สร้างเครื่องมือตรวจการทำงานไวรัสแบบง่ายๆ ใช้วิธีการ hook เพื่อตรวจดูว่า มี APIs ตัวไหนกำลังถูกใช้งาน
โดยจะ hook APIs ที่นิยมในการเขียนไวรัส เช่น CopyFile,CreateProcess,CreateFile,DeleteFile
ทำให้เรารู้ว่าไวรัสกำลังทำิอะไรอยู่ โปรแกรมนี้ เน้นเอาไว้ทดลอง ปกติก็จะมีโปรแกรมอย่าง filemon,regmon ที่วิเคราะห์ได้
ละเอียดกว่านี้อยู่แล้ว


รูปตัวอย่าง การเอา Virus Win32.Sality.aa มาลองดูซิ่ว่ามันพยายามกำลังทำอะไรกับเครื่องเรา


มันพยายามกระจายไปไดร์ฟต่างๆ C ถึง Z และพยายามแทรกตัวเองเข้าไปไฟล์อื่นๆ ตลอดเวลา
เมื่อมีไฟล์ถูกสร้างมันก็ลบทิ้งทันทีเพื่อลบร่องรอย





**Hidden Content: To see this hidden content your post count must be 20 or greater.**