对病毒木马的行为分析,离不开功能强大的分析软件,在众多的分析工具中,SysAnalyzer无疑是其中的佼佼者,其特点是分析自动化程度高,而且可以生成详细的分析报告。其运行原理并不复杂,通过对可疑程序运行前后、对系统分别进行扫描分析并拍摄快照,然后对两个快照进行对比分析,找出可疑程序对系统所做的所有修改,并将其写入报告文件中,通过对报告进行分析,可以很容易发现病毒的踪迹。为了安全起见,最好在虚拟机中运行SysAnalyzer对可疑文件进行分析处理。
图4 SysAnalyzer主界面
SysAnalyzer的界面很简单(如图4所示),在“Executable”栏中点击浏览按钮,选择需要分析的可疑程序,在“Delay”栏中可以设置拍摄两个快照的间隔时间,一般使用默认值即可。在“Option”栏中选择“Use SniffHit”项,开启嗅探功能,可以用来分析和可疑文件相关的端口、连接、数据传输等网络活动信息。选 择“Use ApiLogger”项,可以监控和可疑文件相关的API调用情况。选择“Use Directory Watch”项,可以开启文件监视功能,可以监控可疑文件对文件系统或者注册表进行的修改动作。
这里就以某款病毒为例进行分析操作,选择该病毒程序后,并选择所有的监控项目,点击“Start”按钮,SysAnalyzer在该程序运行前对系统拍摄快照,之后运行该程序,并对其运行情况进行嗅探和监视,当该程序运行完毕后,再拍摄系统快照,并对两个快照进行分析处理,得到所需的分析数据。
例如,在分析窗口(如图5所示)底部打开“Running Processes”面板,可以看到新增加的进程信息,例如“safe_test.exe”、“setup.tmp” 等 进程信息,并显示其具体的PID、使用者等信息。在目标进程上点击右键,利用弹出菜单可以依次执行显示调用的DLL文件、转存文件、结束进程、显示文件属性等操作。在“Open ports”面板中显示该可疑程序打开的所有端口信息,包括打开的端口、使用的协议、传输的数据等内容。如果是木马的话,可以在这里暴露其踪 迹。在“Process Dlls”面板中显示插入到Explorer.exe、Iexplorer.exe等系统进程中的DLL文件,现在很多DLL木马都会将自身注入到别的进程中,来避开杀毒软件的监控,在这里可以使其原形毕露。在“Reg Monitor”面板中显示该可疑程序对注册表中所做的所有修改,例如 其 在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”分支中创建了一个名为“evil”的启动项,以及跟随系统启动的病毒文件等信息。
图5 查看病毒分析信息
在“Loaded Drivers” 面板中显示该病毒创建的驱动文件,可以看到该病毒创建了后缀为“sys”,名称随机产生的驱动文件,通过潜入系统底层对系统进行破坏。在“Api Log”面板中显示与该可疑程序相关的API函数调用情况。在“Directory Watch”面 板中显示该可疑程序相关的所有文件变动信息,包括创建、删除、修改文件等行为。可以看到,其在系统路径中创建了多个DLL文件,同时在程序文件夹中,以及用户配置文件夹的特定位置等生成了几个EXE、DLL、BAT、SCR 等 可执行文件。点击窗口右下角的“report”按钮,在报告窗口中点击“Save”按钮,可以在桌面上创建名为“analysis”的文件夹,打开其中的“setup_report.txt”文件,可以查看详细的分析数据,对其进行分析,可以很容易地发现狡猾病毒的活动情况。