终结者:病毒木马防备与区分_病毒安全_

下载病毒包和工具包：Github一.前言

“病毒木马防御和分析”系列以真实的病毒木马（或恶意程序）为研究对象，通过现有技术手段对其进行分析，总结其恶意行为，然后制定相应的对策。彻底杀死它。当然，由于我个人水平的限制，要检测和分析的病毒可能不会太高端和太复杂，但是它将对您了解该病毒的工作原理非常有帮助，甚至最终您也可以使用C语言实现简单的病毒程序。

二.建立对手动病毒检测技术的正确理解1.病毒分析方法

通常来说，除非它是一种传染性病毒，否则无需对病毒进行反向分析。您只需要分析病毒的行为即可编写特殊的查杀工具。并且，如果是传染性病毒，由于需要修复被病毒感染的文件，则不能简单地分析病毒的行为，而必须反向分析该病毒以修复被病毒感染的文件。因此，实践中有两种分析方法：

行为分析。为了实现其目的，恶意程序具有自己的特殊行为，而这些行为在普通应用程序中没有。例如，将自己复制到系统目录，或将自己添加到启动项，或将自己的DLL文件之一注入其他进程。

反向分析。当恶意程序感染可执行文件时，无法通过行为监视工具发现受感染的内容。可执行文件的病毒感染可能是通过PE文件结构中各节之间的空白来存储病毒代码，也可能是增加了一个新节来存储病毒代码。无论哪种方式，都需要通过反向手段进行分析。

2.病毒检查和查杀步骤

检查内存，对可疑进程进行故障排除，并从内存中清除病毒

检查启动项，删除病毒启动项

使用启动项确定病毒的位置，并从根目录删除病毒

修复系统

3.必备知识1)熟悉Windows系统进程2)熟悉公共端口和进程对应关系3)熟悉Windows内置系统服务4)熟悉注册表启动键位置

随机启动项在注册表中的位置

三.Windows随机启动项注册表的详细说明

注册表是Windows中重要的，用于存储系统和应用程序设置。该注册表已在Windows系统中出现很多年。随后，Windows NT是第一个从系统级别广泛使用注册表的操作系统。但是，从Microsoft Windows 95操作系统开始，注册表实际上已经成为Windows用户经常触摸的内容，并且继续在后续的操作系统中使用。

注册表是一个重要的，用于存储系统中的所有配置，例如启动项，桌面背景，右键单击菜单，图标，系统更新，系统中某些按钮的响应，甚至是系统管理成员的信息。因此，修改注册表是病毒控制和影响我们系统的非常直接的方法。例如，C语言提供了可以直接操纵Windows注册表的接口功能。

// 打开注册表
LONG WINAPI RegCreateKey(
_In_ HKEY hKey,
_In_opt_ LPCTSTR lpSubKey,
_Out_ PHKEY phkResult
);

// 读写注册表
LONG RegSetValueEx(
    HKEY hKey,
    LPCTSTR lpValueName,
    DWORD Reserved,
    DWORD dwType,
    CONST BYTE *lpData,
    DWORD cbData
);

这是在病毒编程的实际斗争中的详细解释

启动自动启动的实现方法是通过注册表，其中有一个固定的启动程序设置位置。

在命令提示符下输入regedit以打开注册表，并查看是否可以在以下五个启动项中找到本地启动软件！

在五个启动项之一中可以显示一种软件。

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run;
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Runonce;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce;
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnceEx

四.Windows随机启动项目系统服务的详细说明

病毒通常以系统服务的形式存在，这意味着它的图标不会出现在桌面任务栏上，并且当我们学习编程时，该程序在运行时不会像小黑框一样向用户显示

系统服务是指执行指定的系统功能以支持其他程序（尤其是低级程序）的程序，例程或进程。通过网络提供服务后，可以在Active Directory中发布该服务，从而促进以服务为中心的管理和使用。

在操作过程中输入msconfig以打开系统配置

在这里我们可以看到有服务和初创公司。启动是我们之前在注册表中所说的启动自动启动项，但是许多病毒具有在系统配置启动中隐藏自身的功能，因此我们仍然必须在注册表中查找。

我们选择隐藏，以便可以在服务列表中看到Microsoft服务。隐藏了大量服务，只剩下非Microsoft服务。在这些文件中，您可以找到异常服务并将其杀死。

除了这种查看服务的方式之外，我们还可以通过services.msc获得更详细的方法。

在运行期间输入services.msc以打开服务。

在这里我们可以看到大量的系统服务，例如WLAN服务（无法连接到WIFI，请考虑重新启动此服务），Windows更新服务（可以考虑禁用）。通过查看描述，我们可以发现一些异常服务，例如灰鸽子，在服务描述中清楚地指出它是灰鸽子。

病毒也可以在Windows下隐藏其自身的服务。这种病毒需要某些第三方工具。 SDCT工具可用于查看机器所有服务的信息，包括隐藏和隐藏，已激活和未激活。

SDCT工具和更高版本的工具可以在我的Github存储库中找到

此外，病毒进程可能使用svcHost.exe的宿主进程。此时，Windows任务管理器中的病毒进程将显示svcHost.exe的名称。在这种情况下，我们需要使用命令来检查SvcHost.exe是哪个进程。

命令：任务列表/ svc

您可以看到svchost.exe将具有多个进程，并且每个进程都具有依赖于此进程的多个服务。

五.手动检查并杀死实战熊猫烧香病毒中的病毒

如果您像自己一样练习，请记住使用虚拟机！

该病毒包可以在Github存储库中找到

0.病毒分析

病毒名称：武汉男孩，又名熊猫烧香病毒。 “ Worm.WhBoy.h”

1)。中毒症状

2)。病毒功能3)。症状症状复制文件

病毒运行后，它将自身复制到C：\ WINDOWS \ System32 \ Drivers \ spoclsv.exe

添加注册表自动启动

该病毒将添加自启动密钥HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run \ svcshare-> C：\ WINDOWS \ System32 \ Drivers \ spoclsv.exe

病毒行为

QQKav，QQAV，防火墙，进程，VirusScan，Internet飞镖，杀毒软件，暴君，瑞星，江民，黄山IE，超级兔子，优化大师，木马，木马清道夫，QQ病毒，注册表编辑器，系统配置实用程序，卡巴斯基反病毒软件，赛门铁克反病毒软件，Duba，尊贵程序，Green Eagle PC，密码防盗软件，噬菌体，木马辅助查找器，系统安全监视器，包装礼品杀手，Winsock专家，游戏木马检测大师，msctls_statusbar32，pjf（ustc） ，冰剑

并使用键盘映射方法关闭安全软件IceSword

并在系统中停止以下进程：

Mcshield.exe VsTskMgr.exe naPrdMgr.exe UpdaterUI.exe TBMon.exe scan32.exe
Ravmond.exe CCenter.exe RavTask.exe Rav.exe Ravmon.exe RavmonD.exe
RavStub.exe KVXP.kxp kvMonXP.kxp KVCenter.kxp KVSrvXP.exe KRegEx.exe UIHost.exe TrojDie.kxp
FrogAgent.exe Logo1_.exe Logo_1.exe Rundl132.exe

单击病毒作者指定的网页，然后使用命令行检查系统中是否存在共享。如果存在，请运行net share命令关闭admin $共享。

下载病毒作者指定的文件，然后使用命令行检查系统中是否存在共享共存，然后运行net share命令关闭admin $共享。

在注册表中删除安全软件的密钥值。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
RavTask KvMonXP kav KAVPersonal50 McAfeeUpdaterUI Network Associates Error Reporting Service ShStartEXE YLive.exe yassistse

并修改以下值以不显示隐藏文件

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
修改为 0x00

删除以下服务

navapsvc wscsvc KPfwSvc SNDSrvc
ccProxy ccEvtMgr ccSetMgr SPBBCSvc
Symantec Core LC NPFMntor MskService FireSvc

该病毒将感染扩展名为exe，pif，com，src的文件，将其自身附加到文件的开头，并向文件扩展名为htm，html，asp，php，jsp，aspx，用户打开文件后，IE将继续在后台单击书面URL以增加点击次数，但该病毒不会感染以下文件夹名称中的文件，以防止系统崩溃。

WINDOW
Winnt
System Volume Information
Recycled
Windows NT
WindowsUpdate
Windows Media Player
Outlook Express
Internet Explorer
NetMeeting
Common Files
ComPlus Applications
Messenger
InstallShield Installation Information
MSN
Microsoft Frontpage
Movie Maker
MSN Gamin Zone

1.检查内存，对可疑进程进行故障排除，并从内存中清除病毒

在虚拟机中运行熊猫烧香病毒，请记住运行xp虚拟机，现在物理机可以通过Windows补丁免疫熊猫烧香。

在虚拟机中，我们打开了任务管理器，发现它一旦打开就将被关闭。这是熊猫烧香的特征之一。

右键单击一个分区，您会发现第一项不是打开的，而是“自动”的。这是因为熊猫烧香病毒会在分区中生成一个autorun.inf文件，以便用户可以打开磁盘来运行该病毒。 autorun.inf文件是系统隐藏文件。

有些病毒甚至将Auto命名为Auto，在分区上单击鼠标右键，您将找到两个检入选项。

第一步是关闭病毒进程。检查内存时，我们需要使用tasklist命令查看可疑进程。 Spoclsv.exe是Panda Burning Incense的进程名称（这可能需要大量的积累，最好是Windows系统对该进程有很多了解）。

找到它后，使用taskkill / f / im PID命令将其终止

某些病毒无法通过任务管理器或taskkill命令终止。这些病毒大多数具有相互保护的三个过程。终止后，其他进程将立即再次启动该进程。

2.检查启动项，删除病毒启动项

从内存中删除病毒后，接下来我们需要删除其服务和启动项。

在禁用删除启动项之前，我们需要记住该病毒的路径，以便在第三步中删除其主体。

3.通过启动项确定病毒的位置，然后从根本上删除病毒

下图显示了熊猫烧香病毒体的位置。实际上，通过查看启动项中的exe路径，您可以发现spoclsv服务可疑。它位于system32 \ drivers下，并且不是某些常见的系统服务。

转到此路径并删除exe程序。

4.维修系统

删除exe后，我们重新启动系统，发现系统中现在没有spoclsv.exe进程。

这时候，该病毒也可能再次出现，因为系统尚未修复。双击前面提到的分区上的默认选项，可能会导致病毒程序再次运行。

我们需要删除“自动”选项并清理系统。

autorun.inf是与我们的右键单击菜单关联的文件。

我们使用attrib -s -h -a -r autorun.inf删除autorun.inf和setup.exe的隐藏属性，并分别删除这两个文件。

删除后，我们双击分区将其打开，它将不会生效。

注销系统后，将恢复右键菜单。

本文来自本站，转载请注明本文网址：
http://www.pc-fly.com/a/shouji/article-344038-1.html