高手讲座：如何捕获电脑病毒样本
作者：五月 整理出处：天极安全
　众所周知，电脑病毒与医学上的“病毒”不同，它不是天然存在的，是某些人利用电脑软、硬体所固有的脆弱性，编制的具有特殊功能的程式。其能通过某种途径潜伏在电脑存储介质(或程式)里，当达到某种条件时即被启动，它用修改其他程式的方法将自己的精确拷贝或者可能演化的形式放入其他程式中，从而感染它们，对电脑资源进行破坏的这样一组程式或指令集合。
　　长期操作电脑者会发现，病毒往往紧跟电脑的发展步伐，升级换代频繁，从最初的破坏软体发展到损毁硬体，令人对电脑病毒既怕又恨，防不胜防。因此，及早发现和清除病毒，是将病毒产生的危害降低到最低限度的重要手段，如果在已经安装了防病毒软体且病毒定义码和病毒查杀引擎是最新版本的情况下，病毒仍然发作并造成档丢失或系统破坏，那么，这就是最新的病毒在发作。这时，就应提取新病毒样本，供反病毒专家分析研究，以便在最短的时间内更新病毒代码库。提取新病毒样本的方法如下:
　　一、引导型Boot病毒的捕获
　　引导区类型的病毒提取很简单，首先利用Format A: /S将引导系统档复制到软碟中，然后再将的硬碟中的一些系统执行档一同拷贝到软碟中。具体步骤如下: 进入MS-DOS方式， 格式化一张系统盘，Format A: /s ， 针对不同的系统，请将如下档拷贝到这同一张软碟之中:
　　对于Windows 3.x: 拷贝 \Windows\System下的 gdi.exernl286.exe、progman.exe三个文件。
　　对于Windows 95/98/ME: 拷贝 \Windows\System下的 gdi.exe、krnl386.exe、progman.exe三个文件。(见图1)

图1
　　对于Windows NT、Windows 2000: 拷贝 \Windows\System32下的 gdi.exe、krnl386.exe、progman.exe 三个文件。
　　如果格式化软碟时出现死机，请按下列步骤提取:请在该软碟的标签上写明“damaged during infected format as boot disk”。
　　针对不同的系统的上列档，拷贝到不同的软碟中，方法同上。
　　二、档型File/Macro病毒的捕获
　　如果你怀疑病毒是档型，将C盘根目录下的command.com档拷贝到软碟上，取名为command,即去掉副档名。
　　如果你怀疑病毒是MS Word巨集病毒，将C:\Program Files\Microsoft Office\Templates目录下的“"normal.dot”文件和C:\Program Files\Microsoft Office\Office\Startup 目录内的所有档拷贝到软碟。(见图2)

图2
　　如果你怀疑病毒是MS Excel巨集病毒，将XLSTART目录内的所有档拷贝到软碟。XLSTART位于电脑的多个地方，用Windows搜索功能查找"XLSTART"找到所有的目录，然后将这些目录下的档全部拷贝到软碟。
　　如果你怀疑病毒是PowerPoint巨集病毒，做以下操作:打开一个空的Power Point档，然后把它另存为一个档，保存类型选为“演示文稿设计范本”，然后将此副档名为.pot档拷贝到软碟。
　　请在该软碟的标签上写明“contains infected files”，并尽量让软碟存入尽可能多的带毒档。
　　将软碟做成一个影像档。
　　三、Trojans病毒的捕获
　　运行regedit.exe档打开注册表编辑器。记录下来下面注册项中涉及到的档。
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run中涉及到的档。(如图3)

图3
　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices中涉及的档。
　　打开Win.INI档，将档中“load=” 和“ run=” 行中涉及的档记录下来。
　　按如上资讯确定档案名和它们所在的目录，并将这些档压缩到一个zip档中。
　　四、几款病毒工具软体
　　ClrText.zip:当你提交的病毒是Word或Excel巨集病毒时，这个工具软体可以将你的感染档的内容清除，而只保留宏，从而可以避免你的保密资讯泄露。
　　SaveMBR.zip:这个工具软体可以将你的感染硬碟的MBR读到一个档中，然后把档发送到NAI进行病毒分析。
　　RWFLOPY.zip:RWFloppy 软体可以恢复或生成软碟影像档。它的作用是当你不想通过邮寄软碟的方式发送病毒样品时，可以用它生成一个影像档通过电子邮件发送。特别是对于引导区病毒，由于它隐藏在软碟的80、81磁区，而一般的软体无法读取这两个磁区。
　　Readt80.zip:为了正确检测BOOT区病毒，我们需要一张包含病毒的软碟。可以通过DOS状态下格式化一张系统软碟来得到:FORMAT /S A:
　　需要软碟的原因是:引导区病毒通常把自己隐藏在一般DOS软体不能读取的地方(对于1.44M软碟有80个磁区，从 0 到 79， 引导区病毒把病毒代码隐藏在80、81 磁区)
　　如果你用一般的软体来生成一个软碟影像档，这个影像档不包含80和 81磁区，所以也就无法进行分析病毒。这个软体就是用来把软碟中包含病毒代码的80、81磁区读出来写到一个档中去。
　　SYSU.zip:这个软体用来恢复被多种巨集病毒感染的系统。