熊猫烧香专杀工具

最新推荐文章于 2022-09-24 17:27:56 发布
最新推荐文章于 2022-09-24 17:27:56 发布
阅读量1.3k 收藏 5
点赞数
分类专栏: 病毒分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44001905/article/details/98961269
版权

之前分析熊猫烧香后写的简单的专杀代码

#include <stdio.h>
#include <stdlib.h>
#include <windows.h>
#include <Tlhelp32.h>



//遍历进程
BOOL FindTargetProcess(const char *pszProcessName)
{
	BOOL bKill = FALSE;
	HANDLE hProcess;//用来获取当前进程
	HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
	if (hProcessSnap == INVALID_HANDLE_VALUE)
	{
		return bKill;
	}

	PROCESSENTRY32 pe = { 0 };
	pe.dwSize = sizeof(pe);

	BOOL bRet = Process32First(hProcessSnap, &pe);
	while (bRet)
	{
		if (strcmp(pe.szExeFile, pszProcessName) == 0)
		{
			//*dwPid = pe.th32ProcessID;
			bKill = TRUE;
			hProcess = OpenProcess(PROCESS_TERMINATE, FALSE, pe.th32ProcessID);
			int ret = TerminateProcess(hProcess, 1);
			if (ret)
			{
				printf("成功杀死病毒进程\n");
			}
			else
			{
				printf("失败\n");
			}
			break;
		}
		bRet = Process32Next(hProcessSnap, &pe);
	}

	CloseHandle(hProcessSnap);

	return bKill;
}

BOOL DelFile(const char * FileName)
{
	// 去除文件的隐藏、系统以及只读属性
	DWORD dwFileAttributes = GetFileAttributes(FileName);
	dwFileAttributes &= ~FILE_ATTRIBUTE_HIDDEN;
	dwFileAttributes &= ~FILE_ATTRIBUTE_SYSTEM;
	dwFileAttributes &= ~FILE_ATTRIBUTE_READONLY;
	SetFileAttributes(FileName, dwFileAttributes);

	int delRet = DeleteFile(FileName);
	if (delRet)
	{
		printf("成功杀死病毒文件: %s\n", FileName);
		return TRUE;
	}
	else
	{
		printf("失败杀死病毒文件: %s\n", FileName);
		return FALSE;
	}
}

//是否为exe
bool IsExe(const char* pFileName)
{
	const char* pTemp = pFileName;
	while (*pTemp != 0x00)
	{
		if (!strcmp(pTemp, ".exe"))
		{
			return true;
		}
		++pTemp;
	}
	return false;	
}

//是否为html
bool IsHtml(const char* pFileName)
{
	const char* pTemp = pFileName;
	while (*pTemp != 0x00)
	{
		if (!strcmp(pTemp, ".html"))
		{
			return true;
		}
		++pTemp;
	}
	return false;
}

//修复感染exe文件
BOOL ReExe(const char* pstrFilePath)
{
	CHAR* pFilebuf = NULL;
	//打开文件获取句柄
	HANDLE hFile = CreateFile(pstrFilePath,
		GENERIC_READ | GENERIC_WRITE,
		FALSE,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL);

	if (hFile == INVALID_HANDLE_VALUE)
	{
		//MessageBoxA(NULL,"文件打开失败","修复exe",NULL);
		return 0;
	}

	//获取文件大小
	DWORD FileSize = GetFileSize(hFile, NULL);

	pFilebuf = new CHAR[FileSize]{};
	//读文件
	DWORD dwCount = 1;
	BOOL bRet = ReadFile(hFile, pFilebuf, FileSize, &dwCount, NULL);

	if (!bRet)
	{
		//释放资源 返回失败
		CloseHandle(hFile);
		delete pFilebuf;
		return FALSE;
	}
	char* pFileOffset = pFilebuf + 0x18200;

	SetFilePointer(hFile, 0, 0, FILE_BEGIN);
	WriteFile(hFile, pFileOffset, FileSize - 0x18200 - 24, &dwCount, NULL);
	SetEndOfFile(hFile);
	CloseHandle(hFile);

	delete[] pFilebuf;
	return TRUE;
}

//将文件读入内存并获取大小
char* GetFileBuf(char* pstrFilePath, _Out_ DWORD* FileSize)
{
	char* pFilebuf = NULL;
	//打开文件获取句柄
	HANDLE hFile = CreateFile(pstrFilePath,
		GENERIC_READ,
		FALSE,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL);

	if (hFile == INVALID_HANDLE_VALUE)
	{
		printf("文件打开失败\n");
		return 0;
	}

	//获取文件大小
	*FileSize = GetFileSize(hFile, NULL);

	pFilebuf = new char[*FileSize]{};
	//读文件
	DWORD dwCount = 1;
	BOOL bRet = ReadFile(hFile, pFilebuf, *FileSize, &dwCount, NULL);

	if (bRet)
	{
		CloseHandle(hFile);
		return pFilebuf;
	}
	//释放资源
	CloseHandle(hFile);
	delete pFilebuf;
	return 0;

}

//是否为感染exe
bool IsInfectedExe(char* pstrFilePath)
{
	//感染文件最后一个字节为01
	//向前找到00的后五个字节是WhBoy
	CHAR* pFileBuf = NULL;
	DWORD dwFileSize = 0;
	pFileBuf = GetFileBuf(pstrFilePath, &dwFileSize);
	if (pFileBuf == 0)
	{
		return false;
	}
	BYTE* pFileOffset = (BYTE*)pFileBuf;
	*pFileOffset;
	pFileOffset += (dwFileSize - 1);
	//判断是否为0x01
	if (*pFileOffset != 0x01)
	{
		delete[] pFileBuf;
		return  false;
	}
	while (*pFileOffset != 0x00)
	{
		--pFileOffset;
	}
	pFileOffset++;
	CHAR temp[6] = { 0 };
	memcpy_s(temp, 5, pFileOffset, 5);
	if (!strcmp(temp, "WhBoy"))
	{
		delete[] pFileBuf;
		return  true;
	}
	delete[] pFileBuf;
	return  false;
}


//是否为感染html
bool IsInfectedHtml(char* pstrFilePath)
{
	//感染html
	CHAR* pFileBuf = NULL;
	DWORD dwFileSize = 0;
	pFileBuf = GetFileBuf(pstrFilePath, &dwFileSize);
	if (pFileBuf == 0)
	{
		return 0;
	}
	BYTE* pFileOffset = (BYTE*)pFileBuf;
	*pFileOffset;
	pFileOffset += (dwFileSize - 64);

	CHAR temp[32] = { 0 };
	memcpy_s(temp, 31, pFileOffset, 31);
	if (!lstrcmp(temp, "http://www.ac86.cn/66/index.htm"))
	{
		delete[] pFileBuf;
		return  TRUE;
	}
	delete[] pFileBuf;
	return  FALSE;
}

//修复感染html文件
bool ReHtml(const char* pstrFilePath)
{
	CHAR* pFilebuf = NULL;
	//打开文件获取句柄
	HANDLE hFile = CreateFile(pstrFilePath,
		GENERIC_READ | GENERIC_WRITE,
		FALSE,
		NULL,
		OPEN_EXISTING,
		FILE_ATTRIBUTE_NORMAL,
		NULL);

	if (hFile == INVALID_HANDLE_VALUE)
	{
		//MessageBoxA(NULL,"文件打开失败","修复exe",NULL);
		return 0;
	}

	//获取文件大小
	DWORD FileSize = GetFileSize(hFile, NULL);

	pFilebuf = new CHAR[FileSize]{};
	//读文件
	DWORD dwCount = 1;
	BOOL bRet = ReadFile(hFile, pFilebuf, FileSize, &dwCount, NULL);

	if (!bRet)
	{
		//释放资源 返回失败
		CloseHandle(hFile);
		delete pFilebuf;
		return FALSE;
	}
	char* pFileOffset = pFilebuf;
	SetFilePointer(hFile, 0, 0, FILE_BEGIN);
	WriteFile(hFile, pFilebuf, FileSize - 76, &dwCount, NULL);
	SetEndOfFile(hFile);
	CloseHandle(hFile);
	delete[] pFilebuf;
	return TRUE;
}



//遍历文件夹删除desktop_.ini
DWORD WINAPI Delini(const char* lpszPath)
{
	printf("进入");
	WIN32_FIND_DATA stFindFile;
	HANDLE hFindFile;
	// 扫描路径
	char szPath[MAX_PATH];
	char szFindFile[MAX_PATH];
	char szSearch[MAX_PATH];
	const char *szFilter;
	int len;
	int ret = 0;

	szFilter = "*.*";
	strcpy(szPath, lpszPath);

	len = lstrlen(szPath);
	if (szPath[len - 1] != '\\')
	{
		szPath[len] = '\\';
		szPath[len + 1] = '\0';
	}

	strcpy(szSearch, szPath);
	strcat(szSearch, szFilter);

	hFindFile = FindFirstFile(szSearch, &stFindFile);
	if (hFindFile != INVALID_HANDLE_VALUE)
	{
		do
		{
			strcpy(szFindFile, szPath);
			strcat(szFindFile, stFindFile.cFileName);

			if (stFindFile.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY)
			{
				if (stFindFile.cFileName[0] != '.')
				{
					Delini(szFindFile);
				}
			}
			else
			{
				if (!strcmp(stFindFile.cFileName, "Desktop_.ini"))
				{
					// 去除文件的隐藏、系统以及只读属性
					DWORD dwFileAttributes = GetFileAttributes(szFindFile);
					dwFileAttributes &= ~FILE_ATTRIBUTE_HIDDEN;
					dwFileAttributes &= ~FILE_ATTRIBUTE_SYSTEM;
					dwFileAttributes &= ~FILE_ATTRIBUTE_READONLY;
					SetFileAttributes(szFindFile, dwFileAttributes);
					// 删除Desktop_.ini
					BOOL bRet = DeleteFile(szFindFile);
					if (bRet)
					{
						printf("成功杀死病毒文件: %s\n", szFindFile);
					}
					else
					{
						printf("失败杀死病毒文件: %s\n", szFindFile);
					}
				}
				else if(IsExe(stFindFile.cFileName))       //判断是否是exe
				{
					if (IsInfectedExe(szFindFile))
					{
						printf("exe文件被感染: %s\n", szFindFile);
						if (ReExe(szFindFile))
						{
							printf("exe文件修复成功: %s\n", szFindFile);
						}
						else
						{
							printf("exe文件修复失败: %s\n", szFindFile);
						}
					}
					else
					{
						printf("exe文件没有被感染: %s\n", szFindFile);
					}
				}
				else if (IsHtml(stFindFile.cFileName))       //判断是否是html
				{
					if (IsInfectedHtml(szFindFile))
					{
						printf("html文件被感染: %s\n", szFindFile);
						if (ReHtml(szFindFile))
						{
							printf("html文件修复成功: %s\n", szFindFile);
						}
						else
						{
							printf("html文件修复失败: %s\n", szFindFile);
						}
					}
					else
					{
						printf("html文件没有被感染: %s\n", szFindFile);
					}
				}


			}
			//printf("文件: %s\n", szFindFile);
			ret = FindNextFile(hFindFile, &stFindFile);
		} while (ret != 0);
	}

	FindClose(hFindFile);

	return 0;
}

void RecoveryReg()
{
	// 首先检查启动项
	char RegRun[] = "Software\\Microsoft\\Windows\\CurrentVersion\\Run";
	HKEY hKeyHKCU = NULL;
	LONG lSize = MAXBYTE;
	char cData[MAXBYTE] = { 0 };

	long lRet = RegOpenKey(HKEY_CURRENT_USER, RegRun, &hKeyHKCU);
	if (lRet == ERROR_SUCCESS)
	{
		lRet = RegQueryValueEx(hKeyHKCU, "svcshare", NULL, NULL, (unsigned char *)cData, (unsigned long *)&lSize);
		if (lRet == ERROR_SUCCESS)
		{
			if (strcmp(cData, "C:\\WINDOWS\\system32\\drivers\\spo0lsv.exe") == 0)
			{
				printf("注册表启动项中存在病毒信息\n");
			}

			lRet = RegDeleteValue(hKeyHKCU, "svcshare");
			if (lRet == ERROR_SUCCESS)
			{
				printf("注册表启动项中的病毒信息已删除!\n");
			}
			else
			{
				printf("注册表启动项中的病毒信息无法删除\n");
			}
		}
		else
		{
			printf("注册表启动项中不存在病毒信息\n");
		}
		RegCloseKey(hKeyHKCU);
	}
	else
	{
		printf("注册表启动项信息读取失败\n");
	}
	// 接下来修复文件的隐藏显示,需要将CheckedValue的值设置为1
	char RegHide[] = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL";
	HKEY hKeyHKLM = NULL;
	DWORD dwFlag = 1;

	long lRetHide = RegOpenKey(HKEY_LOCAL_MACHINE, RegHide, &hKeyHKLM);
	if (lRetHide == ERROR_SUCCESS)
	{
		printf("检测注册表的文件隐藏选项...\r\n");
		if (ERROR_SUCCESS == RegSetValueEx(
			hKeyHKLM,             //subkey handle  
			"CheckedValue",       //value name  
			0,                    //must be zero  
			REG_DWORD,            //value type  
			(CONST BYTE*)&dwFlag, //pointer to value data  
			4))                   //length of value data
		{
			printf("注册表修复完毕!\n");
		}
		else
		{
			printf("无法恢复注册表的文件隐藏选项\n");
		}
	}

}


int main()
{
	char szPath[100];
	printf("请输入要查杀的路径:\n");
	//scanf("%s", szPath);

	DWORD dwPid = 0;
	//首先杀死病毒进程
	FindTargetProcess("spo0lsv.exe");
	//删除C盘根目录下的文件
	DelFile("C:\\autorun.inf");
	DelFile("C:\\setup.exe");
	DelFile("C:\\Windows\\System32\\drivers\\spo0lsv.exe");
	//删除desktop_ini文件
	Delini("C:\\Program Files\\ClamAV");
	//修复注册表
	RecoveryReg();

	system("pause");
	return 0;

}
Iam0x17
关注
专栏目录
Worm.Nimaya(熊猫烧香) 专杀工具
04-21
Worm.Nimaya(熊猫烧香) 专杀工具最新版本:1.10
专杀工具-熊猫烧香
weixin_30954607的博客
08-10 1199
转载自看雪论坛大神-江湖百晓生https://bbs.pediy.com/thread-250115.htm复现熊猫烧香熊猫烧香的介绍熊猫烧香是一个感染性的蠕虫病毒,它能感染系统中的 exe ,com ,pif,src,html,asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件,该文件是一系统备份工具 GHOST 的备份文件,使用户的系统备份文件丢失。被感...
病毒木马查杀实战第004篇:熊猫烧香专杀工具的编写
Gleam的专栏
11-09 8437
一、前言         如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了。当然对于我们这次研究的对象——“熊猫烧香”来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟还没有对其进行逆向分析。所以这里仅针对我们上一篇文章所得出的结果,来进行专杀工具的编写。一般来说,专杀工具既可以用批处理实现,又可以用编程语言编写,但是现实中更多的还是用后者进行制作的,因为其更加严
熊猫烧香作者自己出的专杀
weixin_33835690的博客
02-14 147
武男悔过,看守所完成熊猫专杀,不晓得武男是不是出售过源码(媒体报道说是)。如果源码被扩散,最终出来的病毒将不能被武男所控制,有可能这个专杀不能对所有变种有效。 从我的隔离区把90多个whboy恢复出来,试下武男的专杀,看效果咋样。结果,你一定不会相信。 武男的专杀不能设置扫描目标,只能全盘杀,汗,看守所里出的,也难为这孩子了。 扫描速度很快,完全扫描是从末尾的硬盘开始的,最后才扫描C...
熊猫烧香专杀工具—杀毒工具
12-24
熊猫烧香专杀工具就是针对这一病毒而设计的专业杀毒软件,旨在帮助用户有效清除熊猫烧香病毒,恢复系统的正常运行。 熊猫烧香病毒的主要特征包括: 1. **自我复制**:熊猫烧香病毒具备很强的自我复制能力,能感染...
熊猫烧香专杀工具.exe
10-29
这是一个小巧但好用的软件,杀毒很彻底,试试哦
PC保镖之熊猫烧香专杀及防御工具 v1.6
10-30
熊猫烧香”,又称“武汉男生”,这是一个感染型的蠕虫病毒,它能感染系统中exe,com,pif,src,html,asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为gho的文件,该文件是一系统备份工具GHOST的...
熊猫烧香病毒专杀工具集.rar
08-26
本压缩包"熊猫烧香病毒专杀工具集.rar"包含了针对该病毒的几种专业杀毒工具,旨在帮助用户检测和清除"熊猫烧香"病毒。 1. antivirus.rar:这可能是某知名杀毒软件的压缩版,可能包含了最新的病毒库和扫描引擎,用于...
熊猫烧香病毒专杀工具
02-14 424
熊猫烧香病毒专杀工具---太平洋下载中心合集http://dl.pconline.com.cn/html_2/1/66/id=41497&pn=0.html熊猫烧香病毒专杀工具---李俊这是由中关村网站提供的下载,号称是...
云守护版熊猫烧香病毒专杀工具演示
01-11
云守护版 熊猫烧香 病毒 专杀工具演示 c++builder 实现
kill_folder 文件夹图标类病毒专杀
06-12
文件夹图标类病毒专杀 文件夹图标类病毒专杀 文件夹图标类病毒专杀 文件夹图标类病毒专杀
New folder (1)_newfolder_NEW_
09-30
abcasfdkliuoklmgfjkjqwkrlqw
kill-folder
05-09
kill_folder文件夹杀毒工具,可以用于解决一些特殊病毒的查杀。
欢乐时光(folder.htt)病毒专杀
07-17
u盘中毒之后,所有文件被隐藏,这时候你就得需要这款绿色小巧,便携的杀毒工具来帮忙搞定一下了
熊猫烧香专杀工具的编写
richard1230的博客
03-10 2223
熊猫烧香专杀工具编写 (注:本篇文章是参考了其他的一些技术文章) 一.终止病毒的进程 终止进程的思路: 利用ToolHelpAPI获得快照句柄,而后再利用Process32First和Process32Next枚举当前的进程,枚举的过程当中获取结构体ProcessEntry32这个结构体里面的相关信息(包括进程名和进程ID); 找到目标进程之后,利用OpenProcess获取当前...
第6篇 熊猫烧香专杀工具编写
热门推荐
qq_55202378的博客
09-24 3万+
专杀工具编写
熊猫烧香病毒专杀及手动修复方案
[智能天空教程区 Smart-sky]
01-14 1386
编者按:本文介绍了熊猫烧香病毒、熊猫烧香病毒变种的查杀方法,及熊猫烧香病毒的手动清除方案。提供了病毒进程为spoclsv.exe和FuckJacks.exe变种的解决方案,和熊猫烧香病毒专杀工具。   在动手查杀熊猫烧香病毒之前,强烈建议先注意以下四点:   1.本文包含两种熊猫烧香病毒变种的描述,请注意查看病毒症状,根据实际情况选用不同的查杀方法。   2.对于被熊
熊猫烧香专杀
大海的专栏
01-29 1151
针对熊猫烧香病毒正在上演最后的疯狂,江民发布全国"追杀令".以下是熊猫烧香专杀工具的下载地址.http://www.jiangmin.com/download/zhuansha04.htm 
python熊猫烧香
最新发布
06-05
Python熊猫烧香是一个指代使用pandas库进行数据处理的术语。pandas是Python中非常流行的用于数据分析和处理的库,它提供了许多用于快速读取、处理和分析数据的工具和函数。Pandas是一个强大的数据处理库,可以处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值