国内资深黑客浅谈恶意代码的研究分析

核心提示： ◆通过注册表监视工具RegMon，监视病毒运行时对注册表的操作行为；通过文件监视工具FileMon监视病毒运行时对文件的操作行为，国内资深黑客浅谈恶意代码的研究分析(5)，也可以用快照工具RegSnap进行注册表和指定目录下的文件进行前后对比，快速找出病毒新建和修改的注册表，这样就必然要进

◆通过注册表监视工具RegMon，监视病毒运行时对注册表的操作行为；通过文件监视工具FileMon监视病毒运行时对文件的操作行为。也可以用快照工具RegSnap进行注册表和指定目录下的文件进行前后对比，快速找出病毒新建和修改的注册表，以及本地文件的释放行为。

文件运行后会释放以下文件

%System32%/drivers/spo0lsv.exe　　32,768字节

新增注册表

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun un]

%System32%/drivers/spo0lsv.exe

另外有些还需要手工进行查找。如对IE的临时文件、host文件、msconfig文件等进行手工分析，查看是否对这些文件进行修改或者在目录下生成新的文件。

◆通过Sniffer工具进行网络监视。后门类与木马类病毒在成功感染后，往往会把搜集到的用户信息发送出去，或是主动连接下载病毒的主程序，这样就必然要进行网络操作。通过一些网络监视工具，来发现病毒的网络行为。

本样本通过sniffer工具抓包分析的连接网络行为如下：

协议：TCP

域名或IP地址：www.yahoo.com (209.131.36.158)

端口：80

对目标主机的操作：通过QQ代理进行访问www.yahooo-ht3.akadns.net

协议：TCP

域名或IP地址：www.tom.com (202.108.12.68)

端口：80

对目标主机的操作：通过QQ代理进行访问www.web.cdn.tomcdn.com