步骤1:静态信息提取与查壳 首先使用PEID工具加载“样本.exe”,程序显示“Delphi”且未加壳。接着使用Strings工具对样本进行扫描,在结果中搜索关键字,发现了大量如“123456”、“admin”、“pass”等弱口令字符串,以及“URLDownloadToFileA”函数和“autorun.inf”、“setup.exe”等U盘感染特征,据此推测病毒具备弱口令爆破、下载和U盘传播功能。
步骤2:进程树与命令执行监控
启动Process Monitor,设置过滤器“Process Name is 样本.exe”并运行病毒。在进程树视图中观察到样本释放了名为“spoclsv.exe”的进程。同时发现样本调用了两次cmd.exe,执行的命令分别为“cmd.exe /c net share C /del /y”。验证步骤:在命令行输入net share,确认C共享已被成功删除。
步骤3:文件系统行为监控
保持Process Monitor运行,将过滤器Operation设置为“CreateFile”。监控显示样本在C:\WINDOWS\system32\drivers目录下创建了spoclsv.exe。随后将过滤器切换为监控spoclsv.exe,观察到该进程在C盘根目录创建了setup.exe和autorun.inf,并在各目录生成了Desktop.ini。验证:进入C盘,开启显示隐藏文件,确认上述病毒载体文件已存在。
步骤4:注册表关键项修改监控
在Process Monitor中筛选RegCreateKey和RegSetValue操作,针对spoclsv.exe进程进行分析。监控记录显示,病毒在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run下创建了svshare项以实现开机自启,并修改了Hidden和ShowAll键值以强制隐藏文件。此外,监控到病毒删除了多款安全软件的启动项值。验证:运行msconfig查看启动项,可见新增的svshare项。
步骤5:网络活动流量监控
在Process Monitor工具栏中勾选“Show Network Activity”,仅显示网络相关事件。监控日志显示,spoclsv.exe不断尝试连接虚拟机内网网段192.168.200.x中的其他主机,这对应了静态分析中的135端口爆破行为。同时,程序还向外部IP47.74.46.59发起了HTTP连接,用于数据传输。验证:使用netstat -ano命令查看当前网络连接,确认存在与该IP的ESTABLISHED连接。
实验结果
本次实验成功验证了熊猫烧香病毒的完整攻击链。病毒主程序释放核心文件spoclsv.exe至系统驱动目录,并通过CMD命令强制关闭了C盘与管理共享。监控证实病毒通过注册表实现开机自启,篡改系统设置导致隐藏文件无法显示,并在根目录释放U盘传播文件。网络层面,病毒表现出针对内网135端口的频繁连接尝试以及与远程服务器的通信行为。
个人收获 通过本次实验,我深入掌握了恶意代码的动静结合分析方法,理解了Delphi程序通过寄存器传递参数的特点。特别是对熊猫烧香的Autorun传播机制和注册表维持技术有了直观认识。实验让我意识到简单的弱口令爆破在内网横向移动中的巨大威胁,同时也学会了如何利用监控工具精准定位病毒的行为逻辑,极大提升了逆向分析的基础能力。
本文作者:Linxiong
本文链接:
版权声明:本博客所有文章除特别声明外,均采用 BY-NC-SA 许可协议。转载请注明出处!