使用火絨劍/Procss Moniter對病毒進行行爲分析。
Process Monitor是一個經典的進程行爲分析軟件,火絨劍作爲火絨的一個工具,專門作爲病毒行爲分析的工具,非常好用,本文以熊貓燒香爲例進行行爲分析。
實驗環境及工具
win7 x86
Process Monitor(因爲火絨劍在病毒運行後打不開窗口)
行爲分析
第一步:運行“”熊貓燒香,並進行監控
使用過濾器,對PID 2724進行過濾。
之後監控到的就全是病毒進程的行爲了。
查看進程樹,在進程樹中可以發現,“熊貓燒香.exe”衍生出了spoclsv.exe。衍生出的進程又打開了兩次“cmd.exe”。第一次運行的命令是:
cmd.exe /c net share C$ /del /y
它的意思是在命令行模式下刪除C盤的網絡共享,執行完後關閉cmd.exe。因爲我的系統只有一個C盤,因此有理由相信,這個病毒應該是會關閉系 統中所有的盤的網絡共享。第二次運行的命令是:
cmd.exe /c net share admin$ /del /y
這裏取消的是系統根目錄的共享。那麼由此就可以總結出病毒的兩點行爲:
病毒行爲1:病毒本身創建了名爲“spoclsv.exe”的進程,該進程文件的路徑爲:
C:\WINDOWS\system32\drivers\spoclsv.exe
病毒行爲2:在命令行模式下使用net share命令來取消系統中的共享。
第二步:對熊貓燒香.exe文件監控分析
點擊菜單欄上對應的按鈕
文件的監控,主要看的是病毒是否將自己複製到其他目錄,或者創建刪除了哪些文件等
病毒文件在“C:WINDOWSsystem32drivers”中創建了“spoclsv.exe”這個文件,在C盤根目錄下創 建了“setup.exe”與“autorun.inf”,並且在一些目錄中創建了“Desktop_.ini”這個文件。由於創建這些文件之後就對註冊 表的SHOWALL項進行了設置,使得隱藏文件無法顯示,那麼有理由相信,所創建出來的這些文件的屬性都是“隱藏”的,於是有:
病毒行爲:將自身拷貝到根目錄,並命名爲setup.exe,同時創建autorun.inf用於病毒的啓動,這兩個文件的屬性都是“隱藏”。
病毒行爲:在一些目錄中創建名爲Desktop_.ini的隱藏文件。
第三步:註冊表分析
點擊菜單欄上對應的按鈕
**病毒行爲:**在不停地檢測鍵值Run,在註冊表HKCU\Software\Microsoft\Windows\CurrentVersion\Run中創建svcshare,用於在開機時啓動位於“C:\WINDOWS\system32\drivers\spoclsv.exe”的病毒程序。
查看一下RegDeleteValue這個操作,可見病毒程序將當時幾乎所有的安全類工具的自啓動項給刪除了,就有:
**病毒行爲:**刪除安全類軟件在註冊表中的啓動項。
對註冊表的這個位置進行設置,能夠實現文件的隱藏。此處進行設置後,即便在“文件夾選項”中選擇“顯示所有文件和文件夾”,也無法顯示隱藏文件,則有:
病毒行爲:修改註冊表,使得隱 藏文件無法通過普通的設置進行顯示,該位置爲:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
第四步:檢測網絡行爲
點擊菜單欄上對應的按鈕
沒發現有網絡行爲。
第四步:檢測進程行爲
點擊菜單欄上對應的按鈕
沒啥好看的
