简介

“熊猫烧香”，是由李俊制作的一款电脑病毒，具有自动传播、自动感染的特征。不但能感染系统中exe,src，html，asp等文件，它还能终止大量的反病毒软件进程并且会删除扩展名为gho的文件。被感染的用户系统中所有exe可执行文件全部被改成熊猫举着三根香的模样。

工具

PEID

万能脱壳工具

OD

IDA

string

ProcessExplorer和ProcessMonitor

火绒剑

简单静态分析

1、查壳，使用PEiD或者exeinfope等工具都行。查出壳为FSG。

2、脱壳，可以尝试使用OD进行手动脱壳。这里直接拿出脱壳工具脱

直接将熊猫烧香丢入脱壳工具，点击脱壳即可

3、提取样本中的ascii和Unicode字符串

使用String提取出大量的api函数。例如sleep,Writefile等一些可疑函数。

命令：strings.exe 文件名

搜索结果：

4、分析导入表

PE文件中导入表中包含了程序用来与其他程序、代码等进行交互的函数。通过分析导入表中导入函数，有助于理解该程序的目的以及可能的行为操作。

这里使用PEID查看其导入函数。打开之后可以看到该样本引用了多个动态链接库。

具体如下：

具体介绍一下相关动态链接库。

介绍完动态链接库之后，继续看一下几个重要链接库中的导入函数。

kernel32.dll链接库

函数简述：

advapi.dll动态链接库

函数简述：

wininet.dll动态链接库

函数简述：

5、分析其行为以及关注其对注册表的改变。

先打开Regshot工具点击1st shot拍下快照。

接着打开ProcessExplorer、ProcessMonitor用来观察运行样本程序时，所发送的变化。

现在运行样本。

经过观察，在刚刚打开的时候不会看见什么肉眼的变化。只能看见样本程序的进程已经在运行了。但是在经过一段时间，就会在ProcessExplorer上出现一些一闪而过的“奇怪进程”（cmd.exe等）。从这可以推断熊猫烧香在进行一些危险操作。

但是查看系统的其它程序可以发现已经被变成了“熊猫烧香的小跟班”。说明了其已经进程了某些操作。

由于ProcessExplorer并不能很方便的帮助观察。因此我们使用ProcessMonitor来进行观察。同时由于系统中会有很多的进程会耽误其分析。可以在其中设置过滤条件。操作如下：

点击Fileter之后出现弹框，接下在里面选中Process Name选项，并且输入样本的名称点击Ok。

进行过滤设置之后，在ProcessMonitor中就只看见熊猫烧香的操作情况。

可以观察到它加载文件、读取文件、创建文件以及对注册表操作的行为

本来想通过Regshot来进行注册对比的，结果发现忽略的一个事情。就是Regshot也成为“小跟班”，叛变了。（有大佬知道其他不影响的方法，请指教一下）

对注册表进行了操作。

6、使用火绒剑查看一下样本程序对文件进行了那一些操作

可以看见已经创建了众多的Desktop.ini文件，里面的内容为当前日期。（需要注意的是，要想查看到此文件需要在文件夹选项取消掉隐藏受保护的操作系统文件）

在进程树中可以发现衍生“cmd.exe”

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！