熊猫烧香病毒原理解析(非常详细)零基础入门到精通,收藏这一篇就够了

于 2024-05-02 15:49:33 发布
阅读量892 收藏 12
点赞数 10
分类专栏: 程序员 文章标签: 服务器 网络 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84252743/article/details/138393486
版权

3.3 感染部分

接下来就是感染其他文件或者感染其他主机,病毒会通过本地文件感染、U盘自动感染以及网络三种方式进行传播。同时,为了防止电脑用户对系统进行还原,在查找到.gho文件时,会对其进行删除。

3.3.1 感染本地文件部分

创建一个线程,遍历所有的磁盘和文件,对不同类类型文件进行处理。

1 删除GHO文件

防止用户利用GHO文件进行系统恢复。

2 感染可执行文件

感染目标文件后缀类型有:EXE、SCR、PIF、COM

具体感染请参考感染后的文件格式。感染完毕后,会在当前目录中创建Desktop_.ini,并写入日期(年-月-日),当病毒二次扫描到该目录时,会对当前日期和文件内的日期进行比较,如果时同一天就不再感染当前目录了。

  • 病毒的感染标识

感染PE文件后,会在文件的末尾写上标志,格式为:

WhBoy+ 源文件名 + 0x2标记 + 源文件大小+0x1标记

  • 感染文件结构

病毒文件 + 原始文件 + 标记字符串

3 感染web文件

感染目标文件后缀类型有:htm、html、asp、php、jsp、aspx

在web文件最后加上一句,该内容在文件中是加密的,解密后在写入文件末尾:

3.3.2 磁盘传播

通过SetTimer,每间隔6s复制自身所有磁盘的根目录,将病毒文件赋值到每个磁盘根目录并重命名为setup.exe。然后写入autorun.inf,注意这两个文件都是隐藏了。

3.3.3 网络传播

利用弱密码通过139/445端口进行登陆.

3.4 自我保护部分

这部分通过设定4分不同时长的定时器进行,然后定时执行下面几种操作。

3.4.1 杀进程和自启动

l 遍历进程和窗口,关闭特定杀毒软件或系统工具等

设定自启动和隐藏文件

3.4.2 从网络下载其他恶意软件

3.4.3 关闭默认共享

3.4.4 关闭杀毒软件等服务

0x4 解决方案

4.1 预防措施

毕竟是很老的病毒了,安装防火墙杀毒软件,不要使用弱密码。

4.2 手工查杀

4.3 编写专杀工具

思路:

编写一个程序,遍历文件,如果是可执行文件,则检查标志字符串,如果是被感染文件则还原原始文件,如果是web文件,则删除最后一个iframe。

具体程序就不编写了。

`黑客&网络安全如何学习

今天只要你给我的文章点赞,我私藏的网安学习资料一样免费共享给你们,来看看有哪些东西。

1.学习路线图

攻击和防守要学的东西也不少,具体要学的东西我都写在了上面的路线图,如果你能学完它们,你去就业和接私活完全没有问题。

2.视频教程

网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。

内容涵盖了网络安全法学习、网络安全运营等保测评、渗透测试基础、漏洞详解、计算机基础知识等,都是网络安全入门必知必会的学习内容。

(都打包成一块的了,不能一一展开,总共300多集)

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

3.技术文档和电子书

技术文档也是我自己整理的,包括我参加大型网安行动、CTF和挖SRC漏洞的经验和技术要点,电子书也有200多本,由于内容的敏感性,我就不一一展示了。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

CSDN大礼包:《黑客&网络安全入门&进阶学习资源包》免费分享

4.工具包、面试题和源码

“工欲善其事必先利其器”我为大家总结出了最受欢迎的几十款款黑客工具。涉及范围主要集中在 信息收集、Android黑客工具、自动化工具、网络钓鱼等,感兴趣的同学不容错过。

还有我视频里讲的案例源码和对应的工具包,需要的话也可以拿走。

因篇幅有限,仅展示部分资料,需要点击下方链接即可前往获取

本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。

最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。

最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。

学习路线图

其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。

相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。

网络安全工具箱

当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。

项目实战

最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~

面试题

归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84252743
关注
  • 10
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
病毒分析之熊猫烧香
Hades的博客
05-22 8452
病毒分析之熊猫烧香1.样本概况1.1样本信息病毒名称:熊猫烧香所属家族:WhboyMD5值:512301C535C88255C9A252FDF70B7A03SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870CRC32:E334747C文件: C:\spo0lsv.vir大小: 30001 bytes壳: PSG v2.0编程语言:Delphi病毒行为:病毒...
熊猫烧香电脑病毒原理解析
Python_0011的博客
10-29 198
0x0分析目标详细分析病毒的行为和目的,编写出专杀工具以及修复工具。
[病毒分析]熊猫烧香(中)病毒释放机理
网络安全知识分享
03-02 1万+
熊猫烧香(中)病毒释放机理1、sub_40277C子函数2、sub_405684子函数3、sub_403ED4子函数4、sub_4057A4子函数5.分析sub_4057A4后续删除功能6.sub_4078E0子函数7.sub_403C44子函数8.sub_403ECC子函数9.总结 1、sub_40277C子函数 第一步打开IDA pro加载我们的病毒样本 第二步,定位到loc_40CBE6的位置 这里我们看到了3个函数,这3个call是熊猫烧香病毒最重要的功能 第三步,查看cub_408024nei
[安全攻防进阶篇] 八.那些年的熊猫烧香及PE病毒行为机理分析
热门推荐
杨秀璋的专栏
08-13 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!技术路上哪有享乐,加油~
今天总算见识了什么叫熊猫烧香病毒
学习历程(部分资源来源网络)
01-22 731
今天在朋友的机子上总算见识了什么叫熊猫烧香病毒,他电脑上的病毒真多啊
计算机熊猫烧香病毒分析
05-09
这与生物界中病毒的繁衍和传播有些类似,因此人们借用“病毒”这个名词,把这类程序叫做计算机病毒,把存有这类程序的计算机,叫做感染了病毒的计算机,简称染毒计算机或带毒计算机,把存有这类程序的磁盘或光盘,...
工程伦理案例分析-“熊猫烧香”案例分析
01-18
总结起来,"熊猫烧香"案例是工程伦理教育的重要素材,它警示我们技术的力量必须以道德和法律为基础,开发者需意识到他们的决策和行为可能带来的深远影响。在信息化社会,软件开发者的伦理意识和责任感是构建和谐网络...
云守护版熊猫烧香病毒专杀工具演示
01-11
云守护版的熊猫烧香病毒专杀工具正是为了应对这一威胁而研发的。本演示将详细介绍该工具的实现原理、功能特性以及如何利用C++Builder进行开发。 一、熊猫烧香病毒介绍 “熊猫烧香”是一款蠕虫病毒,最早出现在2007...
鸿蒙应用开发入门与实战-从零到一掌握HarmonyOS开发技能
最新发布
01-08
鸿蒙应用开发入门与实战-从零到一掌握HarmonyOS开发技能 本课程是一门针对鸿蒙应用开发的系统性培训课程,由华为官方团队和腾讯课堂编程熊猫团队联合打造,涵盖了鸿蒙应用开发的基础知识、核心技术、实战案例和认证...
熊猫烧香实验报告
06-30
在w7系统下对熊猫烧香病毒的演示及清除,使用专业的熊猫烧香杀毒工具清除病毒。
熊猫烧香病毒分析
ZK_1874的博客
10-28 2627
熊猫烧香病毒分析
熊猫烧香病毒分析报告
CMC_HHM的博客
07-27 9667
1.样本概况 1.1 样本信息 (1)病毒名称:spo0lsv.exe (2)所属家族:熊猫烧香 (3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D (4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923 (5)CRC32:E63D45D3 (6)病毒行为: 复制自身到系统目录下 设置文件属性为隐藏,并且让...
长文预警-超详细熊猫烧香病毒分析_00
hskull的博客
02-02 1102
背景介绍 恶意代码主要的几种类型: Virus(感染型病毒,侵入程序中) Worm(蠕虫病毒,传播性) Trojan(木马,远程控制,盗取账号信息等) Ransomware(勒索软件,加密文档,勒索比特币等) API(高级持续性攻击木马,窃取机密信息等) 恶意代码案例概述 熊猫烧香是一款具有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,不但能感染系统中的exe,com,pif,s...
[安全攻防进阶篇] 九.熊猫烧香病毒机理IDA和OD逆向分析(上)
杨秀璋的专栏
12-08 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!IDA和OD作为逆向分析的“倚天剑和“屠龙刀”,学好它们的基本用法至关重要。
计算机病毒(公开课)图文.pptx
12-22
计算机病毒(公开课)图文.pptx

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值