如果是非感染型的病毒,完成行为分析之后,就可以开始编写专杀工具了。当然对于我们这次研究的对象——“熊猫烧香”来说,其实通过之前的行为分析,我们并没有得出它的所有恶意行为,毕竟还没有对其进行逆向分析。所以这里仅针对我们上一篇文章所得出的结果,来进行专杀工具的编写。一般来说,专杀工具既可以用批处理实现,又可以用编程语言编写,但是现实中更多的还是用后者进行制作的,因为其更加严谨、灵活。因此我这里会使用C++来写一个简单的“熊猫烧香”专杀程序。
这里我们首先回顾一下病毒的行为:
病毒行为1:病毒本身创建了名为“spoclsv.exe”的进程,该进程文件的路径为“C:\WINDOWS\system32\drivers\spoclsv.exe”。
病毒行为2:在命令行模式下使用net share命令来取消系统中的共享。
病毒行为3:删除安全类软件在注册表中的启动项。
病毒行为4:在注册表“HKCU\Software\Microsoft\Windows\CurrentVersion\Run”中创建“svcshare”,用于在开机时启动位于“C:\WINDOWS\system32\drivers\spoclsv.exe”的病毒程序。
病毒行为5:修改注册表,使得隐藏文件无法通过普通的设置进行显示,该位置为:HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL,病毒将CheckedValue的键值设置为了0。
病毒行为6:将自身拷贝到根目录,并命名为“setup.exe”,同时创建“autorun.inf”用于病毒的启动,这两个文件的属性都是“隐藏”。
病毒行为7:在一些目录中创建名为“Desktop_.ini”的隐藏文件。
病毒行为8:向外发包,连接局域网中其他机器。
纵观以上八点行为,这里需要说明的是,其中的第二点行为,由于我不知道用户计算机在中毒前的设置,因此这条我打算忽略。第三点行为,我不知道用户的计算机安装了哪些杀毒软件,而病毒又会将所有杀软的注册表启动项删除,所以这一条我打算忽略,用户在使用本专杀工具后,可以自行重新安装杀软,或者有经验的用户也可以自行在注册表中添加回杀软名称。另外,病毒的第八点行为,我也打算忽略,因为只要删除了病毒本体,那么自然就解决了这个问题,所以我的专杀工具主要应付剩下的五个问题。在这里各位读者想必也能够发现,我的专杀工具所要做的工作,与我之前写的手动查杀的过程其实是极为相似的,这也是为什么我当时就强调,我们依旧要掌握手动查杀病毒这个技能的原因。
如果使用批处理来杀毒,因为它运行时没有界面,因此我们往往不知道杀毒程序究竟干了些什么,也不知道究竟有没有查杀成功,这也凸显了使用高级语言开发专杀工具的优势。这里我使用MFC进行“熊猫烧香”病毒专杀工具的开发,绘制界面如下图所示:
图1 界面绘制
其中的“Edit Box”控件的属性调整如下:
图2 调整“Edit Box”控件的属性
界面非常简单,接下来就是代码的编写。
在查杀病毒的技术中有一种方法类似于特征码查杀法,这种方法并不从病毒内提取特征码,而是计算病毒的散列值。利用这个散列值,就可以在查杀的过程中计算每个文件的散列,然后进行比较。这种方法简单易于实现,一般在病毒刚被发现时,在逆向分析前使用。常见的计算散列的算法有MD5、Sha-1以及CRC32等。
这里使用CRC32算法计算散列值,代码如下:DWORD CRC32(BYTE* ptr,DWORD Size) { DWORD crcTable[256],crcTmp1; //动态生成CRC-32表 for (int i=0; i<256; i++) { crcTmp1 = i; for (int j=8; j>0; j--) { if (crcTmp1&1) crcTmp1 = (crcTmp1 >> 1) ^ 0xEDB88320L; else crcTmp1 >>= 1; } crcTable[i] = crcTmp1; } //计算CRC32值 DWORD crcTmp2= 0xFFFFFFFF; while(Size--) { crcTmp2 = ((crcTmp2>>8) & 0x00FFFFFF) ^ crcTable[ (crcTmp2^(*ptr)) & 0xFF ]; ptr++; } return (crcTmp2^0xFFFFFFFF); }
该函数的参数有两个,一个是指向缓冲区的指针,第二个是缓冲区的长度。它将文件全部读入缓冲区中,然后用CRC32函数计算文件的CRC32散列值,可以得到我所研究的“熊猫烧香”病毒的散列值为0x89240FCD。这里请大家注意,不同版本的病毒的散列值是不同的,我所得出的这个值仅针对我所讨论的这个版本的病毒。
BOOL FindTargetProcess(char *pszProcessName,DWORD *dwPid) { BOOL bFind = FALSE; HANDLE hProcessSnap = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0); if (hProcessSnap == INVALID_HANDLE_VALUE) { return bFind; } PROCESSENTRY32 pe = { 0 }; pe.dwSize = sizeof(pe); BOOL bRet = Process32First(hProcessSnap,&pe); while (bRet) { if (lstrcmp(pe.szExeFile,pszProcessName) == 0) { *dwPid = pe.th32ProcessID; bFind = TRUE; break; } bRet = Process32Next(hProcessSnap,&pe); } CloseHandle(hProcessSnap); return bFind; }这里还需要提升系统的权限,提升成功后,当前进程就可以访问一些受限的系统资源。代码如下:
BOOL EnableDebugPrivilege(char *pszPrivilege) { HANDLE hToken = INVALID_HANDLE_VALUE; LUID luid; TOKEN_PRIVILEGES tp; BOOL bRet = OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,&hToken); if (bRet == FALSE) { return bRet; } bRet = LookupPrivilegeValue(NULL,pszPrivilege,&luid); if (bRet == FALSE) { return bRet; } tp.PrivilegeCount = 1; tp.Privileges[0].Luid = luid; tp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED; bRet = AdjustTokenPrivileges(hToken,FALSE,&tp,sizeof(tp),NULL,NULL); return bRet; }
DWORD WINAPI FindFiles(LPVOID lpszPath) { WIN32_FIND_DATA stFindFile; HANDLE hFindFile; // 扫描路径 char szPath[MAX_PATH]; char szFindFile[MAX_PATH]; char szSearch[MAX_PATH]; char *szFilter; int len; int ret = 0; szFilter = "*.*"; lstrcpy(szPath, (char *)lpszPath); len = lstrlen(szPath); if(szPath[len-1] != '\\') { szPath[len] = '\\'; szPath[len+1] = '\0'; } lstrcpy(szSearch, szPath); lstrcat(szSearch,szFilter); hFindFile = FindFirstFile(szSearch, &stFindFile); if(hFindFile != INVALID_HANDLE_VALUE) { do { lstrcpy(szFindFile, szPath); lstrcat(szFindFile, stFindFile.cFileName); if(stFindFile.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY) { if(stFindFile.cFileName[0] != '.') { FindFiles(szFindFile); } } else { if(!lstrcmp(stFindFile.cFileName,"Desktop_.ini")) { // 去除文件的隐藏、系统以及只读属性 DWORD dwFileAttributes = GetFileAttributes(szFindFile); dwFileAttributes &= ~FILE_ATTRIBUTE_HIDDEN; dwFileAttributes &= ~FILE_ATTRIBUTE_SYSTEM; dwFileAttributes &= ~FILE_ATTRIBUTE_READONLY; SetFileAttributes(szFindFile, dwFileAttributes); // 删除Desktop_.ini BOOL bRet = DeleteFile(szFindFile); csTxt += szFindFile; if (bRet) { csTxt += _T("被删除!\r\n"); } else { csTxt += _T("无法删除\r\n"); } } } ret = FindNextFile(hFindFile, &stFindFile); }while(ret != 0); } FindClose(hFindFile); return 0; }
需要说明的是,这里需要在本程序前定义一个CString类型的csTxt全局变量,用于将查杀的结果信息输出到程序界面,之后的程序中也会用到这个变量。
void CKillWhBoyDlg::OnBtnKill() { // TODO: Add your control notification handler code here BOOL bRet = FALSE; DWORD dwPid = 0; /////////////////////////////////////////////////////////////////// // 结束spoclsv.exe进程,并删除病毒程序本身 /////////////////////////////////////////////////////////////////// bRet = FindTargetProcess("spoclsv.exe", &dwPid); if (bRet == TRUE) { csTxt = _T("检查系统内存...\r\n"); csTxt += _T("系统中存在病毒进程:spoclsv.exe\r\n"); csTxt += _T("准备进行查杀...\r\n"); SetDlgItemText(IDC_LIST,csTxt); // 提升权限 bRet = EnableDebugPrivilege(SE_DEBUG_NAME); if (bRet == FALSE) { csTxt += _T("提升权限失败\r\n"); } else { csTxt += _T("提升权限成功!\r\n"); } SetDlgItemText(IDC_LIST,csTxt); // 打开并尝试结束病毒进程 HANDLE hProcess = OpenProcess(PROCESS_ALL_ACCESS,FALSE,dwPid); if (hProcess == INVALID_HANDLE_VALUE) { csTxt += _T("无法结束病毒进程\r\n"); return ; } bRet = TerminateProcess(hProcess,0); if (bRet == FALSE) { csTxt += _T("无法结束病毒进程\r\n"); return ; } csTxt += _T("病毒进程已经结束\r\n"); SetDlgItemText(IDC_LIST,csTxt); CloseHandle(hProcess); } else { csTxt += _T("系统中不存在spoclsv.exe病毒进程\r\n"); } Sleep(10); // 查杀磁盘中是否存在名为spoclsv.exe的病毒文件 char szSysPath[MAX_PATH] = { 0 }; GetSystemDirectory(szSysPath,MAX_PATH); lstrcat(szSysPath,"\\drivers\\spoclsv.exe"); csTxt += _T("检查硬盘中是否存在spoclsv.exe文件...\r\n"); if (GetFileAttributes(szSysPath) == 0xFFFFFFFF) { csTxt += _T("spoclsv.exe病毒文件不存在\r\n"); } else { csTxt += _T("spoclsv.exe病毒文件存在,正在计算散列值\r\n"); HANDLE hFile = CreateFile(szSysPath,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL); if (hFile == INVALID_HANDLE_VALUE) { AfxMessageBox("Create Error"); return ; } DWORD dwSize = GetFileSize(hFile,NULL); if (dwSize == 0xFFFFFFFF) { AfxMessageBox("GetFileSize Error"); return ; } BYTE *pFile = (BYTE*)malloc(dwSize); if (pFile == NULL) { AfxMessageBox("malloc Error"); return ; } DWORD dwNum = 0; ReadFile(hFile,pFile,dwSize,&dwNum,NULL); // 计算spoclsv.exe的散列值 DWORD dwCrc32 = CRC32(pFile,dwSize); if (pFile != NULL) { free(pFile); pFile = NULL; } CloseHandle(hFile); // 0x89240FCD是“熊猫烧香”病毒的散列值 if (dwCrc32 != 0x89240FCD) { csTxt += _T("spoclsv.exe校验和验证失败\r\n"); } else { csTxt += _T("spoclsv.exe校验和验证成功,正在删除...\r\n"); // 去除文件的隐藏、系统以及只读属性 DWORD dwFileAttributes = GetFileAttributes(szSysPath); dwFileAttributes &= ~FILE_ATTRIBUTE_HIDDEN; dwFileAttributes &= ~FILE_ATTRIBUTE_SYSTEM; dwFileAttributes &= ~FILE_ATTRIBUTE_READONLY; SetFileAttributes(szSysPath, dwFileAttributes); // 删除spoclsv.exe bRet = DeleteFile(szSysPath); if (bRet) { csTxt += _T("spoclsv.exe病毒被删除!\r\n"); } else { csTxt += _T("spoclsv.exe病毒无法删除\r\n"); } } } SetDlgItemText(IDC_LIST,csTxt); Sleep(10); /////////////////////////////////////////////////////////////////// // 删除每个盘符下的setup.exe与autorun.inf,以及Desktop_.ini /////////////////////////////////////////////////////////////////// char szDriverString[MAXBYTE] = { 0 }; char *pTmp = NULL; //获取字符串类型的驱动器列表 GetLogicalDriveStrings(MAXBYTE, szDriverString); pTmp = szDriverString; while( *pTmp ) { char szAutorunPath[MAX_PATH] = { 0 }; char szSetupPath[MAX_PATH] = { 0 }; lstrcat(szAutorunPath,pTmp); lstrcat(szAutorunPath,"autorun.inf"); lstrcat(szSetupPath,pTmp); lstrcat(szSetupPath,"setup.exe"); if (GetFileAttributes(szSetupPath) == 0xFFFFFFFF) { csTxt += pTmp; csTxt += _T("setup.exe病毒文件不存在\r\n"); } else { csTxt += pTmp; csTxt += _T("setup.exe病毒文件存在,正在进行计算校验和...\r\n"); HANDLE hFile = CreateFile(szSetupPath,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING,FILE_ATTRIBUTE_NORMAL,NULL); if (hFile == INVALID_HANDLE_VALUE) { AfxMessageBox("Create Error"); return ; } DWORD dwSize = GetFileSize(hFile,NULL); if (dwSize == 0xFFFFFFFF) { AfxMessageBox("GetFileSize Error"); return ; } BYTE *pFile = (BYTE*)malloc(dwSize); if (pFile == NULL) { AfxMessageBox("malloc Error"); return ; } DWORD dwNum = 0; ReadFile(hFile,pFile,dwSize,&dwNum,NULL); DWORD dwCrc32 = CRC32(pFile,dwSize); if (pFile != NULL) { free(pFile); pFile = NULL; } CloseHandle(hFile); if (dwCrc32 != 0x89240FCD) { csTxt += _T("校验和验证失败\r\n"); } else { csTxt += _T("校验和验证成功,正在删除...\r\n"); // 去除文件的隐藏、系统以及只读属性 DWORD dwFileAttributes = GetFileAttributes(szSetupPath); dwFileAttributes &= ~FILE_ATTRIBUTE_HIDDEN; dwFileAttributes &= ~FILE_ATTRIBUTE_SYSTEM; dwFileAttributes &= ~FILE_ATTRIBUTE_READONLY; SetFileAttributes(szSetupPath, dwFileAttributes); // 删除setup.exe bRet = DeleteFile(szSetupPath); if (bRet) { csTxt += pTmp; csTxt += _T("setup.exe病毒被删除!\r\n"); } else { csTxt += pTmp; csTxt += _T("setup.exe病毒无法删除\r\n"); } } } // 去除文件的隐藏、系统以及只读属性 DWORD dwFileAttributes = GetFileAttributes(szAutorunPath); dwFileAttributes &= ~FILE_ATTRIBUTE_HIDDEN; dwFileAttributes &= ~FILE_ATTRIBUTE_SYSTEM; dwFileAttributes &= ~FILE_ATTRIBUTE_READONLY; SetFileAttributes(szAutorunPath, dwFileAttributes); // 删除autorun.inf bRet = DeleteFile(szAutorunPath); csTxt += pTmp; if (bRet) { csTxt += _T("autorun.inf被删除!\r\n"); } else { csTxt += _T("autorun.inf不存在或无法删除\r\n"); } // 删除Desktop_.ini FindFiles(pTmp); // 检查下一个盘符 pTmp += 4; } Sleep(10); /////////////////////////////////////////////////////////////////// // 修复注册表内容,删除病毒启动项并修复文件的隐藏显示 /////////////////////////////////////////////////////////////////// csTxt += _T("正在检查注册表...\r\n"); SetDlgItemText(IDC_LIST,csTxt); // 首先检查启动项 char RegRun[] = "Software\\Microsoft\\Windows\\CurrentVersion\\Run"; HKEY hKeyHKCU = NULL; LONG lSize = MAXBYTE; char cData[MAXBYTE] = { 0 }; long lRet = RegOpenKey(HKEY_CURRENT_USER, RegRun, &hKeyHKCU); if(lRet == ERROR_SUCCESS) { lRet = RegQueryValueEx(hKeyHKCU,"svcshare",NULL,NULL,(unsigned char *)cData,(unsigned long *)&lSize); if ( lRet == ERROR_SUCCESS) { if (lstrcmp(cData,"C:\\WINDOWS\\system32\\drivers\\spoclsv.exe") == 0) { csTxt += _T("注册表启动项中存在病毒信息\r\n"); } lRet = RegDeleteValue(hKeyHKCU,"svcshare"); if (lRet == ERROR_SUCCESS) { csTxt += _T("注册表启动项中的病毒信息已删除!\r\n"); } else { csTxt += _T("注册表启动项中的病毒信息无法删除\r\n"); } } else { csTxt += _T("注册表启动项中不存在病毒信息\r\n"); } RegCloseKey(hKeyHKCU); } else { csTxt += _T("注册表启动项信息读取失败\r\n"); } // 接下来修复文件的隐藏显示,需要将CheckedValue的值设置为1 char RegHide[] = "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Folder\\Hidden\\SHOWALL"; HKEY hKeyHKLM = NULL; DWORD dwFlag = 1; long lRetHide = RegOpenKey(HKEY_LOCAL_MACHINE, RegHide, &hKeyHKLM); if(lRetHide == ERROR_SUCCESS) { csTxt += _T("检测注册表的文件隐藏选项...\r\n"); if( ERROR_SUCCESS == RegSetValueEx( hKeyHKLM, //subkey handle "CheckedValue", //value name 0, //must be zero REG_DWORD, //value type (CONST BYTE*)&dwFlag, //pointer to value data 4)) //length of value data { csTxt += _T("注册表修复完毕!\r\n"); } else { csTxt += _T("无法恢复注册表的文件隐藏选项\r\n"); } } /////////////////////////////////////////////////////////////////// // 病毒查杀完成 /////////////////////////////////////////////////////////////////// csTxt += _T("病毒查杀完成,请使用专业杀毒软件进行全面扫描!\r\n"); SetDlgItemText(IDC_LIST,csTxt); }
至此,所有代码编写完毕,将其编译,并没有错误,直接生成可执行文件。
可见,本程序已经将病毒彻底杀除,结合Process Monitor对本程序的监控,可以知道我们的专杀工具是切实可行的,这里不再赘述。
因为我们这次所面对的是一个实际的病毒,因此代码显得较长,这和我之前所举的例子中,仅仅几行代码就能够删除一个“虚拟”病毒是截然不同的。在以后面对不同病毒木马的专杀工具的编写中,我还会以这个专杀工具的代码为框架进行制作。而在以后的文章中,我只会对新增的知识点进行叙述,而与这篇文章重合的知识点,我就会一笔带过。也希望各位读者能够彻底掌握本篇文章所讲述的方法。