neoclassic
19-03-2009, 03:11 PM
สร้างเครื่องมือตรวจการทำงานไวรัสแบบง่ายๆ ใช้วิธีการ hook เพื่อตรวจดูว่า มี APIs ตัวไหนกำลังถูกใช้งาน
โดยจะ hook APIs ที่นิยมในการเขียนไวรัส เช่น CopyFile,CreateProcess,CreateFile,DeleteFile
ทำให้เรารู้ว่าไวรัสกำลังทำิอะไรอยู่ โปรแกรมนี้ เน้นเอาไว้ทดลอง ปกติก็จะมีโปรแกรมอย่าง filemon,regmon ที่วิเคราะห์ได้
ละเอียดกว่านี้อยู่แล้ว
รูปตัวอย่าง การเอา Virus Win32.Sality.aa มาลองดูซิ่ว่ามันพยายามกำลังทำอะไรกับเครื่องเรา
http://pic.citec.us/out.php/i13418_proac1.JPG
มันพยายามกระจายไปไดร์ฟต่างๆ C ถึง Z และพยายามแทรกตัวเองเข้าไปไฟล์อื่นๆ ตลอดเวลา
เมื่อมีไฟล์ถูกสร้างมันก็ลบทิ้งทันทีเพื่อลบร่องรอย
http://pic.citec.us/out.php/i13419_proac2.JPG
**Hidden Content: Check the thread to see hidden data.**
โดยจะ hook APIs ที่นิยมในการเขียนไวรัส เช่น CopyFile,CreateProcess,CreateFile,DeleteFile
ทำให้เรารู้ว่าไวรัสกำลังทำิอะไรอยู่ โปรแกรมนี้ เน้นเอาไว้ทดลอง ปกติก็จะมีโปรแกรมอย่าง filemon,regmon ที่วิเคราะห์ได้
ละเอียดกว่านี้อยู่แล้ว
รูปตัวอย่าง การเอา Virus Win32.Sality.aa มาลองดูซิ่ว่ามันพยายามกำลังทำอะไรกับเครื่องเรา
http://pic.citec.us/out.php/i13418_proac1.JPG
มันพยายามกระจายไปไดร์ฟต่างๆ C ถึง Z และพยายามแทรกตัวเองเข้าไปไฟล์อื่นๆ ตลอดเวลา
เมื่อมีไฟล์ถูกสร้างมันก็ลบทิ้งทันทีเพื่อลบร่องรอย
http://pic.citec.us/out.php/i13419_proac2.JPG
**Hidden Content: Check the thread to see hidden data.**