展开

关键词

哈哈,我把熊猫烧香病毒扒了!

另外,该病毒还会从网络上下载其他恶意软件或者广告软件,达到制作者的目的。 3.2 程序对用户造成的危害 全盘文件感染和gho备份删除并感染其他网络主机。 3.2 安装和运行部分 检测当前目录是否存在Desktop_.ini文件,如果存在则删除,该文件保存病毒感染当前目录的日期。 接着,病毒会通过检查文件路径、病毒感染标志来确定进当前病毒属于以下三种情况的哪一种情况。进程本身属于原始病毒文件、被感染的可执行文件、以及伪装目标进程三种情况。 原始病毒文件 拷贝自身到 ~/system32/driver/目录,重命名为spcolsv.exe并运行,然后结束当前进程。 病毒的感染标识 感染PE文件后,会在文件的末尾写上标志,格式为: WhBoy+ 源文件名 + 0x2标记 + 源文件大小+0x1标记 感染文件结构 病毒文件 + 原始文件 + 标记字符串 3 感染web

44340

【二进制安全】熊猫烧香病毒分析

熊猫烧香这个病毒虽然过去很久了,但是这个病毒值得研究,在病毒出现的这个年代因为安全意识普遍不强,导致大范围被感染。 4.病毒会检测杀毒软件和防火墙 ? 5.这里进行了第二次解密,操作与第一相似。判断完解密结果后,我们会进入病毒三大功能函数,分别进行病毒初始化操作,病毒感染操作、病毒自我保护操作。 ? ? 7.本病毒会将自身拷贝到其他文件进行感染,被感染的文件会执行病毒代码,所以这里的代码部分是在区分是不是病毒母体程序正在运行,还是被感染过的文件,感染过的文件有感染标记位于读取文件信息的最后一个字节: ? 在将病毒文件拷贝到网络共享文件夹中。 ? ? 22.病毒主流程第三个功能函数病毒函数自保护sub_40CED4 :VirusProtectSelf 病毒自保护函数可以看到病毒设置了4个时钟函数。 ? 0x06结束语 熊猫烧香病毒其实没有那么强,只不过病毒封装方面强一些。

67530
  • 广告
    关闭

    腾讯云服务器买赠活动

    腾讯云服务器买赠活动,低至72元1年,买就送,最长续3个月,买2核送4核、买4核送8核

  • 您找到你想要的搜索结果了吗?
    是的
    没有找到

    练手之经典病毒熊猫烧香分析(上)

    扯犊子 熊猫烧香病毒在当年可是火的一塌糊涂,感染非常迅速,算是病毒史上比较经典的案例。不过已经比较老了,基本上没啥危害,其中的技术也都过时了。作为练手项目,开始对熊猫烧香病毒进行分析。 首先准备好病毒样本(看雪论坛有),VM虚拟机和Xp Sp3系统。 首先我们在XP Sp3虚拟机中打开Process Monitor ,然后运行panda.exe病毒,这时候就开始监听熊猫烧香的一举一动。 ? Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL中的CheckedValue设置为1 最后使用MFC编写了一个熊猫专杀工具 6.总结 通过行为监控的方式完成了对熊猫烧香病毒的查杀,不过还不够彻底。那些被感染的exe文件,我们还没有恢复,如果想要进一步的研究,下一节我们对病毒进行逆向,看它是如何感染的。

    1K30

    自己手动复现一个熊猫烧香病毒

    自己手动复现一个熊猫烧香病毒 起因 最近逛了一下 bilibili ,偶然的一次机会,我在 bilibili 上看到了某个 up 主分享了一个他自己仿照熊猫病毒的原型制作的一个病毒的演示视频,虽然这个病毒的出现距离现在已经十多年之久了 我觉得蛮有意思的,有必要深究一下,所以我花上几天的时间研究了一下熊猫烧香病毒的源码,仿照熊猫烧香病毒原型,也制作了一个类似的软件,实现的源码我会在文章的末尾给出 GitHub 项目链接,喜欢的朋友不要忘记给我一个 熊猫烧香的介绍 熊猫烧香是一个感染性的蠕虫病毒,它能感染系统中的 exe ,com ,pif,src,html,asp 等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为 gho 的文件,该文件是一系统备份工具 如果有同学对熊猫烧香的来源感兴趣的话,可以看看中科大写的关于熊猫烧香的案件分析:由“熊猫烧香”谈起 病毒结构分析 ? 这里我使用 MFC 进行“熊猫烧香病毒专杀工具的开发,绘制界面如下图所示: ? 那么我们该如何编写这个专杀工具呢?

    3.9K21

    十四.熊猫烧香病毒IDA和OD逆向分析(下)病毒配置

    熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。 本文主要学习姜晔老师视频,结合作者逆向经验进行总结,详细讲解了熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。 [系统安全] 八.那些年的熊猫烧香及PE病毒行为机理分析 六.分析spoclsv.exe 虽说这个程序和“熊猫烧香.exe”是完全一样的,可是毕竟其内部的执行流程是不同的。 同时作者是跟着姜晔老师的视频,一步步逆向分析熊猫烧香病毒的,后续还有WannaCry蠕虫等恶意样本的分析。 PE病毒行为机理分析 [系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化 [系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理 [系统安全] 十三.熊猫烧香病毒IDA

    24430

    十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化

    熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。 这里主要使用的工具包括: PEiD:病毒加壳、脱壳基础性分析 IDA Pro:静态分析 OllyDbg:动态分析 实验文件: setup.exe:熊猫烧香病毒 基本流程: 利用查壳工具检查病毒是否带壳 这次研究的“熊猫烧香”程序并没有加壳,但后续的文章我会详细分享加壳与脱壳的内容,更好地帮助大家理解病毒分析及保护措施。 首先打开PEiD工具人,然后将熊猫烧香病毒拖进去,会发现病毒的基本信息。 这三个call是熊猫烧香病毒最重要的功能,我们下一篇论文继续分析。 PE病毒行为机理分析 [系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化 同时补充作者制作的熊猫烧香病毒逆向关系图,希望对您有帮助。

    22740

    十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理

    熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。 本文重点分析熊猫烧香病毒的功能函数,大家掌握这些技巧后才能更好地分析更多的代码。同时,本文部分实验参考姜晔老师的视频分析,真的非常佩服和值得去学习的一位老师。 技术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~ 上一篇文章讲解了“熊猫烧香病毒样本的反汇编代码入口处的分析,接下来我们分析病毒的核心部,其分析思路基本一致,同时越深入核心部分会遇到越多的API 这里主要使用的工具包括: PEiD:病毒加壳、脱壳基础性分析 IDA Pro:静态分析 OllyDbg:动态分析 实验文件: setup.exe:熊猫烧香病毒 基本流程: 利用查壳工具检查病毒是否带壳 三.总结 写到这里,该部分关于sub_408024核心函数的部分功能就介绍完毕,请大家一定要动手跟着调试,先感受下这部分的实验,后面的文章我们将继续分析熊猫烧香病毒感染的过程。

    12020

    恶意代码分析实战六:熊猫烧香病毒样本分析

    熊猫烧香行为分析 查壳 因为程序肯定是病毒,我就不上传杀毒网去查杀了。正常我们在分析一个未知恶意程序的时候,流程都是要先上传杀毒网看看。 简单静态分析 用Strings和Dependency分别对熊猫烧香的字符串和导出表进行分析。 行为分析 进程树监控 这里我们还是用Process Monitor来监控病毒行为,打开Process Monitor,在筛选条件中将“样本.exe”加入到筛选器的“Process Name”中,然后运行病毒 行为总结 熊猫烧香逆向分析 在这里我们利用逆向界的倚天剑和屠龙刀,IDA和OD来对熊猫烧香进行逆向分析,对其内部实现的原理有个了解,因为篇幅关系不会对整个程序彻底分析,而是挑拣一些重要内容进行分析。 ③ sub_0040C97C 第3个Call:终止定时器,设置4个新的计时器 学习总结 终于到此熊猫烧香都分析完了,从行为分析开始然后过渡到IDR软件静态分析,x32dbg动态调试分析,分析每个Call

    55020

    十一.那些年的熊猫烧香及PE病毒行为机理分析

    熊猫烧香病毒就是一款非常具有代表性的病毒,当年造成了非常大的影响,并且也有一定技术手段。本文将详细讲解熊猫烧香的行为机理,并通过软件对其功能行为进行分析,这将有助于我们学习逆向分析和反病毒工作。 技术路上哪有享乐,为了提升安全能力,别抱怨,干就对了~ 文章目录: 一.PE病毒概念 二.什么是熊猫烧香病毒 三.熊猫烧香病毒行为分析 四.样本运行及查杀防御 五.Procmon检测病毒行为 作者的 这些病毒事件一方面会警醒我们网络空间安全,另一方面也会督促我们安全人员不断思考和对抗。未知攻,焉知防。 三.熊猫烧香病毒行为分析 熊猫烧香病毒有它的特殊性,也有它的通用性。 下面结合第一部分PE病毒基础知识,介绍熊猫烧香病毒的基本行为。 PE病毒概念 什么是熊猫烧香病毒 熊猫烧香病毒行为分析 样本运行及查杀防御 Procmon检测病毒行为 同时,请读者思考几个问题。 病毒感染了多少文件,重装操作系统是否可以彻底清除病毒

    61460

    烧香的不只有和尚,还有熊猫!再谈熊猫烧香“一代毒王”李俊!

    但是,2006至2007年间,一个电脑病毒打破了中国网络的沉寂,在短短的时间内就让所有中国网民为之色变,这也是第一次也是至今为止唯一一次国人对电脑病毒的一次重大的恐慌,这款电脑病毒叫做熊猫烧香,而他的制造者叫李俊 贴得冷屁股多了,李俊反而做一个更加坚定得决定:整出一款电脑病毒,让所有程序公司知道我。仅仅只用了一个月,李俊就造成了他的病毒病毒熊猫来做图标,这个就是曾经名震中国网络的熊猫烧香。 到2007年的1月,熊猫烧香席卷中国网络,几乎所有的杀毒软件都对“熊猫烧香”措手无策。媒体开始疯狂报道熊猫烧香,而熊猫烧香的制造者也成为全民茶余饭后的谈资。 其实,当时的熊猫烧香为什么席卷网络?并不是这个病毒自身有多厉害,毕竟它的制造者只是个连病毒原理都没学习过的水泥专业中专生。 所有,有不少的人说,熊猫烧香的真正意义在于他打破了很多杀毒为了销量自己制造病毒的这种潜规则,当有一天市场突然杀入一款不是自己制造的病毒,整个杀毒界一下子乱成了一锅粥。 ?

    51220

    YouTube博主实测病毒之王“熊猫烧香”,当年是它太强还是杀毒软件太弱?

    在YouTube上,经常测试各种病毒的栏目“爱比较”就出过几款关于“熊猫烧香”的视频,如今已经有将近十万人观看。 ? 在知乎上,关于“电脑病毒熊猫烧香」当年有多凶残?” 是当年的杀毒软件太弱还是“熊猫烧香”太强? 在“熊猫烧香”爆发一个多月后,国家计算机病毒应急处理中心就发出“熊猫烧香”的紧急预警,彼时几乎所有的杀毒软件对“熊猫烧香”都束手无策。 作为一种蠕虫病毒,“熊猫烧香病毒首先将系统中所有.exe可执行文件全部被改成熊猫的图案,这一步其实是将病毒与用户电脑.exe文件绑定在一起,杀毒软件无法正确的将病毒与.exe分开。 显然不是,病毒并没有消失,只是更加隐蔽了。 李俊当时开发“熊猫烧香病毒,和几个同伙一起才盈利十几万元,他们自己也承认,搞出“熊猫烧香”并不是为了赚钱,而是为了“炫技”。 因此,“熊猫烧香”跟今天的病毒木马造成的危害完全不能相比,今天的病毒木马,大多是看不见的威胁(尽一切可能潜伏并获得经济利益),病毒感染规模远超熊猫烧香的比比皆是,非法收入更是动辄千万元级别。

    50820

    清明节偷偷训练“熊猫烧香”,结果我的电脑为熊猫“献身了”!

    大家好,我是冰河~~ 最近,很多小伙伴都知道,就在清明节假期的最后一天晚上,我偷练“禁术”——熊猫烧香,结果悲剧了。 下面就给大家分享下,尝试“熊猫烧香”的后续情节。 在尝试“熊猫烧香”之前,我是把电脑所有网卡都禁用了,网线也拔掉了,总之,能够联网的东西全部禁用。 最后,有时间我再研究下“熊猫烧香”的源码,研究它不是为了别的,而是从源码级别充分了解它的感染机制和传播机制,这样才能更好的防御网络病毒,对网络和信息安全贡献一份力量! 这里,我想对小伙伴们说:千万不要轻易尝试“熊猫烧香”!千万不要轻易尝试“熊猫烧香”!千万不要轻易尝试“熊猫烧香”! 我电脑都这样了,小伙伴们还不点赞、在看、转发,三连走一波,安慰下我吗? 特此声明:编译运行“熊猫烧香”前,我已对网络和局域网做了充分的安全保障,不会对外传播。另外,运行“熊猫烧香”程序,纯属个人学习研究,不涉及破坏行为,更不涉及法律风险。

    24720

    千万不要轻易尝试“熊猫烧香”,这不,我后悔了!

    想必从事互联网行业的小伙伴多多少少都听说过“熊猫烧香”吧,这里,我就不做过多的科普了,不了解的小伙伴在网上搜索一下吧。 作为一名互联网从业者兼具一定渗透经验的我来说,一直想运行下“熊猫烧香”到底是啥效果。 最近,搞到了一份“正版”的“熊猫烧香”,一直想尝试下在自己电脑上运行下,看看曾经风靡一时的“熊猫烧香”运行起来到底是啥效果。这样,才能对其有进一步的了解,才能更好的分析如何来预防这个顽固的“蠕虫”。 运行后,不出意料的出现了类似下面这张图一样的“熊猫烧香”。 ? 注:当时没有拿手机拍照,实际运行过程中,“熊猫烧香”是铺满整个屏蔽的,而且整体是动态效果。我感觉到它已经超出虚拟机控制的范围了。 我强行关闭虚拟机,这货还是在屏幕上“烧香”。我赶紧强制关闭电脑。 试图重启电脑,没想到电脑却陷入了无限重启中。。。 ? ? 电脑陷入了无限重启中,貌似是硬盘坏了?

    37420

    盘点世界十大著名黑客攻击事件

    相信很多像小编一样的80后,都听说过了蠕虫病毒,或者说熊猫烧香病毒,今天闲着没事,小编来跟大家盘点一下,世界典型大型黑客袭击事件。 一、勒索病毒事件 勒索病毒是一种源自美国国安局的一种计算机病毒。近百国中招,其中英国医疗系统陷入瘫痪、大量病人无法就医。中国的高校校内网也被感染。 “爱虫”病毒是迄今为止发现的传染速度最快而且传染面积最广的计算机病毒。 十、“熊猫烧香病毒”事件 为什么把熊猫烧香病毒放在最后呢,因为小编对对熊猫烧香病毒体会最深,相信在2006年-2007年初玩电脑的人都会记得一个名为“熊猫烧香”的病毒,2007年1月初开始肆虐网络 不过,熊猫烧香作者只为炫技,并没有像比特病毒一样为了要钱。2007年9月24日,“熊猫烧香”案一审宣判,主犯李俊被判刑4年。

    19.7K60

    爱比较病毒测试(不是震网病毒特点的是)

    CIH、爱虫、冲击波、熊猫烧香,对这4种网络病毒你了解多少? 除了这三种病毒之外,还有一种病毒叫做混合型的病毒,混合型的病毒是上面三者混合体,可能是木马病毒和蠕虫病毒的混合,也有可能是三种病毒混合在一起,能够经过不停的复制进犯型病毒来进犯你的电脑,以便更快的将你的电脑攻陷 4.熊猫烧香 关于这个病毒能够说是大名鼎鼎了,熊猫烧香在2006年年末大规模的爆发,这是一种木马、蠕虫和进犯三种类型都结合在一起的病毒,在网络上的伤害极端巨大,其时国内很多电脑都是出现了那个拿着三支香的熊猫 熊猫烧香是使用DelBoy.h工具编写出来的,能够将很多的的防病毒软件和防火墙都终止掉,能够说是安全软件的克星了。 除此之外,熊猫烧香还能够修改注册表启动项,把被感染的文件图标变成熊猫烧香的图案;愈加是能够删除扩展名为gho的文件,让用户无法经过ghost软件恢复系统。

    10510

    【读家】专访Killer:计算机病毒大多没有技术含量

    不过,如果突然提起“killer”,想必大部分人会认为是在说杀手,不会想到这是一位反病毒专家的“花名”,但如果你知道“熊猫烧香”,你或许会对他有所耳闻。 2006年10月16日,25岁的湖北人李俊(和混江龙李俊同名同姓)编写了“熊猫烧香病毒,2007年1月,“熊猫烧香”肆虐中国互联网,Killer和他的团队,迅速推出超级巡警杀毒软件,完美查杀“熊猫烧香 计算机病毒大多没有技术含量 读家:您因为杀灭熊猫烧香病毒一战成名,但很多安全从业者说,熊猫烧香并不算很高级的病毒,你怎么评价? Killer:这个要说清楚有点复杂,我多谈几句。 熊猫烧香就是典型案例,以前病毒将自身隐藏在宿主文件的空隙中,甚至不改变宿主文件大小。 仅凭这一点能看出,这是一个反病毒领域的新课题,反病毒厂商总是试图用归一化引擎架构来处理所有问题,熊猫烧香是对这种传统引擎修复方法的穿透。

    1.8K20

    浅谈电子数字取证技术

    证据)采集 1、静态采集(Static) 当主机是关闭的 低效率 无法取得易失性数据 2、动态采集(Live) 当主机是运行中的 数据可能采集的同时被修改 从不可信的网络获得的数据是不可靠的 0x05 熊猫烧香案例 熊猫烧香病毒介绍 名称:熊猫烧香,worm.whBoy,worm.nimaya 类型:蠕虫,能够终止大量的反病毒软件和防火墙软件进程 描述:蠕虫病毒,多次变种,可执行文件出现“熊猫烧香”图案 危害:通过局域网在极短时间内感染数千台计算机 鉴定结论 1、制作和传播木马病毒的实验环境 2、编写病毒的软件工具 3、多个病毒的源代码及可执行文件 4、通过木马直接或间接获得的游戏账密等信息 5、所出售木马病毒代码和木马生成器的价格 6、收藏的相关技术资料的网址和多次访问病毒源码留下的历史记录 故意制作、传播计算机病毒等破坏性程序,影响计算机系统正常运行,后果严重的,依照第一款的规定处罚。 总结展望 1、“熊猫烧香”案为以后的计算机网络案件处理提供了借鉴。 参考文献 国内外电子数据取证标准规范研究(http://www.gjbmj.gov.cn/n1/2017/0316/c411145-29149427.html) 熊猫烧香案件的电子数据司法鉴定理论与实践

    1.3K20

    十七.Windows PE病毒概念、分类及感染方式详解

    熊猫烧香 熊猫烧香(Worm.WhBoy)是一款拥有自动传播、自动感染硬盘能力和强大的破坏能力的病毒,它不但能感染系统中exe、com、pif、src、html、asp等文件,它还能中止大量的反病毒软件进程并且会删除扩展名为 如果病毒本身能很好地结合这套机制,它可以做的事情非常多,并且具有很好的隐蔽性,比如前面分析的熊猫烧香病毒熊猫烧香病毒 左边是一个正常程序(QQ),感染之后会将病毒放在前面,正常程序放在后面,程序运行之后,病毒会拿到控制权。但是程序图标会显示前面的病毒程序,显示熊猫烧香,这也是一个明显的被感染特征。 Windows漏洞利用之MS08-067远程代码执行漏洞复现及深度提权 [系统安全] 十.Windows漏洞利用之SMBv3服务远程代码执行漏洞(CVE-2020-0796)复现 [系统安全] 十一.那些年的熊猫烧香及 PE病毒行为机理分析 [系统安全] 十二.熊猫烧香病毒IDA和OD逆向分析(上)病毒初始化 [系统安全] 十三.熊猫烧香病毒IDA和OD逆向分析(中)病毒释放机理 [系统安全] 十四.熊猫烧香病毒IDA

    78310

    对incaseformat蠕虫事件的一些思考

    ,这次病毒的影响不亚于当年的”熊猫烧香“,而且两款病毒的技术含量也都很低,这款病毒相比”熊猫烧香“,可能技术含量更低一层了,”熊猫烧香“还多了几个感染、下载、自传播模块,这款病毒是型典的破坏型蠕虫病毒, ,到后面Window系统以后的蠕虫病毒,感染型,远控,木马,后门,下载者,DDOS病毒,直到现在最近几年比较流行的挖矿病毒,勒索病毒,IOT僵尸网络病毒,APT特马等等,可以说计算机病毒一直存在,从未消失过 难倒这些病毒安全厂商就没有办法,其实很多老的病毒,安全厂商都是可以完全清理的,包含各种感染型病毒,蠕虫病毒,只是现在关注病毒的人少了,做病毒研究的人少了,为什么会导致现在这种形象? 咱先不说老的那些病毒了,什么蠕虫 ,感染型病毒的,其实现在各种新型的病毒很多,为什么现在研究病毒的人少了?大家为啥不关注了,我来说一下自己的一些观点吧。 ,大家就把希望寄托在了大数据,AI安全上面,这样就导致”传统“安全的人越来越少,也就是研究病毒的人越来越少了,很多”新型“的安全研究人员,不太懂病毒,对病毒不了解,也不认识病毒,其实也怪这款病毒太老了,

    16220

    程序员把电脑病毒当宠物养!网友:要不要这么可爱?

    提起电脑病毒四个字,大家第一时间就会想到熊猫烧香,木马等等吧。很多电脑病毒破坏力惊人,熊猫烧香在当年也是让全国人民都陷入一种恐慌状态。但对于我们程序员来说,看过的病毒跟吃的米一样多,哈哈,有点夸张。 这篇文章就给大家说说一些另类的病毒,你就会觉得病毒没那么可怕了。 ? 我觉得这个对于扫黄很有用啊啊啊吧 网友2:希望哪天来个电脑病毒,问100道高数题,三天内不完成任务电脑内资料全曝光!造福人类的病毒呀 �� ? 4、贴心的病毒 以前课程设计时一同学的AutoCAD中毒了,每次打开提示如下图: 在8:00--18:00的时间段内 �� ? �� 其他时间段: ? 5、蠢萌的病毒 一个会自动乱下东西的病毒。。。 发明一种病毒叫周氏病毒,让你电脑高速运转造成显示器爆炸,炸你一脸玻璃渣。。 网友1:真的有病毒能炸显示屏?? ? 怎么样?看了这些病毒之后有没有觉得就算是坏东西,也可以这么调皮可爱!

    79110

    扫码关注腾讯云开发者

    领取腾讯云代金券