强大的病毒分析利器InstallRite绿色破解版下载,InstallRite分析病毒教程

强大的病毒分析利器 InstallRite 绿色破解版下载,InstallRite 分析病毒教程

下载地址:http://olseeling.qjwm.com/down_1173304.html

汉化补丁:http://olseeling.qjwm.com/down_1173268.html

InstallRite 是一个通过快照对比来分析系统变化的工具。它原本常用于观察软件安装前后对文件和注册表的修改,也可以用来辅助分析可疑程序:先记录系统状态,再运行样本,最后比较前后两次快照,就能看到它新增、修改或删除了哪些文件,以及改动了哪些注册表项。

分析病毒或可疑程序时,不建议在日常使用的系统上直接运行。最好准备一台虚拟机,提前保存虚拟机快照,并尽量隔离网络环境。这样即使样本造成破坏,也可以回滚系统,避免影响真实电脑。

基本思路

InstallRite 的分析原理很直观:

  1. 在运行可疑程序之前,先为当前系统建立一次快照。
  2. 运行病毒或可疑程序,等待它执行完成。
  3. 运行 InstallRite 的分析功能,对比最近一次快照之后发生的改变。
  4. 查看文件系统和注册表的差异,判断样本做了哪些动作。
  5. 根据差异结果清理新增文件、恢复被修改的注册表项,或进一步定位启动项、服务和落地文件。

操作步骤

第一步,先完成绿色版的注册和汉化,然后在分析病毒前为系统建立一次快照。这个快照相当于“干净状态”的基准,后面所有变化都会拿它来比较。

第二步,等快照建立完成后,再运行病毒样本。建议只在虚拟机里实验,并且运行前保存虚拟机自身的快照。等病毒完全运行后,点击 InstallRite 的分析功能,分析最近一次快照之后做出的改变。

第三步,等分析完成后,点击上方的“检查安装”。这时就可以看到病毒文件对系统做出的修改,包括新增或修改的文件、注册表键值等信息。

分析时需要注意的地方

查看结果时,可以重点关注这些位置:

  • 系统启动项和 Run、RunOnce 等注册表位置。
  • 系统目录、临时目录、用户目录下新增的可执行文件。
  • 被替换或删除的关键文件。
  • 新增的服务、驱动、计划任务或异常自启动配置。
  • 与浏览器、网络代理、防火墙设置相关的注册表变化。

如果只是想判断一个程序安装时改了什么,按上述流程直接对比即可;如果是分析病毒,最好把 InstallRite 的结果和其他工具一起使用,例如进程查看工具、启动项查看工具、网络连接查看工具等。InstallRite 主要告诉你“前后发生了什么变化”,但不一定能说明每个变化的恶意程度,需要结合实际路径、文件名、签名和运行行为判断。

这个软件还有其他功能,这次主要讲如何利用它做快照对比来分析可疑程序。其他功能可以自己再研究一下。

Leave a Reply