第2篇 熊猫烧香之行为分析

编程语言 2022-09-26 21:04:51 阅读次数: 0

目录

一、实验清单

二、实验步骤

1、对“panda.exe”进程树的监控分析

2、对“panda.exe”注册表监控分析

3、对“panda.exe”文件监控分析

4、对“spoclsv.exe”注册表监控分析

4、对“spoclsv.exe”文件监控分析

三、总结

一、实验清单

        操作系统:windows xp sp2

        软件版本:process monitor

        病毒样本:87551e33d517442424e586d25a9f8522(MD5值)

二、实验步骤

1、对“panda.exe”进程树的监控分析

(1)首先打开process monitor,然后运行panda.exe,再使用上篇的方法杀死panda.exe创建的spoclsv.exe进程。

        注:如果不先杀spoclsv.exe进程,会无法查看进程树。

(2)在“工具”选择进程树。

       

        可以看到:“panda.exe”衍生出了“spoclsv.exe”,衍生出的进程又使用了三次“cmd.exe”。三次cmd命令分别是:

  1. cmd.exe /c net share Z$ /del /y,大意是:在命令行模式下删除Z盘的网络共享,执行完毕后,关闭cmd.exe。
  2. cmd.exe /c net share C$ /del /y,大意是:在命令行模式下删除C盘的网络共享,执行完毕后,关闭cmd.exe。从这里可以看出:病毒会关闭系统中所有盘的网络共享。
  3. cmd.exe /c net share admin$ /del /y,大意是:在命令行模式下删除系统根目录的网络共享,执行完毕后,关闭cmd.exe。

        由此,可以总结出病毒的两点行为:

        病毒行为1:病毒本身创建了名为“spoclsv.exe”的进程,该进程文件的路径为:

“C:\WINDOWS\system32\drivers\spoclsv.exe”;

        病毒行为2:在命令行模式下使用net share命令来取消系统的共享。

2、对“panda.exe”注册表监控分析

        做病毒分析的时候,着重关注病毒对注册表是否删除、修改了一些值,在过滤器中,添加“option”-"RegSetValue"。

        seed这一项主要用于随机数种子的生成,可以认为“pan.exe”对于注册表没有什么影响。

3、对“panda.exe”文件监控分析

        文件监控这块,主要注意病毒是否创建删除了文件,是否将自己复制到其他目录下。在过滤器中,添加“option”-"CreatFile"。

         可以发现:“panda.exe”在“C:\WINDOWS\system32\drivers”路径下,创建了一个名为“spoclsv.exe”的可执行文件,可以认为,这个病毒主要由“spoclsv.exe”实现破坏功能,接下来专门监控该进程。

4、对“spoclsv.exe”注册表监控分析

 (1)将“option”设置为“RegDeleteValue”,查看进程删除了什么。

         可以看到病毒程序将几乎所有安全类工具的自启动项都删除了。由此,可以总结出:

        病毒行为3:删除安全类软件在注册表中的启动项。

(2)将“option”设置为“RegSetValue”、“RegCreatValue”,查看进程修改了什么。

         可以看到:病毒程序为自身创建了自启动项,使得每次启动计算机就会执行自身。由此,总结出:

        病毒行为4:在注册表“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”中创建了“sycshare”,用于在开机时启动位于“C:\WINDOWS\system32\drivers\spoclsv.exe”的病毒程序。

        还有,对注册表中的这个位置进行设置,实现文件的隐藏。即使在“文件夹选项”中设置“显示所有文件和文件夹”,也无法显示隐藏文件。只能通过cmd命令中的“dir /ah”才能查看到隐藏文件。

        由此,总结出:

        病毒行为5:修改注册表,使得隐藏文件无法通过普通的设置进行显示,位置为:“HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL”,病毒程序将“CheckValue”的值设置为0。

4、对“spoclsv.exe”文件监控分析

         可以看到:病毒程序试图在共享文件夹下创建setup.exe文件,但是失败了;在一些目录下成功创建了“Desktop.ini”文件。因为创建这些文件后,就对注册表的SHOWALL项进行设置,因此使用一般的方法无法查看到这些文件。

        由此,可以得出:
        病毒行为6:在一些目录下创建了名为“Desktop.ini”的隐藏文件。

5、对“spoclsv.exe”网络监控分析

         可以看出,病毒程序不断尝试连接192.168.92.*即局域网内的主机。

        病毒行为7:连接局域网内其他机器。

三、总结

        对病毒文件进行行为分析,主要是干以下这些事:
1、查看进程树,可以确定病毒程序主要干了什么;

2、对进程进行注册表监控,主要注意进程是否修改、删除了某些值;

3、对进程进行文件监控,主要注意进程是否创建删除了文件,是否将自己复制到其他目录下;

4、对进程进行文件监控,观察进程是否尝试连接某些特定IP或者局域网内的设备。

猜你喜欢

转载自blog.csdn.net/qq_55202378/article/details/126727024
今日推荐
NetBSD 禁止提交由 AI 生成的代码
Apache Doris 2.0.10 版本正式发布!
开源日报 | 大模型开战;大模型独角兽被曝卖身;周鸿祎建议谷歌开源所有产品;最大开源AI社区提供1000万美元共享GPU
开源日报 | Chrome内置Gemini的意义不在于Gemini;中国AI追随之路的五大误区;ECharts创始人“下海”养鱼;谷歌I/O开发者大会什么都有,只是没有惊喜
微软回应中国区AI团队“打包赴美”传闻
基于大语言模型的开源知识库问答系统 MaxKB GitHub Star 数量突破 5,000 个!
周排行
static方法和非static方法的区别(java)
如何查找计算机专业paper
java.lang.ClassFormatError: Incompatible magic value 0 in class file com/sitecha
跳跃游戏II
stm32_之【建立工程】
TeaWeb v0.0.9 发布,统计底层优化、主机监控功能改进
事件分发 -----控制字体大小
JavaScript DOM练习(动态表格添加) December 25,2019
JSF Scope & CDI
实现从零搭建一个登录注册页面(附源代码)
每日归档
更多
2024-05-19(0)
2024-05-18(4)
2024-05-17(34)
2024-05-16(6)
2024-05-15(24)
2024-05-14(0)
2024-05-13(18)
2024-05-12(0)
2024-05-11(38)
2024-05-10(38)

代码天地 © 2018 codetd.com

境外服务器   最新电视剧2022