返回
熊猫烧香病毒之专杀工具的编写教程.doc

熊猫烧香病毒之专杀工具的编写教程.doc

ID:52353742

大小:1.10 MB

页数:19页

时间:2020-03-26

熊猫烧香病毒之专杀工具的编写教程.doc_第1页
熊猫烧香病毒之专杀工具的编写教程.doc_第2页
熊猫烧香病毒之专杀工具的编写教程.doc_第3页
熊猫烧香病毒之专杀工具的编写教程.doc_第4页
熊猫烧香病毒之专杀工具的编写教程.doc_第5页
资源描述:

《熊猫烧香病毒之专杀工具的编写教程.doc》由会员上传分享,免费在线阅读,更多相关内容在教育资源-天天文库

1、熊猫烧香病毒之专杀工具的编写教程通过对熊猫烧香的行为分析,这里仅针对所得结果,来进行专杀工具的编写。本节课我们会学习使用C++来写一个简单的“熊猫烧香”专杀系统。实验目的:结合本篇文章的知识点,能够彻底掌握文章所讲述的编写杀毒软件的方法。实验思路:1.理解专杀工具所需要实现的功能2.利用VC++编写专杀工具3.结合ProcessMonitor验证专杀工具实验步骤:1、病毒行为回顾与归纳这里我们首先回顾一下病毒的行为:病毒行为1:病毒本身创建了名为`spoclsv.exe`的进程,该进程文件的路径为:C:WIN

2、DOWSsystem32driversspoclsv.exe病毒行为2:在命令行模式下使用`netshare`命令来取消系统中的共享。病毒行为3:删除安全类软件在注册表中的启动项。病毒行为4:在注册表:HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建svcshare用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。病毒行为5:修改注册表,使得隐藏文件无法通过普通的设置进行显示,该位置为:HKLMSOFTWA

3、REMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL病毒将`CheckedValue`的键值设置为了0。病毒行为6:将自身拷贝到根目录,并命名为`setup.exe`,同时创建`autorun.inf`用于病毒的启动,这两个文件的属性都是“隐藏”。病毒行为7:在一些目录中创建名为`Desktop_.ini`的隐藏文件。病毒行为8:向外发包,连接局域网中其他机器。纵观以上八点行为,这里需要说明的是,其中的第二点行为,由于我不知道用

4、户计算机在中毒前的设置,因此这条我打算忽略。第三点行为,我不知道用户的计算机安装了哪些杀毒软件,而病毒又会将所有杀软的注册表启动项删除,所以这一条我打算忽略,用户在使用本专杀工具后,可以自行重新安装杀软,或者有经验的用户也可以自行在注册表中添加回杀软名称。另外,病毒的第八点行为,我也打算忽略,因为只要删除了病毒本体,那么自然就解决了这个问题,所以我的专杀工具主要应付剩下的五个问题。在这里各位读者想必也能够发现,我的专杀工具所要做的工作,与我之前写的手动查杀的过程其实是极为相似的,这也是为什么我当时就强调,我们

5、依旧要掌握手动查杀病毒这个技能的原因。2、专杀工具界面的制作如果使用批处理来杀毒,因为它运行时没有界面,因此我们往往不知道杀毒程序究竟干了些什么,也不知道究竟有没有查杀成功,这也凸显了使用高级语言开发专杀工具的优势。这里我使用MFC进行“熊猫烧香”病毒专杀工具的开发,绘制界面如下图所示:其中的“EditBox”控件的属性调整如下:界面非常简单,接下来就是代码的编写。3、计算病毒程序的散列值在查杀病毒的技术中有一种方法类似于特征码查杀法,这种方法并不从病毒内提取特征码,而是计算病毒的散列值。利用这个散列值,就可

6、以在查杀的过程中计算每个文件的散列,然后进行比较。这种方法简单易于实现,一般在病毒刚被发现时,在逆向分析前使用。常见的计算散列的算法有MD5、Sha-1以及CRC32等。这里使用CRC32算法计算散列值,代码如下:该函数的参数有两个,一个是指向缓冲区的指针,第二个是缓冲区的长度。它将文件全部读入缓冲区中,然后用CRC32函数计算文件的CRC32散列值,可以得到我所研究的“熊猫烧香”病毒的散列值为0x89240FCD。这里请大家注意,不同版本的病毒的散列值是不同的,我所得出的这个值仅针对我所讨论的这个版本的病毒

7、。4、查找进程与提升权限我们需要在内存中查找病毒是否存在,代码如下:这里还需要提升系统的权限,提升成功后,当前进程就可以访问一些受限的系统资源。代码如下:5、查找并删除Desktop_.ini文件病毒会在所有盘符下面的非系统目录中创建名为Desktop_.ini的文件,虽说这个文件看似并不会对系统产生什么危害,但是为了实现对“熊猫烧香”的彻底查杀,还是应当将其删除的。这里主要涉及两方面的知识,一个是遍历整个磁盘的文件,这需要使用FindFirstFile()与FindNextFile()这两个API函数,并采

8、用递归调用的方法;另一个是修改文件属性,因为病毒创建出来的文件会带有系统、只读和隐藏这三个属性,若不对其进行更改,是无法删除病毒文件的。依照这个思想,编写代码如下:需要说明的是,这里需要在本程序前定义一个CString类型的csTxt全局变量,用于将查杀的结果信息输出到程序界面,之后的程序中也会用到这个变量。6、主程序的编写主程序也就是“一键查杀”按钮的响应,我在代码中已添加相应的注释:至此,所有代

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。