熊猫烧香病毒之专杀工具的编写教程通过对熊猫烧香的行为分析,这里仅针对所得结果,来进行专杀工具的编写。本节课我们会学习使用C++ 来写一个简单的“熊猫烧香 ”专杀系统。实验目的:结合本篇文章的知识点,能够彻底掌握文章所讲述的编写杀毒软件的方法。实验思路:1. 理解专杀工具所需要实现的功能2. 利用 VC++编写专杀工具3. 结合 Process Monitor验证专杀工具实验步骤:1、病毒行为回顾与归纳这里我们首先回顾一下病毒的行为:** 病毒行为 1:** 病毒本身创建了名为`spoclsv.exe`的进程,该进程文件的路径为:C:WINDOWSsystem32driversspoclsv.exe ** 病毒行为 2:** 在命令行模式下使用`net share`命令来取消系统中的共享。** 病毒行为 3:** 删除安全类软件在注册表中的启动项。** 病毒行为 4:** 在注册表 :HKCUSoftwareMicrosoftWindowsCurrentVersionRun中创建 svcshare 用于在开机时启动位于`C:WINDOWSsystem32driversspoclsv.exe`的病毒程序。** 病毒行为 5:** 修改注册表, 使得隐藏文件无法通过普通的设置进行显示,该位置为:HKLMSOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALL 病毒将 `CheckedValue` 的键值设置为了0。** 病毒行为 6:** 将自身拷贝到根目录, 并命名为 `setup.exe`,同时创建 `autorun.inf`用于病毒的启动,这两个文件的属性都是“隐藏”。** 病毒行为 7:** 在一些目录中创建名为`Desktop_.ini`的隐藏文件。** 病毒行为 8:** 向外发包,连接局域网中其他机器。纵观以上八点行为,这里需要说明的是,其中的第二点行为,由于我不知道用户计算机在中毒前的设置, 因此这条我打算忽略。第三点行为, 我不知道用户的计算机安装了哪些杀毒软件, 而病毒又会将所有杀软的注册表启动项删除,所以这一条我打算忽略,用户在使用本专杀工具后, 可以自行重新安装杀软,或者有经验的用户也可以自行在注册表中添加回杀软名称。另外,病毒的第八点行为,我也打算忽略,因为只要删除了病毒本体,那么自然就解决了这个问题, 所以我的专杀工具主要应付剩下的五个问题。在这里各位读者想必也能够发现, 我的专杀工具所要做的工作,与我之前写的手动查杀的过程其实是极为相似的,这也是为什么我当时就强调,我们依旧要掌握手动查杀病毒这个技能的原因。2、专杀工具界面的制作如果使用批处理来杀毒,因为它运行时没有界面,因此我们往往不知道杀...
