感染分析与PNF文件探究)
震网病毒(Stuxnet)感染分析与PNF文件探究
1. 震网病毒初步探查
在系统进程的Procexp DLL视图中,能看到两个Mrx驱动。它们的版本信息显示来自微软,但签名却来自瑞昱(Realtek),且证书已被撤销,不过因测试系统未联网,Procexp无法查询证书撤销列表服务器。
借助Autoruns和Procexp对震网病毒感染进行基于快照的查看,Autoruns快速揭示了震网病毒的核心——两个名为Mrxcls.sys和Mrxnet.sys的设备驱动。事实证明,禁用这些驱动并重启系统(防止再次感染)就能禁用震网病毒。通过Procexp和VMMap还发现,震网病毒会将代码注入包括Services.exe在内的各种系统进程,并创建两个会运行到系统关闭的Lsass.exe进程,从其命令行或加载的DLL无法确定其目的,但看起来在运行注入的代码。
2. Procmon日志分析:过滤相关事件
Procmon在监控感染过程时捕获了近30,000个事件,直接逐个检查这些事件来寻找线索几乎是不可能的,因为大部分事件是正常的Windows后台活动以及资源管理器导航到新文件夹的操作,与感染并无直接关联。默认情况下,Procmon会排除诸如分页文件、低级I/O、系统进程和NTFS元数据操作等高级事件,但即便如此,仍显示超过10,000个事件。
为有效使用Procmon,关键在于将数据量缩减到可管理的范围。Procmon有一个专门为此类场景设计的过滤器,即只显示修改文件或注册表项的事件。具体操作步骤如下:
1. 打开Filter对话框。
2. 配置“Category is Write then Include”过滤器。
