深层病毒防护之恶意软件的分析

　　检查活动进程和服务

　　受感染的系统可能在其内存中引入了新进程，建议使用Windows任务管理器或专用的进程列表工具比如PsTools和 Process Explorer 进行，后者可以从 Sysinternals Web站点http://www.sysinternals.com(英文)获得，通过它们不仅可以查看图像文件的路径，而且还能看见过程树。

　　分析本地注册表

　　由于完成的系统注册表是大型的复杂数据存储，因此在完成攻击恢复进程后创建整个系统注册表的副本以进行详细分析将很有好处。

　　所有Windows版本包含的备份实用程序可用于备份和恢复整个注册表。如果已经使用备份定期备份硬盘，则可以轻松地在这些备份中包含注册表。要使用备份应用程序备份注册表，请在选择要包含在备份集中的驱动器、文件和文件夹时选择“系统状态”。

　　由于“系统状态”包含其他系统特定信息和注册表，因此这些备份文件的大小可能为数百MB。另一个选项是使用所有Windows版本附带的注册表编辑器实用程序。这些实用程序比较适合于生成注册表副本。Windows XP和Windows Server 2003有两个注册表编辑器工具，Regedit.exe和命令行工具Reg.exe。

　　检查恶意软件和损坏的文件

　　大多数恶意软件将修改计算机硬盘上的一个或多个文件，而查找已受到影响的文件可能是一个很困难的过程。如果通过映像创建了系统，就可以将受感染的系统直接与通过该映像创建的全新系统进行比较。

　　如果该选项不可用，则另一个确定哪些文件已被更改的方法是对自从恶意软件首次引入系统时更改的所有文件进行系统范围的搜索，可以使用Windows搜索工具进行搜索。

　　检查用户和组

　　某些恶意软件攻击将尝试评估系统上现有用户的特权，或在拥有管理员特权的组中添加新帐户。检查以下异常设置：

　　旧用户帐户和组。

　　不适合的用户名。

　　包含无效用户成员身份的组。

　　无效的用户权限。

　　最近提升的任何用户或组帐户的特权。

　　最后，确认所有管理器组成员均有效。

　　使用本地用户和组Microsoft管理控制台(MMC)管理单元检查添加到本地管理员组的任何异常设置。还应检查本地计算机的安全日志中是否存在任何异常条目。例如，“帐户管理”类别条目(如事件636)指示已将新成员添加到本地组。这些日志还将为您提供更改发生的日期和时间。

　　如果检查的系统是Windows服务器，则还应使用Active Directory用户和组MMC管理单元检查域组成员关系。

　　检查共享文件夹及打开的网络端口

　　恶意软件的另一个常见症状是使用共享文件夹传播感染，使用计算机管理MMC管理单元，或通过命令行使用NetShare命令检查受感染系统上的共享文件夹的状态。

　　许多恶意软件攻击尝试削弱已遭破坏的系统，以便将来更容易进行攻击。一个通常使用的技术是打开主机上的网络端口，恶意软件攻击者随后将使用这些端口获取该主机的其他路由。

　　有一些工具可用于导出当前网络端口设置的列表，包括Microsoft Windows Server 2003 支持工具中的PortQRY和Foundstone的FPort命令行实用程序，还可以使用Windows附带的NetStat命令行实用程序记录侦听的当前网络连接和网络端口的状态。该工具可用于获取网络连接和端口状态的完整打印输出。

　　使用网络协议分析器

　　网络协议分析器工具可用于创建受感染主机传入和传出数据的网络流量日志。网络跟踪文件应保存为信息文件集的一部分，以便进一步分析。