熊猫烧香病毒之专杀工具编写教程方案

熊猫烧香病毒之专杀工具的编写教程通过对熊猫烧香的行为分析，这里仅针对所得结果，来进行专杀工具的编写。本节课我们会学习使用C++ 来写一个简单的“熊猫烧香 ”专杀系统。实验目的：结合本篇文章的知识点，能够彻底掌握文章所讲述的编写杀毒软件的方法。实验思路：1. 理解专杀工具所需要实现的功能2. 利用 VC++编写专杀工具3. 结合 Process Monitor验证专杀工具实验步骤：1、病毒行为回顾与归纳这里我们首先回顾一下病毒的行为：** 病毒行为 1：** 病毒本身创建了名为`spoclsv.exe`的进程，该进程文件的路径为：C:WINDOWSsystem32driversspoclsv.exe ** 病毒行为 2：** 在命令行模式下使用`net share`命令来取消系统中的共享。** 病毒行为 3：** 删除安全类软件在注册表中的启动项。** 病毒行为 4：** 在注册表 :HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建 svcshare 用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。** 病毒行为 5：** 修改注册表， 使得隐藏文件无法通过普通的设置进行显示，该位置为：HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将 `CheckedValue` 的键值设置为了0。** 病毒行为 6：** 将自身拷贝到根目录， 并命名为 `setup.exe`，同时创建 `autorun.inf`用于病毒的启动，这两个文件的属性都是“隐藏”。** 病毒行为 7：** 在一些目录中创建名为`Desktop_.ini`的隐藏文件。** 病毒行为 8：** 向外发包，连接局域网中其他机器。纵观以上八点行为，这里需要说明的是，其中的第二点行为，由于我不知道用户计算机在中毒前的设置， 因此这条我打算忽略。第三点行为， 我不知道用户的计算机安装了哪些杀毒软件， 而病毒又会将所有杀软的注册表启动项删除，所以这一条我打算忽略，用户在使用本专杀工具后， 可以自行重新安装杀软，或者有经验的用户也可以自行在注册表中添加回杀软名称。另外，病毒的第八点行为，我也打算忽略，因为只要删除了病毒本体，那么自然就解决了这个问题， 所以我的专杀工具主要应付剩下的五个问题。在这里各位读者想必也能够发现， 我的专杀工具所要做的工作，与我之前写的手动查杀的过程其实是极为相似的，这也是为什么我当时就强调，我们依旧要掌握手动查杀病毒这个技能的原因。2、专杀工具界面的制作如果使用批处理来杀毒，因为它运行时没有界面，因此我们往往不知道杀...