刘毅神色一紧,找出注册表监控分析工具,开始对于这个名叫spoclsv注册表操作加以分析,只见一排排数据显示在分析工具中。
刘毅瞪大了眼睛,看着眼前的数据,“你还真牛!也不知道是哪家杀软公司得罪你了?”
因为刘毅的虚拟机当中没有安装任何杀软,在注册表分析的列表中,刘毅看到,病毒写入注册表的命令都是,删除市面上常用的不常用的安全软件自启动项目。
“果然是这样!”
在注册表分析工具中的一跳命令提示引起了刘毅的注意,开机自启时在系统盘根目录创建,spoclsv。exe程序,并且衍生Dstop。int隐藏文件,看着这样的操作充分证明了开始时刘毅的猜测,果然这个熊猫烧香。exe只是一个外壳,真正的病源,正是这个spoclsv程序。
原来真的是这样!病毒通过浏览器或者邮箱默认下载,运行后,衍生spoclsv程序到系统根目录,又繁衍出一个Dstop。int的隐藏文件,通过重启自运行后,通过阻断杀软运行,通过Dstop。int开始感染文件。
随后刘毅通过注册表分析软件,对病毒进行了网络监控,也就是想要看看这款病毒是否有联网动作,一排排数据出现在分析软件当中,spoclsv正在向外网123。456。789。45发送并接受信息,并且不断连接192。168。1。1局域网中的计算机。
这个123。456。789。45大概就是病毒向外发送的数据包了,这个192。168。1。1应该就是链接局域网,通过局域网感染其他机器,这样外网,内网共同传播,难怪帖子说病毒传播的速度特别的快。
基本掌握了病毒的原理,刘毅切换到主机,打算先制作一份专杀工具,通过整个分析的过程,他知道病原体来自于那个名叫spoclsv的执行程序,专杀工具可以通过强杀spoclsv,强杀隐藏文件Dstop。int恢复注册表的方式解决病毒。
切换到主系统,进入c++进行病毒的编写工作,首先制作程序的界面,界面很简单,一个数列下拉框,一个一键杀毒的按钮,点击一键杀毒,进入代码编写,首先编写提升专杀工具的系统权限和扫描进程的权限。
查找进程,提升权限,尝试结束病毒进程,全磁盘查找spoclsv程序,分析熊猫烧香散列值,0x89240FCD。
这一条命令的是最为重要的也是专杀工具必须写入的,散列值就如同一个程序的特征码,一个程序的特点,但又不是特征码,特征码在程序代码内,散列值则是外。
写入分析散列值命令,紧接着,通过散列值,确定程序位置,检测全盘文件信息,分析注册表信息,刘毅花费一个多小时的时间,将专杀工具制作完成,为了方便测试,他将专杀工具,病毒,转入U盘,新建虚拟机。
“搞定!”
待全部完成,打开新建的虚拟机,将病毒,率先拷贝到虚拟机中,然后拔出U盘,他没有将专杀工具一起拷贝到虚拟机中,因为他担心病毒强大的感染力,会感染U盘中的专杀工具。