Virut样本取证特征
1、网络特征
ant.trenz.pl
ilo.brenz.pl
2、文件特征
通过对文件的定位,使用PEID查看文件区段,如果条件符合增加了7个随机字符区段的文件,则判定为受感染文件。
3、受感染特征
参考:
【病毒分析】Virut.ce-感染型病毒分析报告
http://www.cnblogs.com/17bdw/p/7776877.html
4、证明正常进程空间里含有恶意代码
把受感染进程的内存dump出来,通过微软工具String将内存里的字符串打印出来,搜索IOC域名字符串就可以看到网络特征里的域名了。注:图中604这个PID号对应受感染后的Winlogon进程。
尝试把Winlogon的DLL全都dump出来,依次用Strings打印出来。就可以定位到哪个DLL里有被注入的ShellCode了