[系統安全] 十一.那些年的熊貓燒香及PE病毒行為機理分析

文章目錄

一.PE病毒概念

二.什么是熊貓燒香病毒

三.熊貓燒香病毒行為分析

四.樣本運行及查殺防御

五.Procmon檢測病毒行為

1.軟件基本介紹

2.病毒行為檢測

六.總結

系統安全：https://github.com/eastmountyxz/SystemSecurity-ReverseAnalysis

網絡安全：https://github.com/eastmountyxz/NetworkSecuritySelf-study

前文分析：

[系統安全] 一.什么是逆向分析、逆向分析基礎及經典掃雷游戲逆向

[系統安全] 二.如何學好逆向分析及呂布傳游戲逆向案例

[系統安全] 三.IDA Pro反匯編工具初識及逆向工程解密實戰

[系統安全] 四.OllyDbg動態分析工具基礎用法及Crakeme逆向破解

[系統安全] 五.OllyDbg和Cheat Engine工具逆向分析植物大戰僵尸游戲

[系統安全] 六.逆向分析之條件語句和循環語句源碼還原及流程控制

[系統安全] 七.逆向分析之PE病毒原理、C++實現文件加解密及OllyDbg逆向

[系統安全] 八.Windows漏洞利用之CVE-2019-0708復現及防御詳解

[系統安全] 九.Windows漏洞利用之MS08-067遠程代碼執行漏洞復現及深度防御

[系統安全] 十.Windows漏洞利用之SMBv3服務遠程代碼執行漏洞（CVE-2020-0796）及防御詳解

[系統安全] 十一.那些年的熊貓燒香及PE病毒行為機理分析

聲明：本人堅決反對利用教學方法進行犯罪的行為，一切犯罪行為必將受到嚴懲，綠色網絡需要我們共同維護，更推薦大家了解它們背后的原理，更好地進行防護。該樣本不會分享給大家，分析工具會分享。（參考文獻見后）

一.PE病毒概念

首先簡單給大家普及下PE病毒的基礎概念和分類，方便大家理解熊貓燒香病毒的行為。

什么是PE病毒？

PE病毒是以Windows PE程序為載體，能寄生于PE文件或Windows系統的病毒程序。PE病毒數量非常之多，包括早起的CIH病毒，全球第一個可以破壞計算機硬件的病毒，它會破壞主辦的BIOS，對其數據進行擦寫修改。再比如熊貓燒香、機器狗等等，其危害非常之大。

什么叫感染？

說到病毒，不得不提感染。感染是指在盡量不影響目標程序（系統）正常功能的前提下，而使其具有病毒自身的功能。什么叫病毒自身的功能呢？一個病毒通常包括如下模塊：

感染模塊：?被感人程序同樣具備感染能力

觸發模塊：?在特定條件下實施相應的病毒功能，比如日期、鍵盤輸入等

破壞模塊

其他模塊

編寫病毒的核心技術

如果我們要編寫PE病毒，則需要掌握以下的關鍵技術：

病毒的重定位

獲取API函數地址

文件搜索

內存映射文件

病毒如何感染其他文件

病毒如何返回到Host程序

PE病毒分類

以感染目標進行分類，包括：

文件感染型

將代碼寄生在PE文件，病毒本身只是PE文件的一部分，依賴于感染目標，通常也叫HOST文件，控制權獲得也是以目標程序運行來獲得的。它分為傳統感染型（以Win32匯編程序編寫為主）和捆綁釋放型（編寫難度較低，通過高級語言均可編寫，將目標程序和病毒程序捆在一起，和捆綁器有相似之處）。

系統感染型

將代碼或程序寄生在Windows操作系統，該類病毒越來越多，它不感染具體文件，但是它會在操作系統中保存自己的實體。同時也可以通過系統啟動的方法來獲取控制權。傳播途徑包括：即時通信軟件（如QQ尾巴）、U盤、光盤、電子郵件、網絡共享、其他途徑等。

熊貓燒香病毒屬于捆綁釋放型，其感染實現起來比較簡單，目前很大一部分病毒程序都采用這種方法。捆綁釋放型感染時將目標HOST程序作為數據存儲在病毒體內，當執行病毒程序時，它先執行病毒程序，然后還原并執行HOST文件，從而保證被感染的程序本身能正常運行，不會引起一些異樣。如下圖所示，左邊是一個正常程序（QQ），感染之后會將病毒放在前面，正常程序放在后面，程序運行之后，病毒會拿到控制權。但缺點是程序圖標會顯示前面的病毒程序，顯示熊貓燒香，這是一個明顯的被感染特征。

常見自啟動方式

PE病毒運行之后，需要使用自啟動技術保證下次開機再運行。常見的自啟動方式包括：

注冊表中的鍵值

特定路徑的特定文件

系統中的特定位置，如Explorer.exe（顯示桌面）。

利用系統自動播放機制Autorun.inf

比如U盤病毒或光盤病毒就是利用U盤或光盤的自動播放功能。目前，也有一些U盤插入之后，不需要你去雙擊這個U盤，里面的程序就會自啟動。

在其他可執行文件嵌入少量觸發代碼

比如修改引入函數節啟動DLL病毒文件（添加相應結構，初始化代碼觸發），或在特定PE文件代碼段插入觸發代碼等（只需定位可執行程序并運行）。

DLL劫持：替換已有DLL文件

很多應用程序或操作系統執行時，都會去執行DLL文件，如果病毒將自身做成一個DLL文件，同時將系統DLL文件替換。可想而知，系統啟動時，它是根據文件名啟動的，此時病毒DLL文件就會拿到控制權，如果拿到控制權之后再進一步裝載原始DLL文件，這樣系統的本身機制也不會受到影響，隱蔽性更強。該方法非常常見，甚至有一些病毒程序將反病毒軟件可依賴的DLL文件替換。

下圖展示了Autoruns軟件看到Windows操作系統進行自啟動的選項。如果病毒本身能很好地結合這套機制，它可以做的事情非常多，并且具有很好的隱蔽性。

再比如我們之前分享的WinRAR漏洞（CVE-2018-20250），當惡意ACE文件被受害者解壓之后，會釋放惡意木馬至指定目錄（系統自啟動文件夾），受害者重啟電腦會執行惡意木馬。如下圖所示：

[網絡安全自學篇] 三十六.WinRAR漏洞復現（CVE-2018-20250）及惡意軟件自啟動劫持

常見傳播方式

一切可對外交互的渠道都可傳播，包括：

各類存儲設備（軟盤、光盤、U盤、移動硬盤、智能設備）

各類網絡通信方式（QQ、MSN、Email、淘寶旺旺、微信、微博等）

各類網絡連接方式（有線、wifi、藍牙等）

各類網絡應用（迅雷、BT等）

比如通過可移動存儲設備傳播的非感染式病毒，即Autorun.inf。下圖顯示了Autorun.inf文件，如果文件存在U盤根目錄，當我們雙擊這個U盤時，它就會觸發對應的病毒，如果選擇U盤盤符右鍵打開或打開資源管理器，這是進入的也是病毒程序。當然演示的是計算器程序。

[AutoRun] open=mspaint.exe shell\open=打開(&O) shell\open\Command=calc.exe shell\open\Default=1 shell\explore=資源管理器(&X) shell\explore\Command=calc.exe

最后展示Stuxnet震網事件的漏洞利用過程和啟動方式，傳統的Autorun方式很容易被禁止掉，而Stuxnet利用的是lnk漏洞（MS10-046），它會在目標U盤下放入lnk快捷方式及病毒程序（如DLL文件）。不管通過什么方式進入U盤，lnk文件會被解析從而觸發漏洞，導致U盤中的病毒程序被執行，所以0Day漏洞也越來越多應用到安全攻擊中。

二.什么是熊貓燒香病毒

熊貓燒香（Worm.WhBoy）是一款擁有自動傳播、自動感染硬盤能力和強大的破壞能力的病毒，它不但能感染系統中exe、com、pif、src、html、asp等文件，它還能中止大量的反病毒軟件進程并且會刪除擴展名為gho的文件。該文件是一系統備份工具GHOST的備份文件，使用戶的系統備份文件丟失。被感染的用戶系統中所有.exe可執行文件全部被改成熊貓舉著三根香的模樣。2006年10月16日由25歲的湖北武漢李俊編寫，2007年1月初肆虐網絡，它主要通過下載的文件傳染傳播。

首先其可以感染exe文件，也可以將以.gho結尾的文件刪除

其次是將源病毒感染到Web文件，使網頁成為它傳播的介質

最后是具備一定的對抗殺軟能力

勒索病毒

：在2017年5月12日，一款名為WannaCry勒索病毒通過MS17-010漏洞在全球范圍大爆發，感染了大量的計算機。此后，Petya、Bad Rabbit、GlobeImposter等勒索病毒相繼對企業及機構發起攻擊。

挖礦木馬

：伴隨著比特幣等虛擬數字貨幣交易火爆的同時，越來越多的人利用數字虛擬幣交易大發橫財，吸引大量黑產從業人員進入挖礦產業，這也是為什么2017年之后披露的挖礦木馬攻擊事件數量呈現出爆發式的增長。

APT攻擊

：當前魚叉攻擊、水坑攻擊、遠程可執行漏洞和密碼爆破攻擊等手段依然是APT攻擊的最主要方式。未來，Fileless攻擊、將通信的C&C服務器存放在公開的社交網站上、使用公開或者開源工具、多平臺攻擊和跨平臺攻擊將成APT攻擊技術的主要發展趨勢。

IoT攻擊

：黑客通常通過設備弱口令或者遠程命令執行漏洞對IoT設備進行攻擊，攻擊者通過蠕蟲感染或者自主的批量攻擊來控制批量目標設備，構建僵尸網絡，IoT設備成為了黑客最新熱愛的武器。

除此之外，供應鏈攻擊、AI對抗樣本、視頻語音欺騙等攻擊延伸都是未來黑客技術的發展趨勢，這些都應該引起我們足夠的重視。這些病毒事件一方面會警醒我們網絡空間安全，另一方面也會督促我們安全人員不斷思考和對抗。未知攻，焉知防。

三.熊貓燒香病毒行為分析

熊貓燒香病毒有它的特殊性，也有它的通用性。下面結合第一部分PE病毒基礎知識，介紹熊貓燒香病毒的基本行為。

(1) 自啟動方式

熊貓燒香病毒將自身拷貝至系統目錄，同時修改注冊表將自身設置為開機啟動項

這種方式也是絕大部分病毒自啟動所采用的方式。

拷貝自身到所有驅動器根目錄（盤符），命名為Setup.exe，在驅動器根目錄生成autorun.inf文件，并把它設置為隱藏、只讀、系統

autorun.inf文件的作用是允許在雙擊磁盤時自動運行指定的某個文件，即運行Setup.exe。

注意，該Setup.exe文件被設置為隱藏、只讀、系統，雖然我們可以查看“隱藏的項目”，但某些隱藏的系統文件仍然是看不到的。

我們需要進一步設置，取消勾選“隱藏保護的操作系統文件”，才能顯示這類文件，如下圖所示。而通常設置為隱藏的系統文件是較難被覺察的，尤其當這類文件被寫入到某個指定的操作系統目錄中，防不勝防。

(2) 感染與傳播方式

感染可執行文件

熊貓燒香病毒會搜索并感染系統中特定目錄外的所有.EXE / .SCR / .PIF / .COM等文件，將自身捆綁在被感染文件前端，并在尾部添加標記信息：.WhBoy{原文件名}.exe.{原文件大小}。注意，它感染的是特定目錄外的，而某些系統目錄是不去感染的，因為Windows系統某些可執行文件是有還原機制的，系統文件修改有時候會有報警提示。

感染網頁

熊貓燒香病毒會查找系統以 .html 和 .asp 為后綴的文件，在里面插入網頁標記，這個幀iframe會將另外一個URL嵌入到當前網頁，并且寬度和高度設置為0（看不到）。嵌入頁面后會利用如IE瀏覽器的漏洞來觸發惡意代碼，從而釋放相應病毒出來。

通過弱口令傳播

這種傳播方式非普遍，它會訪問局域網共享文件夾將病毒文件拷貝到該目錄下，并改名為GameSetup.exe（模擬游戲名稱）；通過弱口令猜測從而進入系統C盤。

(3) 自我隱藏

禁用安全軟件

熊貓燒香病毒會嘗試關閉安全軟件（殺毒軟件、防火墻、安全工具）的窗口、進程，比如包含360的名稱等；刪除注冊表中安全軟件的啟動項；禁用安全軟件的服務等操作。

自動恢復“顯示所有文件和文件夾”選項隱藏功能

某些用戶去看隱藏文件，會主動點擊查看隱藏文件夾，但這個病毒會自動恢復隱藏。

刪除系統的隱藏共享（net share）

Windows系統其實默認會開啟隱藏共享 C$ ，比如早期的 IPC$ 管道等，通過net share命令可以刪除隱藏共享。

下圖展示了使用NTscan軟件暴力爆破，該軟件支持遠程連接IPC $和利用字典文件。運行軟件，輸入IP地址“10.1.1.2”，選擇IPCsan連接共享“IPC $”，成功獲取了密碼“123.com”。接著與目標主機建立IPC $ 空連接。

net use \\10.1.1.2\ipc$ 123.com /user:administrator

(4) 破壞功能

熊貓燒香病毒同時會開另一個線程連接某網站下載DDOS程序進行發動惡意攻擊

具有破壞功能，可開啟附件攻擊行為，熊貓燒香感染計算機臺數非常多，它就能發動多臺電腦發起DDOS攻擊。

刪除擴展名為gho的文件，延長存活時間

該文件是系統備份工具GHOST的備份文件，從而使用戶的系統備份文件丟失。當用戶中了病毒，想去恢復時就存在困難了。

這就是一個典型的病毒案例，當然現在很多病毒功能都具有相似性，它們有經濟利益趨勢。當然對于不同的病毒來說，如果它的目的不一樣，其行為會存在很大差異。當然熊貓燒香病毒的隱蔽性不是很好，每一個感染者都會知道自己已被感染。

四.樣本運行及查殺防御

實驗環境：Windows XP

實驗文件：熊貓燒香.exe

正如姜曄老師說的一樣，手動查殺病毒基本流程如下：

排查可疑進程

因為病毒往往會創建出來一個或者多個進程，因此需要分辨出哪些進程是由病毒所創建，然后刪除可疑進程。

檢查啟動項

病毒為了實現自啟動，會采用一些方法將自己添加到啟動項中，從而實現自啟動，所以我們需要把啟動項中的病毒清除。

刪除病毒

在上一步的檢查啟動項中，我們就能夠確定病毒主體的位置，這樣就可以順藤摸瓜，從根本上刪除病毒文件。

修復被病毒破壞的文件

這一步一般來說無法直接通過純手工完成，需利用相應的軟件，不是我們討論的重點。

為什么計算機中安裝了殺毒軟件，還要去手動查殺呢？

因為殺毒軟件存在嚴重的滯后性，必須要等病毒工程師抓取對應樣本，并進行分析總結病毒的特征碼，再加入殺軟病毒庫后才能識別病毒，但病毒會存在各種變種，因此手動查殺也是必要的。同時，這對我們反病毒工程師來說也是認識和熟悉病毒的過程，在技術上是非常必要的。這也是現在為什么很多云沙箱、云殺軟、動態更新的技術不斷出現。

實驗目的：

學會基本的手動查殺理論

學會利用DOS命令行刪除病毒及其影響

第一步，運行病毒前打開任務管理器觀察此時打開的進程。

第二步，運行程序，可以發現任務管理器就自動關閉，并且無法再次打開（總一閃而過）。

那么，我們怎么查看系統中的進程呢？

第三步，打開CMD命令提示符，輸入命令“tasklist”查看。

顯示進程信息如下圖所示，我們發現多出來“spoclsv.exe”進程。該程序即為熊貓燒香病毒創建出來的進程。

第四步，輸入“taskkill /f /im 1684”命令強制結束這個進程，其中“/f”表示強制執行，“/im”表示文件鏡像，“1684”對應PID值。如下圖所示，成功殺掉該進程。

第五步，排查可疑進程之后，我們接下來查詢啟動項，在運行中輸入msconfig。

顯示如下圖所示，可以看到“spoclsv”啟動項。

第六步，檢測該啟動項創建的位置及鍵值。

C:\WINDOWS\System32\drivers\spoclsv.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

第七步，我們打開注冊表查看對應的值，發現創建了一個svcshare的值，并啟動對應exe程序。

接著我們打開這個目錄查看。

C:\WINDOWS\System32\drivers\spoclsv.exe

第八步，取消勾選“spoclsv”啟動項，點擊“確定”。

先暫時不重啟計算機。

接著刷新注冊表，發現“spoclsv”已經消失，表示啟動項已經成功被刪除。

第九步，我們需要刪除這個病毒，這里使用CMD命令行對其進行刪除。

輸入“del /f spoclsv.exe”強制刪除該文件，顯示如下圖所示，成功刪除。

寫到這里，我們是否真的成功清除了熊貓燒香病毒呢？

NO，該病毒還將自身復制到每一個磁盤的根目錄下。

第十步，刪除隱藏系統只讀的文件。

輸入“dir /ah”查看隱藏的文件，發現autorun.inf和setup.exe。

接著強制刪除這兩個文件，也可以將文件屬性修改后刪除。

del /ah /f autorun.inf

del /ah /f setup.exe

attrib -s -r -h setup.exe

：消除隱藏、系統、只讀屬性

重啟系統后，所有手動查殺病毒的工作完畢，我們的系統就又恢復正常了。

五.Procmon檢測病毒行為

接著我們通過Process Monitor工具來監控熊貓燒香病毒的行為。

1.軟件基本介紹

Process Monitor是微軟推薦的一款系統監視工具，能夠實時顯示文件系統、注冊表（讀寫）、網絡連接與進程活動的高級工具。它整合了舊的Sysinternals工具、Filemon與Regmon，其中Filemon專門用來監視系統中的任何文件操作過程，Regmon用來監視注冊表的讀寫操作過程。

Filemon：文件監視器

Regmon：注冊表監視器

同時，Process Monitor增加了進程ID、用戶、進程可靠度等監視項，可以記錄到文件中。它的強大功能足以使Process Monitor成為您系統中的核心組件以及病毒探測工具。

Process?Monitor可以幫助使用者對系統中的任何文件、注冊表操作進行監視和記錄，通過注冊表和文件讀寫的變化，有效幫助診斷系統故障或發現惡意軟件、病毒及木馬。

下載Procmon.exe軟件后，直接雙擊啟動，Procmon會自動掃描分析系統當前程序的運行情況。其中，下圖框出來的4個常用按鈕作用分別為：捕獲開關、清屏、設置過濾條件、查找。最后5個并排的按鈕，是用來設置捕獲哪些類型的事件，分別表示注冊表的讀寫、文件的讀寫、網絡的連接、進程和線程的調用和配置事件。一般選擇前面2個，分別為注冊表和文件操作。

輸出結果中包括序號、時間點、進程名稱、PID、操作、路徑、結果、描述等，監控項通常包括：

文件系統

注冊表

進程：跟蹤所有進程和線程的創建和退出操作

剖析事件：掃描系統中所有活動線程，為每個線程創建一個剖析事件，記錄它耗費的核心和用戶CPU時間，以及該線程自上次剖析事件以來執行了多少次上下文轉換

[網絡安全自學篇] 四十九.Procmon軟件基本用法及文件進程、注冊表查看

2.病毒行為檢測

第一步，打開Procmon.exe軟件。

第二步，在篩選器中選擇打開Procmon.exe軟件，Filter中選擇過濾病毒的名稱“setup.exe”。

Process Name is setup.exe

然后點擊添加和應用。

第三步，運行熊貓燒香病毒，可以看到它捕獲了非常多的病毒信息。

第四步，首先查看病毒的Process Tree（進程樹）。

可以看到setup.exe的熊貓燒香病毒程序，并衍生出一個spoclsv.exe程序。位置信息為：

C:\WINDOWS\system32\drivers\spoclsv.exe

第五步，發現spoclsv.exe程序三次打開cmd，運行net share命令刪除各個磁盤共享及系統根目錄共享。

net share C$ /del /y

net share Z$ /del /y：虛擬機共享功能盤

net share admin$ /del /y

此時我們總結病毒的行為：

第1點行為：創建spoclsv.exe程序并位于WINDOWS\system32\drivers目錄

第2點行為：命令行模式下使用net share解除共享功能

第六步，回到Procmon軟件進行深入分析。關閉其他結果，只顯示注冊表行為。

接著在過濾器中僅顯示對注冊表修改的值，如下圖所示。

Operation is RegSetValue

主要修改的是Seed項，就是隨機數種子的生成。但僅僅通過這個信息無法推測注冊表的行為，所以該病毒對注冊表并沒有什么實質性影響。

第七步，查看病毒對文件的修改。

在過濾器中刪除注冊表的修改，然后檢測熊貓燒香病毒是否創建文件，創建文件也是病毒的重要手段。

Operation is CreateFile

可以看到主要創建的文件是WINDOWS\system32\drivers目錄下，其他并沒有特別的東西。所以setup.exe程序對我們的系統并沒有實質性影響，主要影響還是spoclsv.exe程序，所以下一步操作就是監控spoclsv.exe程序。

第八步，在過濾器中刪除對setup.exe的監控，設置對spoclsv.exe程序的監控。

Process Name is spoclsv.exe

第九步，在過濾器中查看spoclsv.exe刪除注冊表選項。

Operation is RegDeleteValue

從這些名稱可以看到它們都是常用的殺毒軟件名稱，其位置是CurrentVersion的Run下面，即將殺毒軟件的自動啟項全部刪除。

第3點行為：刪除安全類軟件在注冊表中自動啟項

第十步，在過濾器中查看spoclsv.exe創建及設置的注冊表鍵值。

Operation is RegCreateKey

Operation is RegSetValue

顯示結果如下圖所示，病毒設置了自啟動項，要啟動的本體是drivers目錄下的spoclsv.exe。

第4點行為：在注冊表CurrentVersion\Run創建svcshare自啟動項，每次開機時會自動運行病毒

繼續查看，發現它對文件實現隱藏，設置該值后，即使我們在文件夾選項中選擇顯示所有文件和文件夾，也無法顯示隱藏文件。

第5點行為：禁用文件夾隱藏選項，修改注冊表使得隱藏文件無法通過普通設置顯示，從而隱藏病毒自身

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue

第十一步，在過濾器中查看spoclsv.exe文件操作。

熊貓燒香病毒創建文件包括：

在C:\WINDOWS\system32\drivers中創建spoclsv.exe

磁盤根目錄創建setup.exe與autorun.inf

某些目錄中創建Desktop_.ini文件

由于創建這些文件之后就對注冊表的SHOWALL項進行了設置，使得隱藏文件無法顯示，那么有理由相信，所創建出來的這些文件的屬性都是“隱藏”的。

第6點行為：將自身拷貝到根目錄并命名為setup.exe，創建autorun.inf用于病毒的啟動，這兩個文件的屬性都是“隱藏”。同時，會創建Desktop_.ini隱藏文件

第十二步，在過濾器中查看spoclsv.exe網絡行為。

從監控結果可以看到，病毒會向局域網發送并接收信息，并不斷嘗試向外進行連接和發送數據包。

寫到這里，我們基本已經分析了熊貓燒香的病毒行為，但這些行為仍然無法徹底了解病毒的行為，還需要通過OllyDbg逆向分析和IDA靜態分析來實現。同時，熊貓燒香病毒還有一些其他的行為，包括：

感染EXE文件，病毒會搜索并感染系統中特定目錄外的所有.EXE/.SCR/.PIF/.COM文件，并將EXE執行文件的圖標改為熊貓燒香的圖標。

試圖用以弱口令訪問局域網共享文件夾，如果發現弱口令共享，就將病毒文件拷貝到該目錄下，并改名為GameSetup.exe，以達到通過局域網傳播的功能。

查找系統以.html和.asp為后綴的文件并在里面插入iframe，該網頁中包含在病毒程序，一旦用戶使用了未安裝補丁的IE瀏覽器訪問該網頁就可能感染該病毒。

刪除擴展名為gho的文件，該文件是系統備份工具GHOST的備份文件，這樣可使用戶的系統備份文件丟失。

六.總結

寫到這里，這篇文章就介紹完畢，希望對您有所幫助，最后進行簡單的總結下。

PE病毒概念

什么是熊貓燒香病毒

熊貓燒香病毒行為分析

樣本運行及查殺防御

Procmon檢測病毒行為

同時，請讀者思考幾個問題。

病毒感染了多少文件，重裝操作系統是否可以徹底清除病毒？

如何編寫程序迅速掃描出惡意樣本需要實現的操作及行為。

病毒在什么情況下需要進行圖標替換？圖標替換過程中可能會遇到哪些問題，如何解決？

在無文件加載中，如果DLL沒有實體文件，是否可以在內存中完成DLL加載？

病毒運行一定要開啟新的進程嗎？

如何編寫感染性病毒的清除程序？其與系統感染性病毒的清除方法有何差異？

感恩能與大家在華為云遇見！

希望能與大家一起在華為云社區共同成長，原文地址：https://blog.csdn.net/Eastmount/article/details/111706890

(By:娜璋之家 Eastmount 2021-11-12 夜于貴陽)

參考文獻：

姜曄老師真的非常佩服和值得去學習，希望自己和大家的技術能不斷提升，加油！

[1]?[網絡安全自學篇] 木馬原理詳解、遠程服務器IPC $漏洞及木馬植入實驗

[2]?姜曄老師的技術空間目錄 - CSDN

[3]?騰訊安全聯合實驗室 - 知乎文章

[4]?[網絡安全自學篇] 七十九.Windows PE病毒原理、分類及感染方式詳解

[5]?姜曄老師技術分享 - B站

[6]?[網絡安全自學篇] 四十九.Procmon軟件基本用法及文件進程、注冊表查看

Windows 網絡 通用安全

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。

版權聲明：本文內容由網絡用戶投稿，版權歸原作者所有，本站不擁有其著作權，亦不承擔相應法律責任。如果您發現本站中有涉嫌抄襲或描述失實的內容，請聯系我們jiasou666@gmail.com 處理，核實后本網站將在24小時內刪除侵權內容。