熊猫烧香分析

最新推荐文章于 2020-08-13 14:26:50 发布
最新推荐文章于 2020-08-13 14:26:50 发布
阅读量3.3k 收藏 2
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Stronger_99/article/details/90574427
版权

在这里主要分析一下熊猫烧香病毒的初始化部分。

病毒文件可以在看雪里下载。

先对熊猫烧香病毒进行一下手动查杀,由于电脑里的软件在查杀病毒时有滞后性,所以学习手动查杀还是很有必要的。

我们先来排查可疑进程。

先把样本放到虚拟机里面,查看任务管理器发现进程数是26

然后运行病毒样本发现任务管理器消失了,再打开也是一闪而过,那么也就说明这个病毒文件已经对电脑产生了影响。

我们可以利用tasklist命令进行查看:

通过和上面的对比就可以知道多出了一个名为spoclsv.exe的程序,然后将其删掉就可以了,

这样排查可疑进程就结束了。

下面来检查系统的启动项。在运行命令里面输入msconfig查看启动项:

 

在这里可以看到spoclsv已经是自启动的一部分了,还可以看到它的路径,在这里将前面那个√删掉,点击确定就可以了。

下面就需要删除病毒了。

通过刚刚的操作已经知道了病毒的位置,利用del /f spoclsv.exe命令将其删除就可以了。

在查看C盘里的内容时明显发现了多出了autorun.inf和setup.exe,将其删除就可以了:

回到cmd查看,在隐藏属性里发现了这两个

将其删除:

手动查杀到这里就结束,之后重启电脑就可以了。

下面进行逆向分析:

先进行查壳,如果有壳的话需要进行脱壳,通过peid可以看到这个并没有加壳。

使用ida载入病毒文件,首先可以看到接连调用了两个一样的函数

使用OD看到了两个字符串

函数sub_403C9A就是分配一定大小的内存空间和字符串的拷贝

可以将其重命名为allospaceandcopystring。(重命名是为了后面看到是更加清楚明了,具体的名字根据自己,自己明白就好)

继续分析下一个call:

第一个字符串时xboy,第二个是一堆乱码。

继续分析,看到了一个循环,这里就是进行解码的操作。

将其重命名为decode

函数sub_40401A就是将上面解密后的字符串进行比较

可以看到如果比较成功的话就会跳转到loc_40CC32,继续进行解密和比较的操作

可以将其重命名为comstring

然后会跳转到loc_40CC5C:

分析第一个call  函数sub_408042

先是进行空间申请:

下面就分析每一个call

函数sub_40277E调用了函数GetModuleFileNameA

利用OD跟随:

可以将其重命名为getpathandname

分析sub_405686

先是对刚刚获取的路径从后往前与 “\”  “/”  ” :” 进行比较,

继续向下分析可以知道,函数是为了获取除了文件名以外的路径。

将其重命名为getpath

继续下一个call

这个就是将刚刚去掉文件名的路径与字符串Desktop_.ini结合成一个新的路径。可以将其重命名为stringconnect

函数sub_4057A6的目的就是验证刚刚连接的路径是否存在。

可以将其重命名为checkfileexist

由于前面的一些小秘密的操作继续往下看就会很清楚了,如果当前目录下存在Desktop_.ini,就会将其属性改为正常,然后停止一毫秒后对其进行删除

继续分析未知意图的call:

函数sub_4040CE就是完成一个验证,将其重命名为checkpath,

函数sub_4078E2:

可以观察到在步过sub_4078E2时数据窗口显示了大量的字符,整体来看就是写入病毒信息到内存,将其改名为writevirusinfotomemory。

sub_403C46我并没有发现它的具体功能是什么,在利用OD动态调试时发现了标志位Z从0变成了1,那么久可以将其重命名为setzerpflag。

sub_403ECE就是获取pe文件的长度,可以将其重命名为getpefilelen。

在获取长度后会执行一个跳转jmp     short loc_408181

继续向下分析,这个函数主要就是调用了函数CharUpperBuffA,把缓冲区中指定的字符转换成大写,将其重命名为toupper。

下一个call是sub_4054BE,调用了GetSystemDirectoryA,获取系统的路径,可以将其重命名为getsysdir。

通过OD跟随可以知道函数sub_403F8E我主要目的就是将上面获取的路径与两个字符串进行拼接,将其重命名为twostringconnect。

通过分析可以知道函数sub_4060D6目的是查找进程spoclsv.exe,如果就将其结束掉,重命名为searchandterminateprocess

继续向下看就会看到函数是刚刚分析过的,理解其意思就会方便很多,这也就体现了重命名的好处。

下面看到了CopyFileA

这里就是将病毒文件改为spoclsv.exe,复制到目录下。

继续向下看到了WinExec,结合OD可以知道现在就是运行程序,然后就退出了。

这里就是一个call接着一个call分析,然后弄清楚整体代码的意思,大家在自己分析的时候也不要拘泥一些小的细节。好了,

熊猫烧香病毒的初始化部分分析就到这里了。

Stronger_99
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
熊猫烧香详解
weixin_46566083的博客
09-25 2295
IDA详解Delphi蠕虫病毒熊猫烧香
练手之经典病毒熊猫烧香分析(上)
七夜的博客
08-20 4726
  熊猫烧香病毒在当年可是火的一塌糊涂,感染非常迅速,算是病毒史上比较经典的案例。不过已经比较老了,基本上没啥危害,其中的技术也都过时了。作为练手项目,开始对熊猫烧香病毒进行分析。首先准备好病毒样本(看雪论坛有),VM虚拟机和Xp Sp3系统。样本参数如下: 病毒名称:panda.exe 文件大小:61952 bytes MD5值:3520D3565273E41C9EEB04675D0...
熊猫烧香病毒分析报告
CMC_HHM的博客
07-27 9672
1.样本概况 1.1 样本信息 (1)病毒名称:spo0lsv.exe (2)所属家族:熊猫烧香 (3)MD5值:B8F8E75C9E77743A61BBEA9CCBCFFD5D (4)SHA1值:188FC8FC580C0EA4BF8A8900A3D36471823C8923 (5)CRC32:E63D45D3 (6)病毒行为: 复制自身到系统目录下 设置文件属性为隐藏,并且让...
长文预警-超详细的熊猫烧香病毒分析_00
hskull的博客
02-02 1104
背景介绍 恶意代码主要的几种类型: Virus(感染型病毒,侵入程序中) Worm(蠕虫病毒,传播性) Trojan(木马,远程控制,盗取账号信息等) Ransomware(勒索软件,加密文档,勒索比特币等) API(高级持续性攻击木马,窃取机密信息等) 恶意代码案例概述 熊猫烧香是一款具有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,不但能感染系统中的exe,com,pif,s...
分析熊猫烧香
40KO的博客
03-21 630
0x00 前言 总之就是分析了下这个病毒吧,毕竟当年还是影响很大的,分析起来也算友好,也算是熟悉熟悉病毒的分析过程。 0x01 行为分析 仅从PE文件上获得的信息看不出什么名堂来,因为它是Delphi写的,有许多乱七八糟的字符串,导入表也很多,看起来啥功能都有。 所以还是得用监视器来看看它的运行情况(Win7运行后还真中毒了。。。) 过滤一下文件操作可以看到它多次操作了C:...
熊猫烧香简单分析
是叶子终要回归大地,是爱情总会沉入海底。
02-09 2131
       还记的哪个酣态可鞠的熊猫,他让我们哭笑不的,网络上对这个病毒的分析、对作者猜测的文章多如牛毛,通过和他打交道,我感觉这个病毒的破坏性并不大,并且病毒本身也不具有什么先进的技术,关键是他的传播能力,他几乎采用了所有的病毒传播方式,一时间天下大乱,无人不知“熊猫烧香”    许多前辈通过DB发现病毒代码中有“whboy”字样,于是有了“武汉男生”这个名字,俗称“熊猫烧香”,这是一个感染型
[安全攻防进阶篇] 八.那些年的熊猫烧香及PE病毒行为机理分析
热门推荐
杨秀璋的专栏
08-13 1万+
如果你想成为一名逆向分析或恶意代码检测工程师,或者对系统安全非常感兴趣,就必须要认真分析一些恶意样本。熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。后续作者还将对其进行逆向调试,以及WannaCry勒索蠕虫、各种恶意样本及木马的分析。基础性文章,希望您喜欢!技术路上哪有享乐,加油~
熊猫烧香分析报告.pdf
05-06
小白学分析,找了一个比较经典和简单的病毒进行学习,将报告...“熊猫烧香”虽然是一个很老的病毒,并且里面的手段也比较简单,但是对于初学者像我这样的小白来说,还是挺适合练手的,毕竟也是一个名气很大的传统病毒。
工程伦理案例分析-“熊猫烧香”案例分析
01-18
【工程伦理案例分析——“熊猫烧香”】 “熊猫烧香”事件是中国互联网历史上的一次重大安全事件,它揭示了软件开发伦理的重要性。这个案例涉及到的伦理问题主要包括:技术滥用、责任承担、信息安全和道德责任。 1....
计算机熊猫烧香病毒分析
05-09
计算机病毒是一些特殊的程序,它们能破坏计算机内、外存储器中的程序与数据,使计算机不能正常运行。这类程序还能自动修改磁盘里...如果不是地震引发海底光缆故障,那只颔首敬香的“熊猫”,还将“迁徙”到更远的地方。
熊猫烧香案件的分析鉴定
05-09
计算机取证,熊猫烧香病毒的相关东东哦,看了还不错,分享一下啊
云守护版熊猫烧香病毒专杀工具演示
01-11
1. 病毒库构建:首先,开发者需要收集和分析熊猫烧香病毒及其变种的特征,创建病毒库。 2. 扫描引擎设计:开发扫描引擎,通过比较文件特征与病毒库,检测是否存在病毒感染。 3. 文件修复机制:一旦发现病毒,工具需...
[病毒分析]熊猫烧香
r250414958的博客
11-01 1361
熊猫烧香病毒分析报告1.样本概况1.1 样本信息1.2 测试环境及工具1.3 分析目标2.具体行为分析2.1 主要行为2.1.1 恶意程序对用户造成的危害2.2 恶意代码分析3.解决方案3.1 提取病毒的特征,利用杀毒软件查杀3.2 手工查杀步骤或是工具查杀步骤或是查杀思路等。参考文献 1.样本概况 1.1 样本信息 1.病毒名称:panda.exe 2.文件大小:30001 bytes 3.MD...
熊猫烧香分析报告
qq_43572067的博客
11-01 3532
熊猫烧香分析报告样本信息测试环境及工具主要行为恶意程序对用户造成的危害加固后的恶意代码提取病毒的特征,利用杀毒软件查杀手工查杀步骤或是工具查杀步骤或是查杀思路等C++查杀工具部分源码 样本信息 病毒名称:512301C535C88255C9A252FDF70B7A03 所属家族:蠕虫 MD5值:512301C535C88255C9A252FDF70B7A03 SHA1值:CA3A1070CFF31...
病毒木马查杀实战第003篇:熊猫烧香之行为分析
Gleam的专栏
11-04 5390
一、前言         为了分析熊猫烧香”病毒的行为,我这里使用的是Process Monitor v3.10版。关于这款软件的使用,可参考以下三篇文章:         《文档翻译第001篇:ProcessMonitor帮助文档(Part 1)》         《文档翻译第002篇:ProcessMonitor帮助文档(Part 2)》         《文档翻译第003篇:Pro
病毒分析熊猫烧香
Hades的博客
05-22 8453
病毒分析熊猫烧香1.样本概况1.1样本信息病毒名称:熊猫烧香所属家族:WhboyMD5值:512301C535C88255C9A252FDF70B7A03SHA1值:CA3A1070CFF311C0BA40AB60A8FE3266CFEFE870CRC32:E334747C文件: C:\spo0lsv.vir大小: 30001 bytes壳: PSG v2.0编程语言:Delphi病毒行为:病毒...
倍加福ENA58IL-R-ProfiNET手册(译文)
最新发布
07-11
本手册描述了配备PROFINET接口的Pepperl+Fuchs绝对旋转编码器如何集成到PROFINET网络中。 本手册适用于以下绝对旋转编码器类型: ■■Exx58N-...PN... ■Exx58N-。。。请注意。。。 ■■ENA58IL-...B17 ■ENA58IL-。。。B17
python熊猫烧香
06-05
Python熊猫烧香是一个指代使用pandas库进行数据处理的术语。pandas是Python中非常流行的用于数据分析和处理的库,它提供了许多用于快速读取、处理和分析数据的工具和函数。Pandas是一个强大的数据处理库,可以处理...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值