C语言怎么实现熊猫上香中的系统错误提示,病毒分析(三)-利用Process Monitor对熊猫烧香病毒进行行为分析...

前两次随笔我介绍了手动查杀病毒的步骤,然而仅通过手动查杀根本无法仔细了解病毒样本的行为,这次我们结合Process Monitor进行动态的行为分析。

Process Monitor

Process Monitor一款系统进程监视软件,总体来说,Process Monitor相当于Filemon+Regmon,其中的Filemon专门用来监视系统 中的任何文件操作过程,而Regmon用来监视注册表的读写操作过程。 有了Process Monitor,使用者就可以对系统中的任何文件和 注册表操作同时进行监视和记录,通过注册表和文件读写的变化, 对于帮助诊断系统故障或是发现恶意软件、病毒或木马来说,非常有用。

步骤

1.首先打开Process Monitor,打开Process Tree 然后运行病毒样本,即setup.exe程序,可发现已经检测到该进程,如图

0de808209d27b97074c0dfdcb5c66b0b.png

可以观察到该进程又创建了一个spoclsv.exe,且运行了三个cmd命令,这几条命令分别是:

cmd.exe /c net share C$ /del /y //删除C盘的网络共享,因为我们知道该病毒会感染所有盘,而我的虚拟机中只有一个C盘,所以只删除C盘中网络共享

cmd.exe /c net share admin$ /del /y //删除系统根目录下的网络共享

到此我们可以判断出两条病毒行为

①该病毒样本运行后会创建新的进程spoclsv.exe。

②该病毒样本会删除C盘以及根目录下的网络共享。

2.接着我们使用Process Monitor 的过滤器功能对行为进行进一步分析

一般来说,对一个病毒样本的行为检测可分为三大类:注册表,文件,网络,分别对该三种方向进行分析,可具体的有条理的获取分析结果。

首先我们来分析文件

设置过滤器,对spoclsv.exe 进行监控

6a19b992a40ca27e5926ef16b0e96447.png

我们可以发现该进程通过CreateFile在C盘根目录下创建了setup.exe 和autorun.inf文件,说明可能是让setup.exe自动启动。于是我们又得到两个病毒行为

③病毒样本生成的spoclsv.exe程序可能会自身复制到C盘的根目录下改名为setup.exe。

④还产生了一个autorun.inf 文件使setup.exe自启动

3.接下来我们对注册表进行分析

首先可以查看一下RegDeleteValue这个操作

a688ae6c0c75c15d3197b3a10d396919.png

这些删除键值的操作是删除所有杀毒软件的自启动项,防止病毒被查杀

接下来设置过滤条件为RegCreateKey与RegSetValue,如图

0117e9c900cf5742af5890e09113d8f3.png

上图在注册表自启动键里面添加了新的键值,即svcshare,所以每次启动计算机时,spoclsv.exe都会自启动,进行病毒行为

3969e673c24f581fecc8db0db0d67c3f.png

上述操作指的是将文件设置为隐藏属性,无法被找到,即将Check Value的值设为0,于是我们可以推断出该病毒可能会将后生成的setup.exe和autorn.inf文件设置为隐藏属性,无法显示,经过上次手动查杀验证,的确如此

病毒行为:

⑦删除安全类软件在注册表中的启动项。

⑧在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run中创建svcshare,用于在开机时启动位于“C:\WINDOWS\system32\drivers\spoclsv.exe”的病毒程序。

⑨将spoclsv.exe生成的文件设置为隐藏属性,不被计算机用户发现。

最后,我们来分析网络行为

811905d4d3da52595ec525a52a55b523.png

可以发现,该程序不断的想172.16.11.xx这个局域网进行尝试连接,可能意图是感染该局域网内的其他计算机。

整个熊猫烧香病毒的行为分析的流程已经完毕,我们可以发现,通过行为分析获得的病毒行为特征比手动查杀要丰富的多,这启示我们在对一个样本进行分析时,要多方面结合进行分析,不能片面,病毒分析是一个缓慢而有趣的事情,当然要进一步了解样本的话,还需要更高的逆向分析技术,本小白争取下一周进行完整的逆向分析。

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值