跳转到帖子

游客您好,欢迎来到黑客世界论坛!您可以在这里进行注册。

赤队小组-代号1949(原CHT攻防小组)在这个瞬息万变的网络时代,我们保持初心,创造最好的社区来共同交流网络技术。您可以在论坛获取黑客攻防技巧与知识,您也可以加入我们的Telegram交流群 共同实时探讨交流。论坛禁止各种广告,请注册用户查看我们的使用与隐私策略,谢谢您的配合。小组成员可以获取论坛隐藏内容!

TheHackerWorld官方

经典病毒分析熊猫烧香手把手训练(上)——七夜的故事

风尘剑心
风尘剑心
木马病毒分析

精选回复

发布于

熊猫烧香病毒当年一塌糊涂,感染非常迅速,是病毒史上的经典案例。不过比较老,基本无害,里面的技术都过时了。作为实践项目,对熊猫烧香病毒进行了分析。首先准备好病毒样本(见Snow论坛),VM虚拟机,Xp Sp3系统。样本参数如下:

病毒名称:panda.exe

文件大小:61952字节

MD5值:3520d 3565273e 41c9eB04675d05da8

SHA1值:bb 1d 8 fa 7 e 4 e 59844 C1 Fe 7 b 73 f 9 b 47d 36 a 0 a

CRC32:23B6DA2A

今天讲的主要是行为分析,所以我们还需要两个软件,一个是Process Monitor v3.10,一个是PCHunter。Process Monitor v3.10是微软提供的工具,可以监控一个进程在文件、注册表、网络、线程进程上的运行情况。

899843-20170820140452193-1234463595.png

PCHunter是一个强大的ARK工具,专门对付Rootkit。主要是想用它来挂接病毒进程,找到一些隐藏文件和启动项。

899843-20170820140554334-525262129.png

首先,我们在XP Sp3虚拟机中打开进程监视器,然后运行panda.exe病毒。这时,我们开始监控熊猫烧香的一举一动。

899843-20170820140825943-936691511.png

运行两分钟左右,我们用PCHunter暂停病毒进程,停止他的工作。此时,你会发现这个过程的名字不是panda.exe,而是spcolsv.exe。右键单击将其挂起。

899843-20170820141204037-1042081052.png

暂停后,Process Monitor中的监控数据将被保存,然后我们可以进行离线分析。Process Monitor的强项在于过滤器,因为Process Monitor监控所有进程,数据量太大。我们从进程线程、文件、注册表、网络四个方面来分析病毒的行为。

1.进程线程

由于我们发现进程名称发生了变化,所以让我们来看看Process Monitor中的进程树,以了解进程和线程的变化。

899843-20170820141948975-1365414039.png

在上面的红框中,我们发现panda.exe启动了spcolsv.exe进程,然后spcolsv.exe启动了三个CMD,执行的命令分别是:cmd.exe/c net share c $/del/y,cmd.exe/c net share a $/del/y,cmd.exe/c net share admin $/del/y,这些CMD命令主要用于删除默认共享。我们来看看线程的情况。spcolsv.exe启动了许多线程来执行一些操作。

899843-20170820142426584-1920530680.png

2.文件

首先,看看spcolsv.exe进程来自哪里,并过滤panda.exe的文件操作。

899843-20170820142926193-881810765.png

你可以看到panda.exe把spcolsv.exe和它自己分开,然后把文件写到C:\WINDOWS\system\driver文件夹。然后panda.exe开始了spcolsv.exe。

899843-20170820143236850-1977957245.png

Spcolsv.exe开始了真正的感染工作,在每个磁盘的根目录下复制自己,命名为setup.exe,并生成autorun.inf文件。autorun.inf的作用是当用户打开盘符时,它会自动运行setup.exe,从而实现持久化操作。创建桌面_。ini文件放在整个磁盘的每个文件夹中。

899843-20170820143400490-823595505.png

运行了一段时间后,开始感染exe文件。从下图可以看出,我在电脑里写了Ollydbg.exe。

899843-20170820144114771-710078652.png

感染的结果变成了下图。

899843-20170820144212459-1816754987.png

3.注册表

病毒注册表的操作主要有两个方面。第一件事是在HKEY _当前_用户\软件\微软\ windows \当前版本\运行键中添加svcshare。同时通过设置

HKLM \软件\微软\ Windows \当前版本\ Explorer \ Advanced \ Folder \ Hidden \ Showall中CheckedValue的键值设置为0,以隐藏文件,防止用户查看已发布的病毒。这个过程每隔一段时间就会发生一次。

899843-20170820144405021-1324269075.png

第二件事是删除专杀软件的自启动项,包括卡巴斯基,迈克菲等等。

899843-20170820144804756-920308902.png

4.网络

从目前分析,病毒会不断扫描局域网默认共享。用于在局域网中传播。

899843-20170820145436662-1621173171.png

5.编写简单的专杀工具

无论是手动还是自动杀毒,通过病毒的行为,我们主要从以下几个方面查杀病毒:

结束spcolsv.exe和setup.exe进程

删除spcolsv.exe、setup.exe、autorun.inf和Desktop_。ini文件

删除HKEY _当前_用户\软件\微软\ windows \当前版本\运行项中的svcshare,将HKLM \软件\微软\ windows \当前版本\资源管理器\高级\文件夹\隐藏\显示项中的CheckedValue设置为1。

最后用MFC (Desktop_)写了一个熊猫杀熟工具。ini暂时没有删除),部分代码参考了姜叶的技术专栏。

899843-20170820183843975-1992971562.png

6.总结

通过行为监测,完成了对熊猫烧香病毒的查杀,但不够彻底。我们还没有恢复那些被感染的exe文件。如果我们想要进一步的研究,我们将在下一节反转病毒,看看它是如何被感染的。

7.再续

我的新书 《Python爬虫开发与项目实战》 出版了。本书由三部分组成:基础部分、中级部分和深入部分。不仅适合零基础的初学者,也适合有一定基础的高级爬虫爱好者。如果是你不会分布式爬虫,不会千万级数据的去重,不会怎么突破反爬虫,不会分析js的加密,这本书会让你大吃一惊。如果你对这本书感兴趣,可以看看试读样章。

本文为原创作品,欢迎转载分享,禁止修改文章内容。尊重原创,转载请注明出自:http://www.cnblogs.com/qiyeboy/《七夜的故事》

创建帐户或登录后发表意见

转到主题列表

最近浏览 0

  • 没有会员查看此页面。