56、震网病毒（Stuxnet）感染分析与PNF文件探究

震网病毒（Stuxnet）感染分析与PNF文件探究

1. 震网病毒初步探查

在系统进程的Procexp DLL视图中，能看到两个Mrx驱动。它们的版本信息显示来自微软，但签名却来自瑞昱（Realtek），且证书已被撤销，不过因测试系统未联网，Procexp无法查询证书撤销列表服务器。

借助Autoruns和Procexp对震网病毒感染进行基于快照的查看，Autoruns快速揭示了震网病毒的核心——两个名为Mrxcls.sys和Mrxnet.sys的设备驱动。事实证明，禁用这些驱动并重启系统（防止再次感染）就能禁用震网病毒。通过Procexp和VMMap还发现，震网病毒会将代码注入包括Services.exe在内的各种系统进程，并创建两个会运行到系统关闭的Lsass.exe进程，从其命令行或加载的DLL无法确定其目的，但看起来在运行注入的代码。

2. Procmon日志分析：过滤相关事件

Procmon在监控感染过程时捕获了近30,000个事件，直接逐个检查这些事件来寻找线索几乎是不可能的，因为大部分事件是正常的Windows后台活动以及资源管理器导航到新文件夹的操作，与感染并无直接关联。默认情况下，Procmon会排除诸如分页文件、低级I/O、系统进程和NTFS元数据操作等高级事件，但即便如此，仍显示超过10,000个事件。

为有效使用Procmon，关键在于将数据量缩减到可管理的范围。Procmon有一个专门为此类场景设计的过滤器，即只显示修改文件或注册表项的事件。具体操作步骤如下：
1. 打开Filter对话框。
2. 配置“Category is Write then Include”过滤器。