参考书籍：

VC++反汇编与逆向分析技术揭秘

姜晔病毒木马实战查杀

病毒名称：panda.exe

文件大小：61952 bytes

MD5值：3520D3565273E41C9EEB04675D05DCA8

SHA1值：BB1D8FA7EE4E59844C1FEB7B27A73F9B47D36A0A

CRC32：23B6DA2A

病毒行为：

复制自身、感染PE文件、覆写PE文件、修改注册表自启动、枚举进程、结束杀软进程、删除安全软件相关启动项

火绒剑、OD、IDA、MD5工具、Win7

分析此病毒的恶意行为

病毒的主要行为分三部分：

第一部分（自我保护与自我复制）：

复制自身到系统目录、双击被感染程序可以检测判断spclosv.exe是否存在，从被感染的文件分裂出病毒程序重新执行

第二部分（感染部分）：

    感染全盘（本地）、定时器感染全盘（本地）、局域网感染（联网）

第三部分(病毒自我保护)：

设置注册表、停止杀软、网站下载代码并执行

   1.病毒复制自身到系统目录下名字为spcolsv.exe

    2.每个目录下生成Desktop_.ini（记录日期）文件

    3.感染全盘二进制文件与脚本文件

    4.将病毒Svcshare设置开机自启动Run

    5.盘符根目录下生成setup.exe与autorun.inf文件

2.2.1 病毒主逻辑

    1.对比字符串是否相等，不相等则退出

2.2.2 病毒自我复制与自我保护分析详解

    1. 遍历进程找到病毒进程（spcolsv.exe）就退出并结束掉

     2.CopyFile到系统目录（C:\Windows\System32\drivers）,然后就运行程序(spcolsv.exe)

  3.如果是病毒自身工作就完成了，假设是被感染程序就会额外执行一段代码

    4. 感染后程序头五个字节都是Whboy并且结尾都带数字

    5.将源文件和病毒文件分离出来

    6.创建批处理文件功能是判断spclosv.exe是否存在，从被感染的文件分裂出病毒程序重新执行。

    Path (C:\User\15PB-W~1\AppData\Local\Temp\75$$.bat)

2.2.3 病毒感染全盘分析详解

病毒感染全盘分三方式感染分别为：全盘感染（本地）、建立计时器感染（本地）、局域网感染（需要网络支持）

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课