计算机病毒原理与防范（第2版）实验熊猫烧病毒分析过程记录.docxVIP

熊猫烧香病毒分析过程记录?(2013-10-01 19:52:33)分类：?软件攻击本文主要对熊猫烧香病毒panda.exe进行分析。病毒文件来自于《DRE C++反汇编与逆向分析技术揭秘》?从网上获取熊猫烧香病毒的基本信息可知，如果感染了该病毒，系统中的大部分文件（至少是exe文件）将会变成熊猫烧香的图标，并且桌面背景会变成熊猫烧香的背景。?下面开始整个分析过程：（1）使用PEID查看该文件是否加壳。图1 PEID查看panda.exe是否加壳可以看出该文件使用的编程语言是Delphi。入口点是0040D0A0。该文件没有加壳。（2）?其次，使用CFF?Explorer查看目标文件中的导入表与导入函数。图2 CFF查看导入表的情况可以看到panda.exe文件导入了多个DLL，并且一个DLL导入了多次。其中，kernel32.dll一次导入的情况如下：图3 kernel32.dll文件导入函数可以看出导入的这些函数都是进程、文件相关的API函数，根据熊猫烧香病毒的功能，容易得出该函数集合是panda.exe文件中的关键函数集合。Advapi32.dll是一个高级API应用程序接口。包括了函数与对象的安全性，注册表的操控以及事件日志相关的API函数。在advapi32.dll中引入了下面一些API：图4图5图6这些函数主要包括三类：注册表相关函数，进程权限修改函数，服务相关函数。Mpr.dll是windows操作系统网络通信相关模块。Wsock.dll?windows?socket相关API接口。WNetAddConnection2A创建一个网络资源的链接。URLDownloadToFileA从指定的URL读取内容写入到文件中。由上述的导入表分析可知，panda.exe程序的主要功能包括：文件读写、注册表修改、进程权限修改，网络链接，URL等。?下面对这些功能逐步进行分析：使用的方法是跟踪API函数的调用过程这里写了一个简单的OD脚本，用于在定位API函数入口：//**************************************VAR m_eipRuntoDLL:stimovm_eip, eipcmpm_eip,bRuntoDLLret//**************************************文件读写：FindFirstFileA在文件夹中搜索指定的文件。HANDLE?FindFHANDLE?FindFirstFile( ??LPCTSTR????????????????lpFileName,??????//?pointer?to?name?of?file?to?search?for ??LPWIN32_FIND_DATA????lpFindFileData???//?pointer?to?returned?information?);第一个参数是要搜索的文件名。第二个参数是查找到的文件的属性。图7 FindFirstFile在进程所在文件夹下寻找Desktop_.iniPanda.exe文件首先查找当前可执行文件夹下是否有Desktop_.ini文件。Desktop_.ini是系统可识别的一个文件，作用是存储用户对文件夹的个性设置，包括文件夹的背景、颜色、特殊文件夹的名称等。在初始状态下还没有desktop_.ini文件，因此调用返回-1.下面跟踪目标程序执行过程中的API函数调用情况：GetModuleFileName,获取当前加载模块的完整路径。CreateFileA创建或者打开一个对象（可以是文件），并返回句柄。图8 创建panda.exe句柄打开panda.exe文件，获取其句柄。Eax?=?0000007CGetFileSize?获取panda.exe文件的大小。Eax?=?0000F200SetFilePointer?设置文件的读写位置为文件的起始位置。GetFileSize获取0000007C文件的大小：0000F200.ReadFile读取7C文件中5000个字节的内容读入内存（堆栈）。0012A9F8读取0012A9F8的前四个字节，判断该文件是否是合法的PE文件？？？？VirtualAlloc函数申请内存空间。LPVOID?VirtualAlloc(LPVOID?lpAddress,?//?要分配的内存区域的地址DWORD?dwSize,?//?分配的大小DWORD?flAllocationType,?//?分配的类型DWORD?flProtect?//?该内存的初始保护属性);从打开panda.exe句柄到关闭该句柄，共使用了五次VirtualAlloc函数，第一次申请空间（009C0000,?4000），将一些字符串赋值到009C0000中，第二次