對病毒木馬的行為分析，離不開功能強大的分析軟件，在眾多的分析工具中，SysAnalyzer無疑是其中的佼佼者，其特點是分析自動化程度高，而且可以生成詳細的分析報告。其運行原理并不復雜，通過對可疑程序運行前后、對系統(tǒng)分別進行掃描分析并拍攝快照，然后對兩個快照進行對比分析，找出可疑程序對系統(tǒng)所做的所有修改，并將其寫入報告文件中，通過對報告進行分析，可以很容易發(fā)現(xiàn)病毒的蹤跡。為了安全起見，最好在虛擬機中運行SysAnalyzer對可疑文件進行分析處理。

圖4 SysAnalyzer主界面

SysAnalyzer的界面很簡單（如圖4所示），在“Executable”欄中點擊瀏覽按鈕，選擇需要分析的可疑程序，在“Delay”欄中可以設置拍攝兩個快照的間隔時間，一般使用默認值即可。在“Option”欄中選擇“Use SniffHit”項，開啟嗅探功能，可以用來分析和可疑文件相關的端口、連接、數(shù)據(jù)傳輸?shù)染W(wǎng)絡活動信息。選 擇“Use ApiLogger”項，可以監(jiān)控和可疑文件相關的API調(diào)用情況。選擇“Use Directory Watch”項，可以開啟文件監(jiān)視功能，可以監(jiān)控可疑文件對文件系統(tǒng)或者注冊表進行的修改動作。

這里就以某款病毒為例進行分析操作，選擇該病毒程序后，并選擇所有的監(jiān)控項目，點擊“Start”按鈕，SysAnalyzer在該程序運行前對系統(tǒng)拍攝快照，之后運行該程序，并對其運行情況進行嗅探和監(jiān)視，當該程序運行完畢后，再拍攝系統(tǒng)快照，并對兩個快照進行分析處理，得到所需的分析數(shù)據(jù)。

例如，在分析窗口（如圖5所示）底部打開“Running Processes”面板，可以看到新增加的進程信息，例如“safe_test.exe”、“setup.tmp” 等 進程信息，并顯示其具體的PID、使用者等信息。在目標進程上點擊右鍵，利用彈出菜單可以依次執(zhí)行顯示調(diào)用的DLL文件、轉存文件、結束進程、顯示文件屬性等操作。在“Open ports”面板中顯示該可疑程序打開的所有端口信息，包括打開的端口、使用的協(xié)議、傳輸?shù)臄?shù)據(jù)等內(nèi)容。如果是木馬的話，可以在這里暴露其蹤 跡。在“Process Dlls”面板中顯示插入到Explorer.exe、Iexplorer.exe等系統(tǒng)進程中的DLL文件，現(xiàn)在很多DLL木馬都會將自身注入到別的進程中，來避開殺毒軟件的監(jiān)控，在這里可以使其原形畢露。在“Reg Monitor”面板中顯示該可疑程序對注冊表中所做的所有修改，例如 其 在“HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunOnce”分支中創(chuàng)建了一個名為“evil”的啟動項，以及跟隨系統(tǒng)啟動的病毒文件等信息。

圖5 查看病毒分析信息

在“Loaded Drivers” 面板中顯示該病毒創(chuàng)建的驅動文件，可以看到該病毒創(chuàng)建了后綴為“sys”，名稱隨機產(chǎn)生的驅動文件，通過潛入系統(tǒng)底層對系統(tǒng)進行破壞。在“Api Log”面板中顯示與該可疑程序相關的API函數(shù)調(diào)用情況。在“Directory Watch”面 板中顯示該可疑程序相關的所有文件變動信息，包括創(chuàng)建、刪除、修改文件等行為?？梢钥吹剑湓谙到y(tǒng)路徑中創(chuàng)建了多個DLL文件，同時在程序文件夾中，以及用戶配置文件夾的特定位置等生成了幾個EXE、DLL、BAT、SCR 等 可執(zhí)行文件。點擊窗口右下角的“report”按鈕，在報告窗口中點擊“Save”按鈕，可以在桌面上創(chuàng)建名為“analysis”的文件夾，打開其中的“setup_report.txt”文件，可以查看詳細的分析數(shù)據(jù)，對其進行分析，可以很容易地發(fā)現(xiàn)狡猾病毒的活動情況。