病毒木马的防御与分析

病毒包和工具包下载：Github

一.导言

2.树立对手动杀毒技术的正确认识。

1.病毒分析方法

2.病毒查杀步骤

3.必要的知识

* 1)熟悉windows系统流程

* 2)熟悉常用端口和流程之间的对应关系

* 3)熟悉windows自带的系统服务

* 4)熟悉注册表启动键的位置。

三。Windows随机启动项目3354注册表的详细说明

四。Windows随机启动项目3354系统服务详解

动词（verb的缩写）手动杀毒。实战中，——熊猫烧香病毒

0.病毒分析

* 1).中毒症状

* 2).病毒特征

* 3).发病症状

1.检查内存，检查可疑进程并从内存中杀死病毒。

2.检查启动项并删除病毒启动项。

3.通过启动项确定病毒的位置，从根本上删除病毒。

4.修复系统

一.前言

055-79000系列以真正的病毒木马(或恶意程序)为研究对象，通过现有的技术手段对其进行分析，总结其恶意行为，进而制定出相应的对策，彻底将其查杀。当然，由于我个人水平有限，查杀和分析病毒可能不会太高端和复杂，但对你了解病毒的工作原理会很有帮助。甚至最后，你可以用C语言实现一个简单的病毒程序。

二.建立对手动查杀病毒技术的正确认识

1.病毒分析方法

一般来说，除非是传染性病毒，否则不需要对病毒进行反向分析。写一个查杀工具只需要病毒的行为分析。但是如果是被感染的病毒，就要修复被病毒感染的文件，所以不能简单的分析病毒的行为，而要逆向分析病毒来修复被病毒感染的文件。因此，在实践中有两种分析方法：

行为分析。恶意程序为了达到目的，有自己特殊的行为，这是正常应用程序所没有的。例如，将您自己复制到系统目录，将您自己添加到启动项，或者将您的某个DLL文件注入到其他进程中。

逆向分析。当恶意程序感染可执行文件时，行为监控工具无法找到受感染的内容。但是，病毒会通过PE文件结构中各节之间的间隙存储病毒代码，或者通过添加新的节来存储病毒代码，从而感染可执行文件。无论哪种方式，都需要用逆向手段分析。

2.病毒查杀步骤

查内存，查可疑进程，从内存中查杀病毒。

检查启动项并删除病毒启动项。

通过启动项确定病毒的位置，从根本上删除病毒。

修复系统

3.必备知识

1) 熟悉windows系统进程

2) 熟悉常见端口与进程对应关系

3) 熟悉windows自带系统服务

检查系统随机启动服务：msconfig/services.msc

对应于SvcHost.exe主机进程的多个服务

Windows隐藏服务管理工具：SDCT

4) 熟悉注册表启动项位置

注册表中随机启动项目的位置。

HKEY _当前用户\软件\微软\ Windows \当前版本\运行

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \当前版本\Run

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Winlogon

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ current version \ Image文件执行选项

三.详解Windows随机启动项目——注册表

注册表是Windows中的一个重要数据库，用来存储系统和应用程序的安装信息。早在很多年前，Windows系统中就出现了注册表。后来推出的Windows NT是第一个在系统级广泛使用注册表的操作系统。但是从微软Windows 95操作系统开始，注册表才真正成为Windows用户经常接触的内容，并在后续的操作系统中沿用至今。

注册表是一个重要的数据库，它存储了这个系统的所有配置，比如开机项目、桌面背景、右键菜单、图标、系统更新、系统中一些按键的响应，甚至系统管理员的信息。因此，修改注册表是病毒控制和影响我们系统的一种非常直接的方式。比如C语言提供了可以直接操作Windows注册表的接口函数。

//打开注册表

LONG WINAPI RegCreateKey(

HKEY港，

_In_opt_ LPCTSTR lpSubKey，

_Out_ PHKEY phkResult

);

//读取和写入注册表

LONG RegSetValueEx(

hKey海基，

LPCTSTR lpValueName，

DWORD保留，

DWORD dwType，

常量字节*lpData，

DWORD cbData

);

在这里，我们将详细阐述病毒编程的实战。

自引导的实现方式是通过注册表，注册表中有固定的自引导程序的设置位置。

在命令提示符下输入regedit打开注册表，看看你能不能在下面五个开机项中找到自己的开机软件！

一个软件可以出现在五个启动项之一。

HKEY _当前_用户\软件\微软\ Windows \当前版本\运行；

HKEY _当前_用户\软件\微软\ Windows \当前版本\运行一次；

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Run；

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ RunOnce；

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ RunOnceEx

四.详解Windows随机启动项目——系统服务

病毒往往以系统服务的形式存在，也就是说它的图标不会出现在你的桌面任务栏上，不会像我们刚学编程时程序运行时的小黑框一样显示给用户。

服务是指执行特定系统功能以便支持其他程序，尤其是底层程序的程序、例程或进程。当通过网络提供服务时，它们可以在活动目录中发布，从而促进以服务为中心的管理和使用。

在运行中输入msconfig打开系统配置。

这里我们可以看到有服务和启动，启动就是我们之前说的注册表中的启动自启动项。但是很多病毒都有在系统配置启动中隐藏自己的功能，所以我们还是要在注册表中查找。

我们选择隐藏，这样微软服务可以看到服务列表。大量服务被隐藏，只留下非微软服务。在这些服务中，你可以找到非正常的查杀服务。

除了这种查看服务的方式，我们还有一种通过services.msc查看服务的更详细的方式

在运行中输入services.msc以打开服务。

这里我们可以看到大量的系统服务，比如WLAN服务(如果连接不上WIFI可以重启这个服务)和Windows update服务(可以考虑禁用)。通过查看描述，可以发现一些不正常的服务，比如灰鸽遥控，其服务描述中明确写明是灰鸽。

在Windows下，病毒还可以隐藏自己的服务，所以这类病毒需要一些第三方工具。使用SDCT工具，您可以查看所有本地服务的信息，包括隐藏和未隐藏，已启动和未启动。

SDCT工具和后来的工具可以在我的Github仓库里找到。

另外，病毒进程可能使用svcHost.exe主机进程，此时病毒进程在Windows任务管理器中显示svcHost.exe的名字。在这种情况下，我们需要使用一个命令来检查哪些进程在SvcHost.exe下。

命令：任务列表/svc

可以看到，svchost.exe会有多个流程，每个流程下都有多个依赖于这个流程的服务。

五.手动查杀病毒实战——熊猫烧香病毒

如果你自己练，记得在虚拟机下！

病毒包可以在Github仓库找到。

0. 病毒分析

病毒名称：武汉男孩，又名熊猫烧香病毒。虫子。WhBoy.h '

1).中毒症状

将自身复制到所有驱动器的根目录下，命名为Setup.exe，生成一个autorun.inf让用户打开磁盘运行病毒，并将这两个文件的属性设置为隐藏、只读、系统。

您不能手动修改文件夹选项来显示隐藏文件。

在每个被感染的文件夹中都可以看到Desktop_ini的隐藏文件，内容为感染日期如2007年4月1日。

向计算机上的所有脚本文件添加一段代码：

iframe src=XXX width=" 0 " height=" 0 "/iframe

中毒机器上常用的杀毒软件和防火墙都无法正常开启和运行。

无法正确使用任务管理器和注册表。

无缘无故对外承包，连接局域网内其他机器。

感染。exe文件并改变图标颜色，但不会感染微软操作系统本身的文件。

删除GHOST文件(。gho后缀)，而网吧、学校、单位机房深受其害。

禁用常用防病毒工具。

2).病毒特征

关闭许多杀毒软件和安全工具。

遍历磁盘目录，感染文件，并跳过关键系统文件。

感染所有EXE，SCR，PIF，COM文件，把图标改成烧香熊猫。

感染所有人。htm/。html/。asp/。php/。jsp/。aspx文件并添加木马恶意代码。

自动删除*。gho文件。

3).发作症状

复印文件

病毒运行后，会把自己复制到C:\ windows \ system32 \ drivers \ spoclsv.exe。

添加注册表自启动

该病毒将被添加到启动密钥HKEY _当前_用户\软件\微软\ windows \当前版本\运行\ svcshare-c: \ windows \ system32 \驱动程序\ spoclsv.exe。

病毒行为

每1秒钟寻找一次桌面窗口，然后关闭窗口标题中带有以下字符的程序

QQKav、QQAV、防火墙、进程、VirusScan、Netdart、杀毒、毒子弹、瑞星、姜敏、黄山IE、超级兔子、优化大师、木马克星、木马清除器、QQ病毒、注册表编辑器、系统配置实用程序、卡巴斯基反病毒、赛门铁克杀毒、Duba、尊程序、绿鹰PC、密码防盗、噬菌体木马助手查找器、系统安全监控器、裹礼杀手、Winsock专家、游戏木马检测大师、msctls _ statusbar32、pjf (USTC)、icesword。

并使用键盘映射方法关闭安全软件IceSword。

并停止系统中的以下进程：

Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe

Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe

RavStub.exe kvxp . kxp kvmonxp . kxp kv center . kxp KVSrvXP.exe KRegEx.exe UIHost.exe troj die . kxp

FrogAgent.exe logo 1 _。Rundl132.exe Logo _ 1 . exe

每18秒

点击病毒作者指定的网页，用命令行检查系统中是否有共享。如果有，运行net share命令关闭admin$共享。

每10秒钟

下载病毒作者指定的文件，用命令行检查系统中是否有共享。如果存在共存，请运行net share命令关闭admin$共享。

每6秒钟

删除注册表中安全软件的键值。

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \当前版本\Run

RavTask KvMonXP kav kav personal 50 McAfee updaterui Network Associates错误报告服务ShStartEXE YLive.exe yassisse

并修改以下值以不显示隐藏文件。

HKEY _ LOCAL _ MACHINE \ SOFTWARE \ Microsoft \ Windows \ current version \ Explorer \ Advanced \ Folder \ Hidden \ SHOWALL \ checked value

修改为0x00

删除以下服务

navapsvc wscsvc KPfwSvc SNDSrvc

cc proxy ccEvtMgr ccSetMgr SPBBCSvc

赛门铁克核心LC NPFMntor MskService FireSvc

受感染的文件

该病毒会感染扩展名为exe、pif、com、src的文件，将自身附加到文件头，并为扩展名为htm、html、asp、php、jsp、aspx的文件添加一个URL。用户一旦打开文件，IE会在后台不断点击写好的网址，增加点击量，但病毒不会感染下面文件夹名中的文件，防止系统崩溃。

窗户

Winnt

系统卷信息

重复利用

windows操作系统

WindowsUpdate

Windows媒体播放器

Outlook Express

微软公司出品的web浏览器

网络会议系统

公共文件

ComPlus应用

送信人；通信员

InstallShield安装信息

微软网络

Microsoft Frontpage

电影制作人

MSN游戏区

1. 查内存，排查可疑进程，将病毒从内存中干掉

在虚拟机运行熊猫烧香病毒，记得在xp虚拟机运行。现在物理机的Windows补丁对熊猫烧香免疫。

当我们打开虚拟机中的任务管理器时，发现它一打开就会关闭，这也是熊猫烧香的特点之一。

右击一个分区，你会发现第一项是Auto而不是open。这是因为熊猫烧香病毒会在分区中生成一个autorun.inf文件，允许用户打开磁盘运行病毒。autorun.inf文件是系统并隐藏该文件。

甚至有些病毒会命名为Auto open。右键单击分区，您会发现两个打卡选项。

第一步是关闭病毒进程。在检查内存时，我们需要使用tasklist命令来检查可疑的进程。spoclsv.exe是熊猫烧香的进程名(这个可能需要大量的积累，最好有大量的Windows系统进程知识)。

然后通过taskkill /f /im PID命令终止它。

有些病毒不能被任务管理器或taskkill命令终止。这些病毒大多有三个相互保护的进程，一旦其中一个进程终止，其他进程会立即再次启动这个进程。

2. 查启动项，删除病毒启动项

病毒从内存中清除后，接下来我们将删除它的服务和启动项。

在禁用删除启动项之前，我们需要先记住这个病毒的路径，这样第三步就是删除它的主体。

3. 通过启动项判断病毒所在位置，并从根本上删除病毒

下图是熊猫烧香病毒本体的位置。事实上，您可以通过查看启动项中的exe路径来找到可疑的spoclsv服务。它位于system32\drivers下，不是一些常见的系统服务。

转到此路径删除此exe程序。

4. 修复系统

当我们删除exe后重启系统时，会发现现在系统中已经没有spoclsv.exe进程了。

这时候病毒可能会复发，因为系统还没有修复，前面提到的双击分区的默认选项可能会导致病毒程序再次运行。

我们需要删除自动选项并清理系统。

Autorun.inf是与我们的右键菜单相关联的文件。

我们用attrib -s -h -a -r autorun.inf删除autorun.inf和setup.exe隐藏属性，分别删除这两个文件。

删除后我们双击打开分区，会发现无法生效。

注销系统后，右键菜单将恢复。

作者： AntzUhl

首发地址博客园：http://www.cnblogs.com/LexMoon/

代码均可在Github上找到（求Star） : Github

个人博客 : http://antzuhl.cn/

公众号

赞助

支付宝	微信

随意随意，要是我的文章对你有帮助，可以考虑请我喝瓶阔落。