熊猫烧香专杀工具的编写

最新推荐文章于 2023-12-28 22:19:01 发布
最新推荐文章于 2023-12-28 22:19:01 发布
阅读量2.2k 收藏 10
点赞数
分类专栏: virus相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/richard1230/article/details/79505200
版权

文章目录

熊猫烧香专杀工具

(注:本篇文章是参考了其他的一些技术文章)

一.终止病毒的进程

这里写图片描述

终止进程的思路:
  • 利用ToolHelpAPI获得快照句柄,而后再利用Process32FirstProcess32Next枚举当前的进程,枚举的过程当中获取结构体ProcessEntry32这个结构体里面的相关信息(包括进程名和进程ID);
  • 找到目标进程之后,利用OpenProcess获取当前的进程句柄,最后再利用TerminateProcess终止病毒进程.
二.删除文件

调用DeleteFile即可:

Bool DeleteFile (LPCTSTR lpFilename);

把lpFilename设为要指向删除的文件的文件名的指针即可,可以包含具体路径.

三.修改注册表,删除启动项

这里写图片描述

RegOpenKeyEx()打开目标主键,并返回句柄,然后利用RegSetValueEx进行修改键值,最后可以利用RegSetValueEx来删除键值,最后利用RegCloseKey来进行关闭;

以上三条为最基本的建议!具体的实际情况还要随机应变,进行适当扩展!

下面来回顾一下分析的熊猫烧香:

先回顾一下这个病毒的几个行为:

  • 该病毒首先创建了一个名为“spoclsv.exe”的进程,该进程在系统目录文件下面
  • 向外发送数据包,连接上网
  • 删除安全类软件在注册表中的启动项
  • 在注册表中创建svcshare,用于在开机时启动位于在系统目录下面的创建的spoclsv.exe
  • 修改注册表,使得隐藏文件无法通过普通的设置进行显示
  • 将自身拷贝至根目录,并命名为"setup.exe",同时创建"autorun.inf"用于病毒的自启动,这两个文件属性都为隐藏.
  • 创建名为"Desktop_.ini"的隐藏文件
  • 在命令行模式下使用net share命令来取消系统中的共享

针对第二点需要说明的是,由于将病毒本体删除了之后,此问题将得一解决,针对第三点需要说明的是,用户只需自行设置将让杀毒软件关闭即可

故本专杀工具主要面向的是剩下的五点

本工具主要使用MFC来编写,

//1.在内存中查找病毒是否存在
bool C专杀工具Dlg::FindTargetProcrss(char *pszProcessName, DWORD *dwpid)
{
	bool bFind = false;
	HANDLE hprocessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);

	if (hprocessSnap ==INVALID_HANDLE_VALUE)
	{
		return bFind;
	
	}
	PROCESSENTRY32 pe = {0};
	pe.dwSize = sizeof(pe);
	BOOL bRet = Process32First(hprocessSnap,&pe);
	while (bRet)
	{
		if (lstrcmp(pe.szExeFile,(LPCWSTR)pszProcessName)==0)
		{
			*dwpid = pe.th32ProcessID;
			bFind = true;
			break;
		}
		bRet = Process32Next(hprocessSnap,&pe);
	}
	CloseHandle(hprocessSnap);
	return bFind;
}

//2.提升权限,访问一些受限制的系统资源
bool C专杀工具Dlg::EnableDebugPrivilege(char * pszPrivilege)
{
	HANDLE hToken = INVALID_HANDLE_VALUE;
	LUID luid;
	TOKEN_PRIVILEGES tp;

	BOOL bRet = OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken);
	if (bRet == FALSE)
	{
		return bRet;
	}

	bRet = LookupPrivilegeValue(NULL, (LPCWSTR)pszPrivilege, &luid);//这里需要进行类型转换,将pszPrivilege转换成LPCWSTR类型
	if (bRet == FALSE)
	{
		return bRet;
	}

	tp.PrivilegeCount = 1;
	tp.Privileges[0].Luid = luid;
	tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;

	bRet = AdjustTokenPrivileges(hToken, FALSE, &tp, sizeof(tp), NULL, NULL);

	return bRet;
}


DWORD CRC32(BYTE* ptr, DWORD Size)
{
	DWORD crcTable[256], crcTmp1;
	//动态生成CRC-32表
	for (int i = 0; i < 256; i++)
	{
		crcTmp1 = i;
		for (int j = 8; j > 0; j--)
		{
			if (crcTmp1 & 1) crcTmp1 = (crcTmp1 >> 1) ^ 0xEDB88320L;
			else crcTmp1 >>= 1;
		}

		crcTable[i] = crcTmp1;
	}
	//计算CRC32值
	DWORD crcTmp2 = 0xFFFFFFFF;
	while (Size--)
	{
		crcTmp2 = ((crcTmp2 >> 8) & 0x00FFFFFF) ^ crcTable[(crcTmp2 ^ (*ptr)) & 0xFF];
		ptr++;
	}
	return (crcTmp2 ^ 0xFFFFFFFF);
}

//主函数:!!!!!!!!!!!!!!!!!!!
void C专杀工具Dlg::OnBnClickedButton1()
{
	// TODO: 在此添加控件通知处理程序代码
	
	//char * pszProcessName;
	DWORD dwpid = 0;
	bool bRet = false;
	CString csTxt;
	//1.在内存中查找病毒是否存在,如果找到spoclsv.exe进程,则结束掉它,并删除病毒程序本身
	bRet= FindTargetProcrss("spoclsv.exe", &dwpid);
	if (bRet == true)
	{
		CString csTXT = _T("检查系统内存...\r\n");
		csTXT += _T("系统中存在病毒内存:spoclsv.exe\r\n");
		csTXT += _T("准备进行查杀...\r\n");
		SetDlgItemText(IDC_LIST1,csTXT);//IDC_LIST1要与对应的控件IDC对应
		//提升权限
		bRet = EnableDebugPrivilege((char *)SE_DEBUG_NAME);//这里也要进行类型转换

		//
		if (bRet == FALSE)
		{
			 csTxt += _T("提升权限失败\r\n");
		}
		else
		{
				csTxt += _T("提升权限成功!\r\n");
		}
		SetDlgItemText(IDC_LIST1, csTxt);
		// 打开并尝试结束病毒进程
		HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS, FALSE, dwpid);
		if (hProcess == INVALID_HANDLE_VALUE)
		{
			csTxt += _T("无法结束病毒进程\r\n");
			return;
		}
		bRet = TerminateProcess(hProcess, 0);
		if (bRet == FALSE)
		{
			csTxt += _T("无法结束病毒进程\r\n");
			return;
		}
		csTxt += _T("病毒进程已经结束\r\n");
		SetDlgItemText(IDC_LIST1, csTxt);
		CloseHandle(hProcess);
	}
	else
	{
		 csTxt += _T("系统中不存在spoclsv.exe病毒进程\r\n");
	}

	Sleep(10);
	// 查杀磁盘中是否存在名为spoclsv.exe的病毒文件
	char szSysPath[MAX_PATH] = { 0 };
	GetSystemDirectory((LPWSTR)szSysPath, MAX_PATH);

	lstrcat((LPWSTR)szSysPath, (LPCWSTR)"\\drivers\\spoclsv.exe");

	 csTxt += _T("检查硬盘中是否存在spoclsv.exe文件...\r\n");

	if (GetFileAttributes((LPCWSTR)szSysPath) == (DWORD)0xFFFFFFFF)
	{
		csTxt += _T("spoclsv.exe病毒文件不存在\r\n");
	}
	else
	{
		csTxt += _T("spoclsv.exe病毒文件存在,正在计算散列值\r\n");

		HANDLE hFile = CreateFile((LPWSTR)szSysPath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
		if (hFile == INVALID_HANDLE_VALUE)
		{
			AfxMessageBox(_T("Create Error"));
			return;
		}
		DWORD dwSize = GetFileSize(hFile, NULL);
		if (dwSize == 0xFFFFFFFF)
		{
			AfxMessageBox(_T("GetFileSize Error"));
			return;
		}
		BYTE *pFile = (BYTE*)malloc(dwSize);
		if (pFile == NULL)
		{
			AfxMessageBox(_T("malloc Error"));
			return;
		}

		DWORD dwNum = 0;
		ReadFile(hFile, pFile, dwSize, &dwNum, NULL);
		// 计算spoclsv.exe的散列值!!!!!!!!!!!!
		DWORD dwCrc32 = CRC32(pFile, dwSize);

		if (pFile != NULL)
		{
			free(pFile);
			pFile = NULL;
		}

		CloseHandle(hFile);
		// 0x89240FCD是“熊猫烧香”病毒的散列值
		if (dwCrc32 != 0x89240FCD)
		{
			csTxt += _T("spoclsv.exe校验和验证失败\r\n");
		}
		else
		{
			csTxt += _T("spoclsv.exe校验和验证成功,正在删除...\r\n");
			// 去除文件的隐藏、系统以及只读属性
			DWORD dwFileAttributes = GetFileAttributes((LPCWSTR)szSysPath);
			dwFileAttributes &= ~FILE_ATTRIBUTE_HIDDEN;
			dwFileAttributes &= ~FILE_ATTRIBUTE_SYSTEM;
			dwFileAttributes &= ~FILE_ATTRIBUTE_READONLY;
			SetFileAttributes((LPCWSTR)szSysPath, dwFileAttributes);
			// 删除spoclsv.exe
			bRet = DeleteFile((LPCWSTR)szSysPath);
			if (bRet)
			{
				csTxt += _T("spoclsv.exe病毒被删除!\r\n");
			}
			else
			{
				csTxt += _T("spoclsv.exe病毒无法删除\r\n");
			}
		}
	}
	SetDlgItemText(IDC_LIST1, csTxt);
	Sleep(10);
	///
	//  删除每个盘符下的setup.exe与autorun.inf,以及Desktop_.ini
	///
	char szDriverString[MAXBYTE] = { 0 };
	char *pTmp = NULL;
	//获取字符串类型的驱动器列表  
	GetLogicalDriveStrings(MAXBYTE, (LPWSTR)szDriverString);

	pTmp = szDriverString;

	while (*pTmp)
	{
		char szAutorunPath[MAX_PATH] = { 0 };
		char szSetupPath[MAX_PATH] = { 0 };
		lstrcat((LPWSTR)szAutorunPath, (LPCWSTR)pTmp);
		lstrcat((LPWSTR)szAutorunPath, (LPCWSTR)"autorun.inf");
		lstrcat((LPWSTR)szSetupPath,(LPCWSTR)pTmp);
		lstrcat((LPWSTR)szSetupPath, (LPCWSTR)"setup.exe");

		if (GetFileAttributes((LPCWSTR)szSetupPath) == 0xFFFFFFFF)
		{
			csTxt += pTmp;
			csTxt += _T("setup.exe病毒文件不存在\r\n");
		}
		else
		{
			csTxt += pTmp;
			csTxt += _T("setup.exe病毒文件存在,正在进行计算校验和...\r\n");
			HANDLE hFile = CreateFile((LPCWSTR)szSetupPath, GENERIC_READ, FILE_SHARE_READ, NULL, OPEN_EXISTING, FILE_ATTRIBUTE_NORMAL, NULL);
			if (hFile == INVALID_HANDLE_VALUE)
			{
				AfxMessageBox(_T("Create Error"));
				return;
			}
			DWORD dwSize = GetFileSize(hFile, NULL);
			if (dwSize == 0xFFFFFFFF)
			{
				AfxMessageBox(_T("GetFileSize Error"));
				return;
			}
			BYTE *pFile = (BYTE*)malloc(dwSize);
			if (pFile == NULL)
			{
				AfxMessageBox(_T("malloc Error"));
				return;
			}

			DWORD dwNum = 0;
			ReadFile(hFile, pFile, dwSize, &dwNum, NULL);

			DWORD dwCrc32 = CRC32(pFile, dwSize);
			if (pFile != NULL)
			{
				free(pFile);
				pFile = NULL;
			}
			CloseHandle(hFile);
			if (dwCrc32 != 0x89240FCD)
			{
				csTxt += _T("校验和验证失败\r\n");
			}
			else
			{
				csTxt += _T("校验和验证成功,正在删除...\r\n");
				// 去除文件的隐藏、系统以及只读属性
				DWORD dwFileAttributes = GetFileAttributes((LPCWSTR)szSetupPath);
				dwFileAttributes &= ~FILE_ATTRIBUTE_HIDDEN;
				dwFileAttributes &= ~FILE_ATTRIBUTE_SYSTEM;
				dwFileAttributes &= ~FILE_ATTRIBUTE_READONLY;
				SetFileAttributes((LPCWSTR)szSetupPath, dwFileAttributes);
				// 删除setup.exe
				bRet = DeleteFile((LPCWSTR)szSetupPath);
				if (bRet)
				{
					csTxt += pTmp;
					csTxt += _T("setup.exe病毒被删除!\r\n");
				}
				else
				{
					csTxt += pTmp;
					csTxt += _T("setup.exe病毒无法删除\r\n");
				}
			}
		}
		// 去除文件的隐藏、系统以及只读属性
		DWORD dwFileAttributes = GetFileAttributes((LPCWSTR)szAutorunPath);


	}

(注:本篇文章也是对其他的一些技术文章整理:)

richard1230
关注
  • 0
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
熊猫烧香专杀工具
08-08
熊猫烧香专杀工具熊猫烧香专杀工具熊猫烧香专杀工具
熊猫烧香专杀工具—杀毒工具
12-24
熊猫烧香专杀工具就是针对这一病毒而设计的专业杀毒软件,旨在帮助用户有效清除熊猫烧香病毒,恢复系统的正常运行。 熊猫烧香病毒的主要特征包括: 1. **自我复制**:熊猫烧香病毒具备很强的自我复制能力,能感染...
病毒木马查杀实战第004篇:熊猫烧香专杀工具编写
Gleam的专栏
11-09 8374
一、前言         如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了。当然对于我们这次研究的对象——“熊猫烧香”来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟还没有对其进行逆向分析。所以这里仅针对我们上一篇文章所得出的结果,来进行专杀工具编写。一般来说,专杀工具既可以用批处理实现,又可以用编程语言编写,但是现实中更多的还是用后者进行制作的,因为其更加严
第6篇 熊猫烧香专杀工具编写
热门推荐
qq_55202378的博客
09-24 3万+
专杀工具编写
专杀工具-熊猫烧香
weixin_30954607的博客
08-10 1181
转载自看雪论坛大神-江湖百晓生https://bbs.pediy.com/thread-250115.htm复现熊猫烧香熊猫烧香的介绍熊猫烧香是一个感染性的蠕虫病毒,它能感染系统中的 exe ,com ,pif,src,html,asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件,该文件是一系统备份工具 GHOST 的备份文件,使用户的系统备份文件丢失。被感...
熊猫烧香专杀工具.exe
10-29
这是一个小巧但好用的软件,杀毒很彻底,试试哦
云守护版熊猫烧香病毒专杀工具演示
01-11
【云守护版熊猫烧香病毒专杀工具演示】 在信息技术领域,病毒防护是至关重要的一个环节,特别是对于一些历史悠久且影响深远的病毒,如“熊猫烧香”。这款病毒以其广泛的传播性和破坏性闻名,对个人电脑及企业网络...
PC保镖之熊猫烧香专杀及防御工具 v1.6
10-30
熊猫烧香”,又称“武汉男生”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的...
程序之家系列教程之手把手教你写熊猫烧香病毒专杀工具
Penlee's Blog
03-11 2900
(作者:chenhui530,论坛http://chenhui530.com)前言      经过去年和熊猫烧香、威金等病毒的“斗争”,我也累了,“程序之家病毒专杀工具”虽然可以轻松解决此类病毒问题,虽然“熊猫”已经成为历史了,但是我相信更多的“熊猫”会悄然而至,病毒制造者也会不断编写新的病毒,各种各样的病毒每天都会出现,反病毒只靠专业的杀软公司是远远不够得。大家想到过自己写专杀工具清除病毒呢
Worm.Nimaya(熊猫烧香) 专杀工具
04-21
Worm.Nimaya(熊猫烧香) 专杀工具最新版本:1.10
【病毒分析】——熊猫烧香 && 专杀工具C源码
VI___
11-28 4837
最近忙里偷闲,将自己分析过的一些病毒记录一下,一是给刚入门的小白有个借鉴,二是不让自己写博客的习惯停下来。 一、基本信息 FileName panda.exe Type 感染型病毒 Size 30001 bytes MD5 512...
熊猫烧香作者自己出的专杀
weixin_33835690的博客
02-14 132
武男悔过,看守所完成熊猫专杀,不晓得武男是不是出售过源码(媒体报道说是)。如果源码被扩散,最终出来的病毒将不能被武男所控制,有可能这个专杀不能对所有变种有效。 从我的隔离区把90多个whboy恢复出来,试下武男的专杀,看效果咋样。结果,你一定不会相信。 武男的专杀不能设置扫描目标,只能全盘杀,汗,看守所里出的,也难为这孩子了。 扫描速度很快,完全扫描是从末尾的硬盘开始的,最后才扫描C...
Crossbow病毒开放源代码计划的源程序
荣植华的专栏
02-07 1648
传说中的熊猫烧香源代码这个是2003年的Crossbow病毒开放源代码计划我简单看了一下却是有不少制的借鉴的地方嘿嘿不过我编译出来的杀软却没有报毒,我也没敢执行试试如果代码里面的功能都能正常运行的话还是蛮有威力的有胆子的自己测试program Japussy;usesWindows, SysUtils, Classes, Graphics, ShellAPI{, Registry};constHe
熊猫烧香病毒专杀工具
02-14 409
熊猫烧香病毒专杀工具---太平洋下载中心合集http://dl.pconline.com.cn/html_2/1/66/id=41497&pn=0.html熊猫烧香病毒专杀工具---李俊这是由中关村网站提供的下载,号称是...
熊猫烧香病毒专杀及手动修复方案
[智能天空教程区 Smart-sky]
01-14 1337
编者按:本文介绍了熊猫烧香病毒、熊猫烧香病毒变种的查杀方法,及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案,和熊猫烧香病毒专杀工具。   在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:   1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法。   2.对于被熊
熊猫烧香专杀
大海的专栏
01-29 1133
针对熊猫烧香病毒正在上演最后的疯狂,江民发布全国"追杀令".以下是熊猫烧香专杀工具的下载地址.http://www.jiangmin.com/download/zhuansha04.htm 
专杀工具编写思路(转)
richard1230的博客
03-09 391
本文实例讲述了VC实现的病毒专杀工具的方法。非常实用,分享给大家供大家参考。具体实现方法如下: 如今病毒木马蠕虫层出不穷,变种也是一个接一个。反病毒公司以及各大安全公司随着影响很大的病毒的出现都会免费提供病毒专杀工具,这个举措对普通用户来说确实很有帮助。其实写病毒专杀工具也不像大家想象的那么神秘,利用SDK写个控制台程序来实现病毒专杀,因无须写图形界面,所以简便快捷!你自己也能写!不信?就接...
熊猫烧香病毒代码
2301_81967414的博客
12-28 736
if (iID = ID) or (SrcStream.Size < 10240) then //太小的文件不感染。if CompareText(FileName, 'JAPUSSY.EXE') = 0 then //是自己则不感染。if (Buf[0] = #80) and (Buf[1] = #69) then //PE标记。else if Ext = '.ADC' then //Foxmail地址自动完成文件。else if Ext = '.WAB' then //Outlook地址簿文件。
python熊猫烧香
最新发布
06-05
Python熊猫烧香是一个指代使用pandas库进行数据处理的术语。pandas是Python中非常流行的用于数据分析和处理的库,它提供了许多用于快速读取、处理和分析数据的工具和函数。Pandas是一个强大的数据处理库,可以处理...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值