найдите описание вашего вируса и вставьте его в отчет.
3.16) Удалите зараженные версии программы tester.exe и оригинальный вирус. Включите антивирусное программное обеспечение.
