熊猫烧香分析

2024-02-07 21:08
文章标签 分析 熊猫 烧香

本文主要是介绍熊猫烧香分析,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

在这里主要分析一下熊猫烧香病毒的初始化部分。

病毒文件可以在看雪里下载。

先对熊猫烧香病毒进行一下手动查杀,由于电脑里的软件在查杀病毒时有滞后性,所以学习手动查杀还是很有必要的。

我们先来排查可疑进程。

先把样本放到虚拟机里面,查看任务管理器发现进程数是26

然后运行病毒样本发现任务管理器消失了,再打开也是一闪而过,那么也就说明这个病毒文件已经对电脑产生了影响。

我们可以利用tasklist命令进行查看:

通过和上面的对比就可以知道多出了一个名为spoclsv.exe的程序,然后将其删掉就可以了,

这样排查可疑进程就结束了。

下面来检查系统的启动项。在运行命令里面输入msconfig查看启动项:

 

在这里可以看到spoclsv已经是自启动的一部分了,还可以看到它的路径,在这里将前面那个√删掉,点击确定就可以了。

下面就需要删除病毒了。

通过刚刚的操作已经知道了病毒的位置,利用del /f spoclsv.exe命令将其删除就可以了。

在查看C盘里的内容时明显发现了多出了autorun.inf和setup.exe,将其删除就可以了:

回到cmd查看,在隐藏属性里发现了这两个

将其删除:

手动查杀到这里就结束,之后重启电脑就可以了。

下面进行逆向分析:

先进行查壳,如果有壳的话需要进行脱壳,通过peid可以看到这个并没有加壳。

使用ida载入病毒文件,首先可以看到接连调用了两个一样的函数

使用OD看到了两个字符串

函数sub_403C9A就是分配一定大小的内存空间和字符串的拷贝

可以将其重命名为allospaceandcopystring。(重命名是为了后面看到是更加清楚明了,具体的名字根据自己,自己明白就好)

继续分析下一个call:

第一个字符串时xboy,第二个是一堆乱码。

继续分析,看到了一个循环,这里就是进行解码的操作。

将其重命名为decode

函数sub_40401A就是将上面解密后的字符串进行比较

可以看到如果比较成功的话就会跳转到loc_40CC32,继续进行解密和比较的操作

可以将其重命名为comstring

然后会跳转到loc_40CC5C:

分析第一个call  函数sub_408042

先是进行空间申请:

下面就分析每一个call

函数sub_40277E调用了函数GetModuleFileNameA

利用OD跟随:

可以将其重命名为getpathandname

分析sub_405686

先是对刚刚获取的路径从后往前与 “\”  “/”  ” :” 进行比较,

继续向下分析可以知道,函数是为了获取除了文件名以外的路径。

将其重命名为getpath

继续下一个call

这个就是将刚刚去掉文件名的路径与字符串Desktop_.ini结合成一个新的路径。可以将其重命名为stringconnect

函数sub_4057A6的目的就是验证刚刚连接的路径是否存在。

可以将其重命名为checkfileexist

由于前面的一些小秘密的操作继续往下看就会很清楚了,如果当前目录下存在Desktop_.ini,就会将其属性改为正常,然后停止一毫秒后对其进行删除

继续分析未知意图的call:

函数sub_4040CE就是完成一个验证,将其重命名为checkpath,

函数sub_4078E2:

可以观察到在步过sub_4078E2时数据窗口显示了大量的字符,整体来看就是写入病毒信息到内存,将其改名为writevirusinfotomemory。

sub_403C46我并没有发现它的具体功能是什么,在利用OD动态调试时发现了标志位Z从0变成了1,那么久可以将其重命名为setzerpflag。

sub_403ECE就是获取pe文件的长度,可以将其重命名为getpefilelen。

在获取长度后会执行一个跳转jmp     short loc_408181

继续向下分析,这个函数主要就是调用了函数CharUpperBuffA,把缓冲区中指定的字符转换成大写,将其重命名为toupper。

下一个call是sub_4054BE,调用了GetSystemDirectoryA,获取系统的路径,可以将其重命名为getsysdir。

通过OD跟随可以知道函数sub_403F8E我主要目的就是将上面获取的路径与两个字符串进行拼接,将其重命名为twostringconnect。

通过分析可以知道函数sub_4060D6目的是查找进程spoclsv.exe,如果就将其结束掉,重命名为searchandterminateprocess

继续向下看就会看到函数是刚刚分析过的,理解其意思就会方便很多,这也就体现了重命名的好处。

下面看到了CopyFileA

这里就是将病毒文件改为spoclsv.exe,复制到目录下。

继续向下看到了WinExec,结合OD可以知道现在就是运行程序,然后就退出了。

这里就是一个call接着一个call分析,然后弄清楚整体代码的意思,大家在自己分析的时候也不要拘泥一些小的细节。好了,

熊猫烧香病毒的初始化部分分析就到这里了。

这篇关于熊猫烧香分析的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/688939

相关文章

Go标准库常见错误分析和解决办法

《Go标准库常见错误分析和解决办法》Go语言的标准库为开发者提供了丰富且高效的工具,涵盖了从网络编程到文件操作等各个方面,然而,标准库虽好,使用不当却可能适得其反,正所谓工欲善其事,必先利其器,本文将... 目录1. 使用了错误的time.Duration2. time.After导致的内存泄漏3. jsO

Spring事务中@Transactional注解不生效的原因分析与解决

《Spring事务中@Transactional注解不生效的原因分析与解决》在Spring框架中,@Transactional注解是管理数据库事务的核心方式,本文将深入分析事务自调用的底层原理,解释为... 目录1. 引言2. 事务自调用问题重现2.1 示例代码2.2 问题现象3. 为什么事务自调用会失效3

找不到Anaconda prompt终端的原因分析及解决方案

《找不到Anacondaprompt终端的原因分析及解决方案》因为anaconda还没有初始化,在安装anaconda的过程中,有一行是否要添加anaconda到菜单目录中,由于没有勾选,导致没有菜... 目录问题原因问http://www.chinasem.cn题解决安装了 Anaconda 却找不到 An

Spring定时任务只执行一次的原因分析与解决方案

《Spring定时任务只执行一次的原因分析与解决方案》在使用Spring的@Scheduled定时任务时,你是否遇到过任务只执行一次,后续不再触发的情况?这种情况可能由多种原因导致,如未启用调度、线程... 目录1. 问题背景2. Spring定时任务的基本用法3. 为什么定时任务只执行一次?3.1 未启用

C++ 各种map特点对比分析

《C++各种map特点对比分析》文章比较了C++中不同类型的map(如std::map,std::unordered_map,std::multimap,std::unordered_multima... 目录特点比较C++ 示例代码 ​​​​​​代码解释特点比较1. std::map底层实现:基于红黑

Spring、Spring Boot、Spring Cloud 的区别与联系分析

《Spring、SpringBoot、SpringCloud的区别与联系分析》Spring、SpringBoot和SpringCloud是Java开发中常用的框架,分别针对企业级应用开发、快速开... 目录1. Spring 框架2. Spring Boot3. Spring Cloud总结1. Sprin

Spring 中 BeanFactoryPostProcessor 的作用和示例源码分析

《Spring中BeanFactoryPostProcessor的作用和示例源码分析》Spring的BeanFactoryPostProcessor是容器初始化的扩展接口,允许在Bean实例化前... 目录一、概览1. 核心定位2. 核心功能详解3. 关键特性二、Spring 内置的 BeanFactory

MyBatis-Plus中Service接口的lambdaUpdate用法及实例分析

《MyBatis-Plus中Service接口的lambdaUpdate用法及实例分析》本文将详细讲解MyBatis-Plus中的lambdaUpdate用法,并提供丰富的案例来帮助读者更好地理解和应... 目录深入探索MyBATis-Plus中Service接口的lambdaUpdate用法及示例案例背景

MyBatis-Plus中静态工具Db的多种用法及实例分析

《MyBatis-Plus中静态工具Db的多种用法及实例分析》本文将详细讲解MyBatis-Plus中静态工具Db的各种用法,并结合具体案例进行演示和说明,具有很好的参考价值,希望对大家有所帮助,如有... 目录MyBATis-Plus中静态工具Db的多种用法及实例案例背景使用静态工具Db进行数据库操作插入

Go使用pprof进行CPU,内存和阻塞情况分析

《Go使用pprof进行CPU,内存和阻塞情况分析》Go语言提供了强大的pprof工具,用于分析CPU、内存、Goroutine阻塞等性能问题,帮助开发者优化程序,提高运行效率,下面我们就来深入了解下... 目录1. pprof 介绍2. 快速上手:启用 pprof3. CPU Profiling:分析 C