互聯網的飛速發展在給用戶的日常工作生活帶來了巨大方便的同時，也給各種各樣的惡意軟件提供了一片繁衍擴散的沃土。媒體上時有關于某種惡意軟件大規模流行造成嚴重損失的報道。惡意軟件的擴散早已引起信息安全業界的重視，各安全軟件和殺毒軟件廠商都有成型的解決方案。不過惡意軟件的更新換代總是走在安全廠商的產品前面，惡意軟件變種的出現速度越來越快，單純使用防殺毒軟件已不能完全保證用戶遠離惡意軟件。
本文提出一個分析Windows平臺的惡意軟件和可疑文件的參考方法，該方法通過監視目標樣本的執行后的行為觀察，可對目標樣本的性質、行為及影響進行判斷。
惡意軟件的定義：惡意軟件（Malware，malicioussoftware的縮寫），指未經用戶允許安裝執行，會對用戶及系統運行產生影響和危害的軟件，包括病毒（Virus）、蠕蟲（Worm）、木馬（Trojan）、后門程序（Backdoor/Rootkit）、密碼盜竊程序（Mal.PSW）及其他有以上所列惡意軟件功能的軟件。
分析原理和流程
關鍵詞定義：
1）惡意軟件樣本：從各種媒介提取到的懷疑是惡意軟件的可執行文件、可能包含惡意軟件的壓縮文件、Office文檔等
2）軟件行為：文檔或可執行文件被用戶直接或通過其他處理軟件打開時該文件或系統執行的操作
樣本分析原理：
在一個可控的Windows測試環境中，通過使用特定的監視工具軟件，對目標樣本文件打開后執行的操作進行記錄，分析記錄的結果并與已知的惡意軟件行為進行對比，判斷目標樣本的性質和影響，最后提供受該目標樣本影響的系統的清理方案。
樣本分析流程：
1）測試環境搭建
2）分析工具軟件的準備和安裝
3）目標樣本在測試環境系統上的運行監視、數據采集
4）結果處理和文檔記錄
環境準備和搭建
1、系統環境：
測試平臺可選擇使用虛擬機或者物理機搭建，兩種選擇的結果略有不同：如果使用虛擬機作為平臺，需要先安裝一套虛擬機軟件，可以選擇VMware（http://www.vmware.com）或VirtualPC（http://www.microsoft.com/windows/virtualpc/）,然后在部署好的虛擬機中安裝Windows操作系統；如果使用實體機，直接安裝Windows操作系統即可。Windows安裝完成后，使用WindowsUpdate給測試用操作系統升級，使其達到最新補丁版本狀態。
本文使用的測試環境為VMwareworkstation上的WindowsXPprofessionalSP2英文版，并升級補丁到2006年11月底的最新版本。
2、分析軟件：
1）系統監視軟件
a)InstallRite:
InstallRite是一個軟件安裝監視復制工具，可以監視軟件安裝時對系統文件、注冊表執行的改動。它可以用來監視目標樣本在執行前后系統發生的改動。InstallRite可以從它的官方網站下載：http://www.epsilonsquared.com/installrite.htm
b)ProcessExplorer:
ProcessExplorer是一個監視系統當前運行進程、進程創建、進程刪除及獲取指定進程詳細信息的工具，它可以用來分析目標樣本對進程的操作。ProcessExplorer可以從它的官方網站下載：http://www.microsoft.com/technet/sysinternals/utilities/ProcessExplorer.mspx
c)ProcessMonitor:
ProcessMonitor是ProcessExplorer的升級版本，它除了包含ProcessExplorer的功能外，還增加了文件和注冊表操作監視功能,但是它進程監視功能使用方便性上比不上ProcessExplorer。它可以用來實時監視目標樣本在執行過程中對系統文件、注冊表的操作情況。ProcessMonitor可以從它的官方網站下載：http://www.microsoft.com/technet/sysinternals/processesandthreads/processmonitor.mspx
d)TCPView:
TCPView是一個監視網絡連接與進程對應關系的工具，可用于分析目標樣本在執行時進行網絡操作的情況。TCPView可以從它的官方網站下載：http://www.microsoft.com/technet/sysinternals/utilities/TcpView.mspx
2）嗅探器
a)Ethereal：
Ethereal是一個功能強大的開源網絡協議分析軟件，它可用于存儲和分析目標樣本進行的網絡傳輸的具體內容。Ethereal可以從它的官方網站下載：
http://www.ethereal.com/download.html
b)EffeTechHTTPSniffer:
EffeTechHTTPSniffer是一個專長于HTTP流量流量監視和分析的嗅探工具，可以用于分析Downloader一類使用HTTP協議和采用HTTP隧道封裝進行通訊封裝的目標樣本。EffeTechHTTPSniffer可以從它的官方網站上下載：
http://www.effetech.com/download/
3）系統分析工具
a)RootkitRevealer：
RootkitRevealer是一個功能強大的Rootkit檢測工具，可用于檢測Rootkit類及帶有Rootkit隱藏功能的目標樣本。RootkitRevealer可以從它的官方網站下載:
http://www.microsoft.com/technet/sysinternals/utilities/RootkitRevealer.mspx
b)Gmer：
Gmer是一個來自波蘭的Rootkit檢測工具，它的功能比RootkitRevealer稍多一點，檢測的速度更快，可用于檢測Rootkit類及帶有Rootkit隱藏功能的目標樣本。Gmer可以從它的官方網站上下載：
http://www.gmer.net/files.php
c)Autoruns:
Autoruns是一個功能強大的啟動項管理工具，它可以直接操作注冊表，管理常見的啟動方式，可用于分析目標樣本的自啟動方式。Autoruns可以從它的官方網站上下載：
http://www.microsoft.com/technet/sysinternals/utilities/Autoruns.mspx
d)WinHex:
WinHex是一個功能強大的通用十六進制編輯工具，它可以用于對目標樣本的內容進行查看和字符串查找。WinHex可以從它的官方網站下載：
http://www.x-ways.net/winhex/
e)FinalRecovery:
FinalRecovery是一個快速的反刪除工具，它可以用于對目標樣本執行過程中刪除的文件進行恢復操作。FinalRecovery可以從它的官方網站下載：
http://www.finalrecovery.com/download.htm
3、文檔準備：
在完成系統環境和分析軟件的安裝調試后，應該進行目標樣本的記錄文檔設計。一個使用表格的記錄文檔的例子如下：

樣本分析記錄表格(1)

樣本分析結果登記表                      樣本編號：060125A5