|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
如果你学不好的话,你在linux中开发的机会就很少,或者说几乎没有,它的优势就消失了,然后随着时间的流逝,你就会全部忘记她;
道理:使用md5值的分歧举行文件的对照。
操纵背景:
XP安装光盘;
病毒样本;
U盘;
Ubuntu7.10LiveCD
所需的几个对照md5和转化二进制文件格局的程序
操纵历程:
1.通盘格局化,同时安装Windows(也可接纳ghost归去,可是必定注重其他磁盘大概的病毒传染)
2.在刚装好的Windows下,导出注册表。将导出文件放进C盘根目次下。这里我定名为1.reg
3.进进Ubuntu体系,注重,进进前f2选择简体中文形式
4.挂载C盘:
mkdir/mnt/hdd1(临盆体系C盘挂载点)
mount-tntfs-oiocharset=cp936/dev/hdd1/mnt/hdd1(将体系C盘挂载到/mnt/hdd1下,注重文件格局和设备号视详细情形而定)
5.挂载U盘:
mkdir/mnt/usb(天生U盘挂载点)
mount-tvfat/dev/sda1/mnt/usb(将U盘挂载到/mnt/usb下,一样注重文件格局和设备号)
6.将导出的注册表信息放进U盘:
假定U盘上已有test目次,同时,在test目次下有parse.sh,parseWinReg,ShowList三个程序
cp/mnt/hdd1/1.reg/mnt/usb/test(将导出注册表拷贝至/mnt/usb/test目次下)
cd/mnt/usb/test(进进U盘test目次)
./parseWinReg1.regorigreg(将导出注册表举行格局转换,天生origreg)
7.盘算C盘一切文件md5值:
rm/mnt/hdd1/pagefile.sys(这个文件太年夜影响盘算速率,删除)
/mnt/usb/test/parse.sh/mnt/hdd1/>/mnt/usb/origfile(盘算磁盘文件md5值,并将了局导出至U盘test目次下origfile)
8.从头进进Windows,同时,引发病毒文件
注重:先将病毒文件放进磁盘,拔失落U盘,拔失落网线,再引发!
9.反复3,4,5,6,7步骤
mkdir/mnt/hdd1
mount-tntfs-oiocharset=cp936/dev/hdd1/mnt/hdd1
mkdir/mnt/usb
mount-tvfat/dev/sda1/mnt/usb
cp/mnt/hdd1/2.reg/mnt/usb/test(这里假定导出的注册表是2.reg)
cd/mnt/usb/test
./parseWinReg2.regnewreg
rm/mnt/hdd1/pagefile.sys
/mnt/usb/test/parse.sh/mnt/hdd1/>/mnt/usb/newfile
10.至此,我们失掉了原始的体系信息:origreg,origfile,中病毒以后的信息:newreg,newfile
11.对照文件分歧的地方:diff-Nurorigfilenewfile>filediff
12.对照注册表分歧的地方:diff-Nurorigregnewreg>regdiff
13.剖析filediff和regdiff,失掉结论
剖析小技能:
一样平常情形下后面呈现+的就是病毒开释的,-就是有过修改的(传染的),假如是md5值是成双成对呈现(一个+和一个-),那那一行一样平常不是,假如后面没有任何标志,那申明也不是。我们把没用的删除,只留下有单个+大概单个-的,最悦目文件路径,即失掉了病毒的发生文件大概是传染文件
</p>
无论图形界面发展到什么水平这个原理是不会变的,Linux命令有许多强大的功能:从简单的磁盘操作、文件存取、到进行复杂的多媒体图象和流媒体文件的制作。 |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 16:32:08
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
窥视卡
雷达卡
发表于 2015-2-5 11:32:59