小白学分析——熊猫烧香分析报告【附pdf】

最新推荐文章于 2024-04-18 19:20:11 发布
最新推荐文章于 2024-04-18 19:20:11 发布
阅读量1.3k 收藏 4
点赞数 3
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43742894/article/details/105948169
版权

0x00 样本信息

名称:panda.exe
文件大小:60.50 KB (61952 bytes)
修改时间:2007.01.09
MD5:3520D3565273E41C9EEB04675D05DCA8
SHA-1:BB1D8FA7EE4E59844C1FEB7B27A73F9B47D36A0A
编写语言:Borland Delphi
壳:未加壳

0x01 分析工具和环境

CFF、PEiD、IDA Pro、OllyDbg、Process Moniter、PCHunter
Windows7 32位

0x02 病毒行为

1.修改.exe后缀文件图片为panda
2.禁止打开任务管理器等窗口
3.修改键值自启动,并隐藏。
在这里插入图片描述
在这里插入图片描述

4.删除杀毒软件的自启动键值
在这里插入图片描述

5.将自身拷贝到根目录,并命名为setup.exe,同时创建autorun.inf用于病毒的启动,这两个文件的属性都是“隐藏”。
病毒文件在“C:WINDOWSsystem32drivers”中创建了“spoclsv.exe”这个文件,在C盘根目录下创 建了“setup.exe”与“autorun.inf”,并且在一些目录中创建了“Desktop_.ini”这个文件。创建这些文件之后就对注册 表的SHOWALL项进行了设置,使得隐藏文件无法显示。
在这里插入图片描述
在这里插入图片描述

0x03 详细分析

查壳,无壳,编写语言为Borland Delphi。
在这里插入图片描述

程序最开始进行一些字符串拷贝的初始化行为。

最低0.47元/天 解锁文章
[系统安全] 四十九.恶意软件分析 (5)Cape沙箱分析结果Report报告的API序列批量提取详解
杨秀璋的专栏
04-11 3449
系统安全将更好地帮助初者了解病毒逆向分析和系统安全。前文详细介绍Cape沙箱批量分析,通过调用Python脚本文件submit.py来实施批量处理。这篇文章将讲解如何将Cape沙箱分析结果Report报告的API序列批量提取,主要是提取Json文件的内容并存储至指定位置。基础性文章,希望对您有帮助,如果存在错误或不足之处,还请海涵。且看且珍惜!
[系统安全] 五十八.恶意软件分析 (10)利用火绒安全实现恶意样本家族批量标注(含术探讨)
最新发布
杨秀璋的专栏
04-26 753
前文介绍了利用MS Defender实现恶意样本家族批量标注。这篇文章将讲解如何利用火绒实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
熊猫烧香分析报告.pdf
05-06
小白分析,找了一个比较经典和简单的病毒进行习,将报告分享出来。 “熊猫烧香”虽然是一个很老的病毒,并且里面的手段也比较简单,但是对于初者像我这样的小白来说,还是挺适合练手的,毕竟也是一个名气很大的传统病毒。
熊猫烧香系列变种分析报告
weixin_34239592的博客
01-27 173
熊猫烧香变种,只是换了层壳,共性基本没变化。 您可以访问vi.duba.net输入whboy查询更多更详细的熊猫烧香分析报告病毒名称:毒霸(Worm.WhBoy,中文名武汉男生变种)瑞星(Worm.Nimaya) 江民(维金变种) 之前的病毒:尼姆亚(Worm.Nimaya) 或 烈性***FuckJacks.exe ,该病毒采用“熊猫烧香”头像作为图标,诱使用户运行。 释放文件分区根目...
熊猫烧香分析报告
weixin_30414305的博客
12-17 459
首先感谢一下小小青的排版,感谢 1.样本概况 1.1 样本信息 病毒名称:熊猫烧香 所属家族:感染蠕虫木马 MD5值:512301c535c88255c9a252fdf70b7a03 SHA1值:ca3a1070cff311c0ba40ab60a8fe3266cfefe870 CRC32:e334747c 1.2 测试环境及工具 运行环境:Win7 x86 虚拟机 分析工...
“Nimaya(熊猫烧香)”病毒分析报告
hijack-x's Blog
04-10 6373
熊猫烧香”采用Delphi编写  该病毒的主要行为:一.传播   1.本地磁盘感染病毒对系统中所有除了盘符为A,B的磁盘类型为DRIVE_REMOTE,DRIVE_FIXED的磁盘进行文件遍历感染注:不感染文件大小超过10485760字节以上的.(病毒将不感染如下目录的文件):Microsoft FrontpageMovie MakerMSN Gamin ZoneCommon FilesWi
[系统安全] 五十七.恶意软件分析 (9)利用MS Defender实现恶意样本家族批量标注(含术探讨)
杨秀璋的专栏
04-18 784
前文介绍了IDA Python配置过程和基础用法,然后尝试提取恶意软件的控制流图(CFG)。这篇文章将讲解如何利用MS Defender实现恶意样本家族批量标注,在通过VS、VT采集批量样本后,通常需要样本家族标注,如何准确识别家族类别至关重要,其将为后续的恶意软件家族分类或溯源提供帮助。在此感谢李师弟热心的指导和帮助,基础性基础,希望您喜欢,且看且珍惜。
熊猫烧香实验报告
06-30
在w7系统下对熊猫烧香病毒的演示及清除,使用专业的熊猫烧香杀毒工具清除病毒。
熊猫烧香病毒的分析报告
OpenSesame的博客
04-01 2317
第一次写博客,这个病毒挺经典的,拿来上手。 一、基础静态分析 先查壳,可以发现没加壳,程序是用delphi编写的 再看看导入函数,猜测这个病毒大概会做什么。 首先主要就是读写文件、读写注册表这些基本操作,还有FindFirstFileA、FindNextFileA说明会遍历电脑中的文件,CopyFile很可能会复制自己到某个目录然后再以另一个名称运行。 AdjustTokenPrivilege...
《2018中国区块链行业分析报告PDF高清全彩版
05-03
本次报告主要解答这个行业以下几问题: - 区块链是什么? - 区块链项目质量如何评判? - 区块链项目发展的逻辑是什么? - 大型公司和初创分别在如何布局? - 区块链有哪些挑战? - 区块链的发展趋势如何?
数据结构课程设计——熊猫烧香
07-13
数据结构课程设计——熊猫烧香数据结构课程设计——熊猫烧香数据结构课程设计——熊猫烧香数据结构课程设计——熊猫烧香数据结构课程设计——熊猫烧香数据结构课程设计——熊猫烧香数据结构课程设计——熊猫烧香
数据分析报告习专用.zip
04-23
资源里面有一百多个各类数据分析报告,只有数据报告没有数据的,下载前请注意。希望这些资源对习数据分析感兴趣的朋友有帮助。
熊猫烧香病毒分析报告
WeekPawn的博客
03-10 1497
熊猫烧香病毒分析
记一次带有FSG壳的熊猫烧香病毒分析过程
richard1230的博客
04-02 5835
样本概况 样本信息 测试环境以及工具 分析目标 具体行为分析 0利用查壳工具查看 1.利用PChunter 2.手工清理 3.利用火绒剑进行主要行为分析 恶意行为的一个简要小结 4.脱壳 病毒恶意行为分析(OD结合IDA双剑合璧) 知识点扩展1: 知识点扩展1小结: 知识点扩展2 知识点扩展3 知识点扩展4(编辑函数标签:) 知识点扩展5(有关seh链的:) 知识点扩展6(Del...
[病毒分析]熊猫烧香分析
anhui8496的博客
05-23 652
目录 1.样本概况 1.1 样本信息 1.2 测试环境及工具 1.3 分析目标 2.具体行为分析 2.1 主要行为 2.1.1 恶意程序对用户造成的危害 2.2 恶意代码分析 3.解决方案 3.1 提取病毒的特征,利用杀毒软件查杀 3.2 手工查杀步骤 参考文献 致谢 1.样本概况 1.1样本信息 病毒名称:Worm.Win32.Fuja...
网络安全实验四 熊猫烧香病毒剖析
qq_64314976的博客
06-22 1813
打开wsyscheck的进程管理,可以看见系统打开了哪些进程,可以看见spcolsv.exe正在运行,定位它的位置,可以发现,“熊猫烧香”已经将自身复制到了系统目录C:\WINDOWS\system32\drivers\spcolsv.exe下,如下图所示。,运行该程序,“熊猫烧香”病毒感染系统中的.exe、.com、.pif、.src、.html、.asp等文件,我们可以安装熊猫烧香文件夹中的HA_Filemon软件,然后通过它对“熊猫烧香“样本运行情况进行跟踪。
熊猫烧香病毒实验
u014089681的专栏
07-16 9050
试验环境:Oracle VM VirtualBox虚拟机下Windows7 32位系统。 一、实验步骤 1.备份虚拟机 2.断开网络驱动器 3.打开PowerTool监视进程 4.运行熊猫烧香病毒   二、具体实验操作步骤及中毒表现 刚一运行熊猫烧香病毒windows便立刻出现如下提示: 打开任务管理器发现一个svo0lsv.exe进程。 更改文件夹选项,显示所有文件夹
病毒海之旅-熊猫烧香分析1
10-03 606
一、 病毒简介 “熊猫烧香”,是由李俊制作并肆虐网络的一款电脑病毒,熊猫烧香跟灰鸽子不同,是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe,com,pif,src,html,asp等文件,它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件(该类文件是一系统备份工具“GHOST”的备份文件,删除后会使用户的系统备份文件丢失。)被感染的用户系统中所有.exe可执行文件全部被改成熊猫举着三根香的模样。 二、病毒手动查杀 首先,将还没有感染任务管理器显示出来
中专生编出熊猫烧香:蠕虫病毒的破坏与影响
"《计算机熊猫烧香病毒分析》是一篇深入探讨计算机病毒特性和影响的论文,主要聚焦于一种极具破坏力的蠕虫病毒——熊猫烧香。该病毒由一名非专业背景的电脑爱好者,水泥厂技校毕业生李俊编造,他的技术背景虽然不足...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值