|
|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
RedHatCentOS等等.学习linux不是逛自由市场,选定版本就要静下心来学习.不要今天换版本明天要升级.这样对你没有好处。
道理:使用md5值的分歧举行文件的对照。
操纵背景:
1.XP安装光盘;
2.病毒样本;
3.U盘;
4.Ubuntu7.10LiveCD
5.所需的几个对照md5和转化二进制文件格局的程序
操纵历程:
1.通盘格局化,同时安装Windows(也可接纳ghost归去,可是必定注重其他磁盘大概的病毒传染)
2.在刚装好的Windows下,导出注册表。将导出文件放进C盘根目次下。这里我定名为1.reg
3.进进Ubuntu体系,注重,进进前f2选择简体中文形式
4.挂载C盘:
mkdir/mnt/hdd1(临盆体系C盘挂载点)
mount-tntfs-oiocharset=cp936/dev/hdd1/mnt/hdd1(将体系C盘挂载到/mnt/hdd1下,注重文件格局和设备号视详细情形而定)
5.挂载U盘:
mkdir/mnt/usb(天生U盘挂载点)
mount-tvfat/dev/sda1/mnt/usb(将U盘挂载到/mnt/usb下,一样注重文件格局和设备号)
6.将导出的注册表信息放进U盘:
假定U盘上已有test目次,同时,在test目次下有parse.sh,parseWinReg,ShowList三个程序
cp/mnt/hdd1/1.reg/mnt/usb/test(将导出注册表拷贝至/mnt/usb/test目次下)
cd/mnt/usb/test(进进U盘test目次)
。/parseWinReg1.regorigreg(将导出注册表举行格局转换,天生origreg)
7.盘算C盘一切文件md5值:
rm/mnt/hdd1/pagefile.sys(这个文件太年夜影响盘算速率,删除)
/mnt/usb/test/parse.sh/mnt/hdd1/>/mnt/usb/origfile(盘算磁盘文件md5值,并将了局导出至U盘test目次下origfile)
8.从头进进Windows,同时,引发病毒文件
注重:先将病毒文件放进磁盘,拔失落U盘,拔失落网线,再引发!
9.反复3,4,5,6,7步骤
mkdir/mnt/hdd1
mount-tntfs-oiocharset=cp936/dev/hdd1/mnt/hdd1
mkdir/mnt/usb
mount-tvfat/dev/sda1/mnt/usb
cp/mnt/hdd1/2.reg/mnt/usb/test(这里假定导出的注册表是2.reg)
cd/mnt/usb/test
。/parseWinReg2.regnewreg
rm/mnt/hdd1/pagefile.sys
/mnt/usb/test/parse.sh/mnt/hdd1/>/mnt/usb/newfile
10.至此,我们失掉了原始的体系信息:origreg,origfile,中病毒以后的信息:newreg,newfile
11.对照文件分歧的地方:diff-Nurorigfilenewfile>filediff
12.对照注册表分歧的地方:diff-Nurorigregnewreg>regdiff
13.剖析filediff和regdiff,失掉结论
剖析小技能:一样平常情形下后面呈现+的就是病毒开释的,-就是有过修改的(传染的),假如是md5值是成双成对呈现(一个+和一个-),那那一行一样平常不是,假如后面没有任何标志,那申明也不是。我们把没用的删除,只留下有单个+大概单个-的,最悦目文件路径,即失掉了病毒的发生文件大概是传染文件
</p>
在这里你会学到更多的知识,学习linux,更要学习一种geek的精神,python之禅中也说过:以总结分享为荣,以跪求其解为耻; |
|
|Archiver|手机版|仓酷云
鄂ICP备14007578号-2
发表于 2015-1-16 16:32:08
收藏
转播
分享
淘帖
顶
踩
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
照妖镜
楼主