测试环境 8s5 <Xo%_  
操作系统：WINDOWS 2000 PROFESSIONAL }A1
554aD  
虚拟系统：VMware Workstation虚拟系统 5.5.3 1.c'qU,kz  
监控软件：TINY  desktop Firewall 2005PRO（CA）  版本：6.5.126 zn)$M>Jc  
!,>Bm.3
S  
一：首先安装VM虚拟系统。 EP bML:  
官方下载网址为 XYbd[j21  
http://www.vmware.com/download/ws/ 4A#9<1k  
默认为英文版，不过没有关系，因为我们只需要用到几个功能。 P"xhe7SRn  
当然您也可以在网上下载汉化包。 dPy{CU]n%  

E&^P0VY/'  
运行VM程序点NEXT进行安装 =hm
GQs  

s!Tq=f  
选择安装目录 U{mCX;N2  

5p1 L;px  
选择是否创建桌面，菜单，快速启动快捷方式 G&Q"bO-K |  

k~cfQ+o(R  

}7 [,9s  
正在进行安装 LgwlR  

>d\{S1WE  
完成 ZB8ndc+  

M5X>}0T  
安装完成后运行VM，选择在VM下安装操作系统，如果您已经安装过，并且留有操作系统的备份文件 [_g7Cp,  
那么只需要选择第三项，open existing VM or team导入系统即可。 -Cr>O|!,.  
首次安装，我们选择第一项，NEW virtual Machine. p 1_U"e~  

lt6D1'J@e  
选择默认安装 "
'_6=u  

         psPn6 A  
选择您想安装的操作，然后放入光盘，其它步骤和正常安装操作系统一样。 j&?!@<9:2  
L]tV#'a9js  
虚拟机下的操作系统完成安装后 K|/W c}u  
1：我们需要安装VM下的VM TOOLS，这个系统会自动弹出提示，这个是必须安装的。 +>t{/\y4b  
2：另外配制VM系统网络设置。让VM操作系统可以连接到互连网络。 >'^Z4`nr  

FX6mF
nT  
点击VM上面的工具栏，VM－Settings-Ethernet进行配置，二为共享主机IP. tC9H9]  
)G2nI2Xd9  
?)6O?FkMx  
hl*.3 A  
二：安装监控软件 XNj^.,bh  
在VM系统配置完成后，在VM虚拟系统中安装监控软件，我们选择TINY  desktop Firewall 2005PRO（CA）  版本：6.5.126 GA@< m`  
此版本原版为英文版，网上有汉化包。 w(m{.
'  
安装过程就不再叙述了。 koR]yf  
~V(|l3j  
VM系统和监控软件完成后，我们过行病毒动态分析，监控其行为。 9^vkX  
三：病毒动态分析 }vay_j)  
运行一个病毒样本文件，在此之前先用在线多引擎扫描个结果。 LTzMq^o}  

Vbx%Xa?  
病毒文件 z m MuH/@  

IhXwebO  
我们将病毒文件运行，track'n reverse(TM)为监控病毒。 _|XW9  
turst this application为信任该程序。允许运行。 )~[L i#qm  

FQn61/;XR=  
点OK继续 eKGH_u  
$-H
'OY  

   fo5F@;"*
 
病毒运行后有许多动作都被TINY监控并显示出来 iF%$OSQ  

X"Gn*K`  
病毒运行后，右键然后选取红色部分可统计病毒具体动作。 >- TK]Gxw  

z>:/2;W`  
看是不是很详细。 $*I=EgcF  
统计信息之前请先结束病毒监控，点击图片左上角第三个图标，停止监控（end collecting activity） TD|!x[+4_,  
再点击view report会出现如图详细信息。 "pSmTmT^  

TPKOK'$T  
如图所视，可导出所有详细信息。。 ?t`$:"N  
gy'/edEZ  

Quote:

--5Ui=W  
病毒文件 L<jpc0V:  
C:\Documents and Settings\KILL\Local Settings\Temp\~DFF528.tmp I! SzuAr\  
C:\WINNT\mapserver.exe yf n`Y wN  
C:\WINNT\MSWINSCK.OCX d9;8K{A  
C:\WINNT\system\mainsv.exe yt%z+lc  
C:\WINNT\system\mainsv.exe /l_ $1f}  
C:\WINNT\system\ntdllf.exe wKKU0x j  
C:\WINNT\system\ntdllfnt.exe qBM3P,}a'  
C:\WINNT\win.ini ^PgS#+  
D:\autorun.inf G{_qM3nD  
D:\Iexplores.exe p Zvf>  
oz@ c]  
注册表 ]\K-A$?)H  
HKCU\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\Run 8uXnQ#c  
HKLM\SOFTWARE\MICROSOFT\Windows\CURRENTVERSION\RunServices >UuD43~  
.x
k?KH2  
监控到的病毒进程C:\WINNT\system\ntdllf.exe

(rF&d^Rk%  

Qp!P61:=  
打开D盘发现病毒的隐藏文件。 &#>q2Z?9x  
z
'!cdB  
四：如果为VM系统设置还原点 X*t@[v'#  

Z<B9b<znr  
如图所视，可以设置N多还原点，只需要几秒钟就可以把系统还原到您想设定的写。 !nqXa3  
vm--snapshot--takesnap 2J`$(a@  
搞定了。。慢慢研究。 u!{1e&Kc  
 jk^ZS  
作者： wuu%oKt  
反病毒爱好者论坛 :V:4Wz[87g  
happyboys_xp

在哪下汉法包呀

不建议用汉化包，，，出现莫名其妙的问题。还是英文版稳定。

学习了,,原来这样子研究病毒的呀.