第15章 “熊猫烧香”病毒逆向分析

“熊猫烧香”这四个字在2007年可谓“名噪一时”。一提到它马上就会让人想到那只手上拿着3柱香的熊猫,一副虔诚信徒的模样,可爱至极。但是,在这副可爱模样背后却隐藏着邪恶的气息。运行此程序后,你的计算机将会被其感染,中毒后的明显特征是所有的可执行文件的图标都被修改成了熊猫的图标。它与黑客帝国中的病毒—史密斯有几分相似,可快速传播,最终将所有的文件都变成自己。

要对付这只可恶的熊猫,我们就要扮演起尼奥的角色,利用所学习的逆向分析技术分析“熊猫烧香”病毒的实现流程和破坏性等。知己知彼方可找出它的破绽,将这只邪恶的熊猫彻底清除,使我们的计算机正常运行。

由于此程序为病毒程序,具有破坏性,因此不可直接在本机内进行调试和分析,以免不小心运行病毒后造成不必要的损失。为了防止触发病毒,可使在虚拟机VMware中对此病毒进行调试分析。

病毒的样本程序由本书的随书文件提供,以RAR格式进行压缩。切记,请勿直接运行该程序,否则后果自负。病毒样本的图标如图15-1所示。

图 15-1 “熊猫烧香”病毒样本

15.1 调试环境配置

有了样本后就需要准备好调试环境,安装虚拟机VMware Workstation,配置好操作系统(本书以Windows XP为例),准备调试病毒样本,如图15-2所示。

配置好了虚拟机后请不要急于调试和分析病毒样本,要先做好快照备份,以还原虚拟调试环境。依次单击图15-2中的菜单选项“虚拟机→快照→从当前状态创建快照”,这时将弹出快照创建窗口,如图15-3所示。

重新修改快照名称,然后单击“确定”按钮,以保存快照信息。到这里,前期准备工作就已经完成了,配置好了虚拟调试环境,即使不小心运行了病毒程序,只需还原快照即可回到虚拟环境的初始状态。

图 15-2 虚拟调试环境VMware Workstation的界面

图 15-3 创建快照窗口