病毒样本的处理,是计算机维护人员常遇到的问题,那么在处理病毒样本时,应该遵循哪些规范的处理过程,要做哪些准备?我们在本篇文章中将会一一介绍给大家。
一、预处理
所有样本作了一系列预处理,去除了重复文件、多数杀毒软件不能识别的文件、同一种病毒感染出的多个文件、和被误报的文件,详细步骤如下。
1、经过专用程序生成CRC32、MD5签名数据库,剔除重复文件;
2、经过测试前病毒扫描,不能够同时被三种及以上不同查毒软件报告出病毒的文件剔除;
3、通过全球最大专业的误报和Joke程序数据库,尽可能剔除样本中可能被误报的非病毒文件;
4、通过病毒命名交叉索引数据库,尽可能保证样本中每一种病毒在被多种杀毒软件报作相同病毒时只保留一个样本文件。
二、分类
样本文件分为基本样本、打包样本和加壳样本,分类情况如下
1、全部文件经手工检查分类,详细记录文件日期、长度;
2、经多数杀毒软件监测后,按照前缀分类法放入不同的目录;
3、有较多争议和没有前缀的归入子类别的其他。
最后基本样本分为37大类共246子类。
三、加壳与打包
1、基本样本尽可能没有被打包或加壳
2、打包的样本在打包前能够被多数杀毒软件识别
3、加壳的样本在加壳前能够被多数杀毒软件识别
4、打包和加壳的层数只有一层
5、打包和加壳的时候使用所有历史版本(如upx 1.0-2.9共359个版本)处理后,然后剔除结果重复文件
6、加壳的时候每种版本使用所有的格式(如upx 2.9共支持10种格式)处理后,然后剔除结果重复文件
Upx 2.x 支持的格式atari/tos、djgpp2/coff、dos/com、dos/exe、dos/sys、linux/386、rtm32/pe、tmt/adam、watcom/le、win32/pe
7、打包的时候每种版本使用所有的压缩方法(如rar 3.61共支持6种方法)、所有的自解压格式处理后,然后剔除结果重复文件
Winrar 3.x 支持的压缩方法:存储、最快、较快、标准、较好、最好;自解压格式包括:win界面、控制台、DOS、Linux自解压
8、由于多数杀毒软件出现将加壳后的文件直接报作病毒,而且报告中不明确是否脱壳,在统计时将这种“支持查出这种病毒”情况视为“支持此种加壳格式”。
四、样本汇总
1、最后样本文件1,126,464个,其中打包格式文件27296个,加壳格式文件287138个,基本样本812030个。
2、分布在E、F盘2145个子目录中,占据硬盘空间760G
3、每个文件平均大小约600K,NTFS分区的单元大小为4K
责任编辑 赵毅 zhaoyi@51cto.com TEL:(010)68476636-8001