三、Trojans病毒的捕获

运行regedit.exe文件打开注册表编辑器。记录下来下面注册项中涉及到的文件。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中涉及到的文件。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中涉及的文件。

打开Win.INI文件，将文件中“load=”和“run=”行中涉及的文件记录下来。

按如上信息确定文件名和它们所在的目录，并将这些文件压缩到一个zip文件中。

四、介绍几款病毒工具软件

ClrText.zip：当你提交的病毒是Word或Excel宏病毒时，这个工具软件可以将你的感染文件的内容清除，而只保留宏，从而可以避免你的保密信息泄露。

SaveMBR.zip：这个工具软件可以将你的感染硬盘的MBR读到一个文件中，然后把文件发送到NAI进行病毒分析。

RWFLOPY.zip：RWFloppy软件可以恢复或生成软盘影像文件。它的作用是当你不想通过邮寄软盘的方式发送病毒样品时，可以用它生成一个影像文件通过电子邮件发送。特别是对于引导区病毒，由于它隐藏在软盘的80、81扇区，而一般的软件无法读取这两个扇区。

Readt80.zip：为了正确检测BOOT区病毒，我们需要一张包含病毒的软盘。可以通过DOS状态下格式化一张系统软盘来得到：FORMAT /S A:

需要软盘的原因是：引导区病毒通常把自己隐藏在一般DOS软件不能读取的地方(对于1.44M软盘有80个扇区，从0到79，引导区病毒把病毒代码隐藏在80、81扇区)

如果你用一般的软件来生成一个软盘影像文件，这个影像文件不包含80和81扇区，所以也就无法进行分析病毒。这个软件就是用来把软盘中包含病毒代码的80、81扇区读出来写到一个文件中去。

SYSU.zip：这个软件用来恢复被多种宏病毒感染的系统。

上一页  [1] [2]