对一款病毒(木马)程序的分析

最新推荐文章于 2025-06-11 13:43:31 发布
最新推荐文章于 2025-06-11 13:43:31 发布
阅读量995 收藏 3
点赞数
CC 4.0 BY-SA版权
文章标签: 运维 c/c++ 操作系统
原文链接:https://yq.aliyun.com/articles/496708
本文详细介绍了一款特定木马病毒的手动清除过程,包括病毒的识别、属性查看、使用工具软件获取信息以及最终的手动清除步骤。适用于希望深入了解病毒工作原理及清除技巧的技术人员。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


对一款病毒(木马)程序的分析

    普通用户一听到病毒(木马)软件,就会觉得很神秘,虽然它听起来比较专业不是普通用户所能掌握的,其实它们并不如想象中的那么神秘,所有病毒(木马)软件都要借助一定的媒介和载体,网络和优盘(移动设备等)是病毒传播的主要媒介。病毒和木马程序表现在细微之处,那就是它们必须在磁盘中以文件形式存在,它们会采取一定的策略和多种方法来隐藏自己,因此通过跟踪和分析病毒文件可以彻底的清除病毒(木马)程序。本文就是从文件的角度去清除一款病毒程序。
(一)识别病毒
     在本文中已经对木马病毒文件进行了精确的定位,即文件wmgtpvd.exe为病毒文件。病毒文件的定位有以下几种方式:
1)使用杀毒软件对磁盘文件进行杀毒扫描,扫描结束后,病毒软件会显示查杀结果,在这些结果中,查杀到的病毒文件往往以红色进行醒目显示。
2)使用抓包工具进行端口监听。计算机启动后,默认状况下不进行任何正常应用程序的网络连接,如果在抓包工具中发现有网络连接,那么可以认为,系统可能存在木马程序,在对外进行网络连接。
3)使用一些进程查看软件进行查看。
(二)查看病毒属性
    选中“wmgtpvd.exe”文件后,右键单击,在弹出的菜单中选择“属性”,然后在“wmgtpvd.exe属性”中选择“版本”进行版本信息等查看,如图1所示。
查看病毒程序文件属性
说明:
1)通过文件属性可以查看该木马程序的产品版本、产品名称、公司以及语言等信息。通过文件属性主要了解该病毒可能是来自那个国家,不过有些病毒编写者会混淆语言,比如病毒编写者是日本人,他的本国语言应该是日语,但他编写的语言采用英语,因此查看文件属性中显示为“English”,不能判断该程序就是英国人编写的。
2)通过文件的描述进行相关搜索和判断。透过文件描述来判断该程序是否为系统或者应用程序正常文件。这个判断往往跟经验相关,普通用户判断相对较难。不过网络搜索可以解决该问题。打开浏览器后可以在百度以及Google等搜索引擎中查找该文件的相关信息,如图2所示。在Google中没有查到该病毒文件的任何信息,后面我又在百度中进行了搜索,也没有任何结果。该文件太过于生疏,因此极有可能是非流行病毒程序。由于目前网络用户过亿,很多用户会在碰到病毒后将碰到的问题发表在bbs等处以获取帮助。
通过Google等搜索引擎查找病毒信息
(三)通过工具软件打开病毒文件,获取病毒文件相关信息
    对于exe文件不要直接运行,可以使用Winhex或者UltraEdit等工具软件使用二进制格式方式打开病毒文件,打开后依次从上往下查看右边的信息,如图3所示,可以发现该病毒文件是以将病毒插入到svchost.exe进程,且会访问网站地址:[url]http://zht.9966.org/worldmanage/default.aspx[/url]
使用UltraEdit打开病毒文件
说明:
1)一般来讲病毒文件不会将所有的字符串处理掉,因此总会在文件中保留一部分字符串,通过UltraEditWinHex等文件编辑或者OD等汇编工具打开病毒文件后可以查看留在文件中的字符串。通过这些字符串往往可以获取一些重要信息,例如木马访问网站地址、木马释放文件、启动方式等。
2)一般来讲,病毒软件往往都会被加壳,在查看文件时可以先使用PEidFi等探壳程序进行查壳,直接将病毒文件拖进Peid窗口即可,如图4所示,知道该文件没有加壳,采用Microsoft Visual C++6.0编写而成。
使用PEid查看病毒的壳
3)在查看本病毒文件中还发现存在“cluslib.dll”这个文件,如图5所示,该文件应该是一个服务加载程序。
获取服务加载程序
(四)清除病毒文件
     清除病毒文件有多种方法,一种就是使用杀毒软件查杀,该方式只能对已知病毒进行查杀,另外就是手工清除病毒文件,手工清除有纯粹的手工删除,还有一种是借助安全检查软件来辅助删除。下面给出一个手工删除病毒文件的流程。
1)使用经常管理器或者任务管理器结束病毒打开的进程。
2)找到病毒文件所在的具体目录,然后将病毒文件删除掉。
3)删除病毒服务启动选项。
4)从注册表中查找跟病毒文件名称相关的信息,找到后,如果确认跟病毒相关则删除掉。
5)重新启动计算机。使用端口检查器以及进程查看器查看病毒是否仍然连接网络和打开新的进程,如果没有则表示病毒彻底的被清除掉了。
在对本病毒处理时,首先打开DOS命令提示符到目录使用“dir cluslib.dll /s /a”命令查看文件,找到文件后使用兵刃(Icesword)软件中的文件强制删除将该文件删除掉,然后删除病毒主程序wmgtpvd.exe,最后删除注册表中有关wmgtpvd.execluslib.dll的信息。重启计算机后,对进程和端口检查,一切正常,对该病毒处理完毕。


 本文转自 simeon2005 51CTO博客,原文链接:http://blog.51cto.com/simeon/74305
分析一款病毒程序
xiaoyuai1234的博客
07-04 1235
首先要谢谢吾爱的@Youngs提供的样本,我用自己的思路在分析一遍 首先对行为进行分析,发现他在运行本身的同时还释放了一个小程序 程序本身创建了开机自启动项 还原一部分代码如下: void AddReg() { char RegName[]="SoftWare\\Microsoft\\Windows \\CurrentVersion\\Run"; char szBu
linux病毒木马分析,Linux平台“盖茨木马分析
weixin_42557803的博客
05-14 1384
最近对Linux.BackDoor.Gates.6的一个病毒样本进行了分析,通过调查发现Linux盖茨木马是一类有着丰富历史,隐藏手法巧妙,网络攻击行为显著的DDoS木马。这篇文章主要介绍了Linux盖茨木马分析过程,同时会讲解在Linux环境下恶意软件分析的常用技巧和安全工具的使用方法。盖茨木马整体情况此类Linux木马主要恶意特点是具备了后门程序,DDoS攻击的能力,并且会替换常用的系统文件...
病毒分析的工具 FFI PE 木马样本进行系统处理
01-16
本工具是一款辅助进行病毒分析的工具,它包括各种文件格式识别功能,使用超级巡警的格式识别引擎,集查壳、虚拟机脱壳、PE文件编辑、PE文件重建、导入表抓取(内置虚拟机解密某些加密导入表)、进程内存查看/DUMP、附加数据处理、文件地址转换、PEID插件支持、MD5计算以及快捷的第三方工具利用等功能,适合病毒分析中对一些病毒木马样本进行系统处理。 本软件产品为免费软件,用户可以非商业性地下载、安装、复制和散发本软件产品。如果需要进行商业性的销售、复制和散发,例如反病毒公司用来批量分析木马,必须获得DSWLAB的授权和许可,商业公司及团队使用本软件必须获得DSWLAB的授权和许可。 详细功能说明如下: 一、查壳功能: 支持文件拖拽,目录拖拽,可设置右键对文件和目录的查壳功能,除了FFI自带壳库unpack.avd外,还可以使用扩展壳库(必须命名为userdb.txt,此库格式兼容PEID库格式,可以把自己收集的userdb.txt放入增强壳检测功能)。 注:如果是使用扩展库里特征查出的壳,在壳信息后面会有 * 标志。 二、脱壳功能: 如果在查壳后,Unpack按钮可用,则表示可以对当前处理文件进行脱壳处理,采用虚拟机脱壳技术,您不必担心当前处理文件可能危害系统。 三、PE编辑功能: 本程序主界面可显示被检查的程序的入口点/入口点物理偏移,区段等信息,并且提供强大的编辑功能。 其中PE Section后按钮可以编辑当前文件的节表,点击后出现Sections Editor窗口。 主要功能有:
一个简单的木马程序分析
weixin_47633814的博客
12-04 3493
目录Mini木马的基本原理 Mini木马的基本原理 Mini木马作为早期的远程控制类木马,基本工作原理是基于TCP的Socket技术,
【2025详细版】木马病毒的危害,从零基础入门到精通,收藏这篇就够了
Button12138的博客
06-11 1579
网络普及的同时也给大家的财产等造成威胁,木马则是不法分子攻击的手段。知己知彼,百战不殆,因此了解木马本身是必要的,下面向大家介绍下木马。含义介绍|计算机木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,是具备破坏和删除文件、发送密码、记录键盘和攻击Dos等特殊功能的后门程序木马程序表面上是无害的,它们经常隐藏在游戏或图形软件中,但它们却隐藏着恶意。这些表面上看似友善的程序运行后,就会进行一些非法的行动,如删除文件或对硬盘格式化。完整的木马程序一般由两部分组成;一个是服务器端.一个是控制器端。
一个感染型木马病毒分析(二)
Fly20141201. 的专栏
08-12 4546
作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了具体的分析见一个感染型木马病毒分析(一),但是觉得还不够,不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了。下面就针对该感染型木马病毒的感染性、木马性以及被感染文件的恢复几个方面进行具体的分析和说明,直观感受一下病毒的感染性、木马性质。   0x2病毒木马性的分析---远程
木马APP的简单分析(Android Killer分析)
dfdhxb995397的博客
11-01 756
本文作者:三星s7edge 一.此贴目的:分析一个木马APP样本的行为。—————————————————————————————————————————————————-二.分析步骤及结果: 文件名称:Project_Mod.apk MD5值: 773833c1e4632aaa6b000e891dc49d4b 文...
系统行为监控分析工具,木马病毒等非法程序排查的得力助手
02-23
1、从监控文件入手,当监控整个c盘时基本上可以找出所有正在操作的文件,可以查看整个系统实时文件的变动记录,并对文件进行查询删改等操作,锁定文件后可以找出哪些进程在操控他,排查到实体程序。 2、从监控进程...
毕业论文-木马病毒分析PDF
10-24
本论文对目前较为流行的木马技术的实现方式、工作原理及远程控制的关键技术进行系统的研究,重点对木马程序的进程实现、受控端与控制端通信进行剖析。在研究Windows平台下特洛伊木马关键技术的基础上,给出一种木马...
木马病毒分析计算机科学技术大学论文(1).doc
最新发布
07-09
通过对木马程序各组件和功能模块的详细分析,揭示了木马病毒如何通过网络进行传播、如何隐蔽地驻留在目标计算机中,并远程控制受感染计算机。 在本研究中,对于木马病毒的关键技术分析主要从以下几个方面入手: 1. ...
本科毕业设计论文--木马病毒分析计算机科学技术.doc
07-08
木马的远程控制是指木马程序对目标计算机的远程控制,包括木马程序的远程监控、木马程序的远程执行等。 在研究木马技术的基础上,本论文还对木马对远程计算机进行有效实时监控的系统设计与实现进行了研究。该系统...
计算机病毒木马程序设计剖析- 修改系统文件(源代码)
04-22
修改系统文件 modifyfile.vcproj 这是使用“应用程序向导”生成的 VC++ 项目的主项 目文件。它包含有关生成文件的 Visual C++ 版本的 信息,以及有关用“应用程序向导”所选择的平台、 配置和项目功能的信息。 modifyfile.h 这是应用程序的主头文件。它包含其他项目特定的头 文件(包括 Resource.h),并声明CmodifyfileApp 应用程序类。 modifyfile.cpp 这是包含应用程序类 CmodifyfileApp 的主应用程序 源文件。 modifyfile.rc 这是程序使用的所有 Microsoft Windows 资源的列 表。它包含存储在RES子目录中的图标、位图和光标。 可直接在 Microsoft Visual C++ 中编辑此文件。项 目资源包含在 2052 中。 res\modifyfile.ico 这是一个图标文件,用作应用程序的图标。此图标包 含在主资源文件 modifyfile.rc 中。 res\modifyfile.rc2 此文件包含不由 Microsoft Visual C++ 编辑的资源。 应将所有不能由资源编辑器编辑的资源放在此文件中。 //////////////////////////////////////////////////// 应用程序向导将创建一个对话框类: modifyfileDlg.h、modifyfileDlg.cpp - 对话框 这些文件包含 CmodifyfileDlg 类。此类定义应用程 序主对话框的行为。此对话框的模板包含在 modifyfile.rc 中,而此文件可以在 Microsoft Visual C++ 中进行编辑。 //////////////////////////////////////////////////// 其他功能: ActiveX 控件 应用程序支持使用 ActiveX 控件。 打印支持和打印预览支持 应用程序向导已生成了一些代码,通过从 MFC 库调用 CView 类中的成员函数来处理打印、 打印设置和打印 预览命令。 //////////////////////////////////////////////////// 其他标准文件: StdAfx.h、StdAfx.cpp 这些文件用于生成名为 modifyfile.pch 的预编译头 文件 (PCH)和名为 StdAfx.obj 的预编译类型文件。 Resource.h
木马病毒原理及特征分析
12-05
木马原理的分析,形象易懂,看过后会很有帮助
病毒诊断分析程序病毒分析师的福音)
chenhui530的专栏
09-23 6113
 此程序是一个专业的病毒诊断分析程序。08-09-26修正版:修正了某些情况下会漏点一些进程没监控的情况 08-10-11修正四版:修正了在监视某些IE程序时路径过长导致的蓝屏情况http://p.blog.youkuaiyun.com/images/p_blog_youkuaiyun.com/chenhui530/EntryImages/20080926/最新诊断程序(修正版).jpghttp://
[分享]一款木马分析
crashMaker的博客 - 匠心,一种坚持的倔强
09-28 452
[原创]一款木马分析 前几天遇到一个人,他说中毒了,本来想要样本,结果他说没有,只有感染的文件,就发了一个给我,我就用这个被感染的文件来分析一下,样本感染程序之后都做了哪些工作~~~附件中的spy是一个被感染的程序,当我们运行spy的时候,其实已经在背后做了很多事,下面我们就来看看它在背后做了些什么工作吧~~~原创链接:https://bbs.pediy.com/thread-128470.h
木马程序病毒
m0_49025459的博客
01-28 3755
"特洛伊木马"(trojan horse)简称"木马",据说这个名称来源于希腊神话《木马屠城记》。古希腊有大军围攻特洛伊城,久久无法攻下。于是有人献计制造一只高二丈的大木马,假装作战马神,让士兵藏匿于巨大的木马中,大部队假装撤退而将木马摈弃于特洛伊城下。城中得知解围的消息后,遂将"木马"作为奇异的战利品拖入城内,全城饮酒狂欢。到午夜时分,全城军民尽入梦乡,匿于木马中的将士开秘门游绳而下,开启城门及四处纵火,城外伏兵涌入,部队里应外合,焚屠特洛伊城。后世称这只大木马为"特洛伊木马"。
木马病毒分析笔记
m0_45503137的博客
05-06 2358
1.样本概况 1.1样本信息 文件: C:\Users\86134\Desktop\火\02156056304b0ef8122f0363efee43ec64013dfe.exe 大小: 57344 bytes 文件版本:1.00 修改时间: 2020年4月21日, 12:23:06 MD5: 26D9D3DE6426BB6F9D5F6B4039C3A1C0 SHA1: 02156056304B0E...
透视木马程序开发技术: 源代码详解()
11-10 667
近年来,黑客技术不断成熟起来,对网络安全造成了极大的威胁,黑客的主要攻击手段之一,就是使用木马技术,渗透到对方的主机系统里,从而实现对远程操作目标主机。 其破坏力之大,是绝不容忽视的,黑客到底是如何制造了这种种具有破坏力的木马程序呢,下面我对木马进行源代码级的详细的分析,让我们对木马的开发技术做一次彻底的透视,从了解木马技术开始,更加安全的管理好自己的计算机。 1、木马程序的分类木马程序
火眼病毒木马分析
weixin_34236869的博客
01-14 260
本文的原文连接是: http://blog.youkuaiyun.com/freewebsys/article/details/50515004 未经博主允许不得转载。 博主地址是:http://blog.youkuaiyun.com/freewebsys 1,木马分析 最近服务器中招了,破windows。 找到了一个木马分析云端软件。火眼,网站是:...
FFI PE工具:全面分析病毒木马样本
FFI拥有查壳、脱壳、PE文件编辑、重建、导入表抓取、进程内存查看/DUMP、附加数据处理、文件地址转换、PEID插件支持、MD5计算等多种功能,旨在支持安全研究人员和反病毒专家对疑似病毒木马的样本进行分析。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值