熊猫烧香病毒之专杀工具编写教程方案.docxVIP

熊猫烧香病毒之专杀工具的编写教程 通过对熊猫烧香的行为分析， 这里仅针对所得结果， 来进行专杀工具的编写。 本节课我们会学习使用 C++ 来写一个简单的 “熊猫烧香 ”专杀系统。 实验目的： 结合本篇文章的知识点，能够彻底掌握文章所讲述的编写杀毒软件的方法。 实验思路： 理解专杀工具所需要实现的功能 利用 VC++编写专杀工具 3. 结合 Process Monitor 验证专杀工具 实验步骤： 1、病毒行为回顾与归纳 这里我们首先回顾一下病毒的行为： 病毒行为 1：** 病毒本身创建了名为 `spoclsv.exe` 的进程，该进程文件的路径为： C:WINDOWSsystem32driversspoclsv.exe ** 病毒行为 2：** 在命令行模式下使用 `net share` 命令来取消系统中的共享。 ** 病毒行为  3：**  删除安全类软件在注册表中的启动项。 ** 病毒行为  4：** 在注册表  :HKCUSoftwareMicrosoftWindowsCurrentVersionRun  中创建  svcshare 用于在开机时启动位于  `C:WINDOWSsystem32driversspoclsv.exe`  的病毒程序。 ** 病毒行为  5：**  修改注册表， 使得隐藏文件无法通过普通的设置进行显示，  该位置为： HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将 `CheckedValue` 的键值设置为了 0。 ** 病毒行为 6：** 将自身拷贝到根目录， 并命名为 `setup.exe` ，同时创建 `autorun.inf` 用于病毒的启动，这两个文件的属性都是“隐藏”。 ** 病毒行为 7：** 在一些目录中创建名为 `Desktop_.ini` 的隐藏文件。 病毒行为 8：** 向外发包，连接局域网中其他机器。 纵观以上八点行为， 这里需要说明的是， 其中的第二点行为， 由于我不知道用户计算机在中毒前的设置， 因此这条我打算忽略。 第三点行为， 我不知道用户的计算机安装了哪些杀 毒软件， 而病毒又会将所有杀软的注册表启动项删除， 所以这一条我打算忽略， 用户在使用 本专杀工具后， 可以自行重新安装杀软， 或者有经验的用户也可以自行在注册表中添加回杀软名称。另外，病毒的第八点行为，我也打算忽略，因为只要删除了病毒本体，那么自然就 解决了这个问题， 所以我的专杀工具主要应付剩下的五个问题。 在这里各位读者想必也能够 发现， 我的专杀工具所要做的工作， 与我之前写的手动查杀的过程其实是极为相似的， 这也 是为什么我当时就强调，我们依旧要掌握手动查杀病毒这个技能的原因。 2、专杀工具界面的制作 如果使用批处理来杀毒，因为它运行时没有界面，因此我们往往不知道杀毒程序究竟 干了些什么， 也不知道究竟有没有查杀成功， 这也凸显了使用高级语言开发专杀工具的优势。 这里我使用 MFC 进行 “熊猫烧香 ”病毒专杀工具的开发，绘制界面如下图所示： 其中的 “Edit Box 控”件的属性调整如下： 界面非常简单，接下来就是代码的编写。 3、计算病毒程序的散列值 在查杀病毒的技术中有一种方法类似于特征码查杀法，这种方法并不从病毒内提取特 征码， 而是计算病毒的散列值。 利用这个散列值， 就可以在查杀的过程中计算每个文件的散列，然后进行比较。这种方法简单易于实现，一般在病毒刚被发现时，在逆向分析前使用。 常见的计算散列的算法有 MD5 、 Sha-1 以及 CRC32 等。 这里使用 CRC32 算法计算散列值，代码如下： 该函数的参数有两个， 一个是指向缓冲区的指针， 第二个是缓冲区的长度。 它将文件全部读入缓冲区中， 然后用 CRC32 函数计算文件的 CRC32 散列值， 可以得到我所研究的 “熊猫烧香 ”病毒的散列值为 0x89240FCD 。这里请大家注意，不同版本的病毒的散列值是不同 的，我所得出的这个值仅针对我所讨论的这个版本的病毒。 4、查找进程与提升权限 我们需要在内存中查找病毒是否存在，代码如下： 这里还需要提升系统的权限，提升成功后，当前进程就可以访问一些受限的系统资源。 代码如下： 5、查找并删除  Desktop_.ini  文件 病毒会在所有盘符下面的非系统目录中创建名为 Desktop_.ini 的文件，虽说这个文件 看似并不会对系统产生什么危害， 但是为了实现对“熊猫烧香”的彻底查杀， 还是应当将其 删除的。这里主要涉及两方面的知识，一个是遍历整个磁盘的文件，这需要使用 FindFirstFile() 与 FindNe