病毒分析二熊貓燒香病毒的手動查殺

熊貓燒香病毒是一款擁有自動傳播、自動感染硬碟能力和強大的破壞能力的病毒，它不但能感染系統中exe

，com

，pif

，src

，html

，asp

等檔案，它還能中止大量的反病毒軟體程序並且會刪除副檔名

為gho

的檔案。

熊貓病毒的技術原理雖然在當時那個年代的水平也不高，但仍引起的想永恆之藍一樣的大規模病毒傳染，而且到現在具有非常多種變種病毒，很適合像我這種小白新手進行拿手練習。其實熊貓燒香的手動查殺過程非常簡單，這裡和大家一起分享一下。

對於每次查殺，我們都要遵循手動查殺的基本原則，即上個隨筆中提到的四個原則

1.查詢病毒程序

2.檢查啟動項

3.刪除病毒檔案

4.恢復被病毒所感染的檔案

2.第一步我們需要判斷執行病毒後病毒是否產生了任何程序，所以我們先開啟任務管理器檢視一下未執行病毒之前程序都有哪些，將未執行病毒前的程序列表先截圖儲存下來，方便下面進行觀察。

3.雙擊病毒樣本，發現命令列視窗一閃而過，然後就沒有其他動作了，這時我們去開啟任務管理器查詢程序，發現任務管理器已經打不開了，於是我們需要使用dos命令來進行查詢操作（熟悉dos命令對病毒查殺來說非常重要）。開啟cmd，輸入tasklist命令，即可獲取當前正在執行的程序的列表。如下圖-

4.我們與先前截圖相比較可得，程序任務當中多了乙個叫做spoclsv.exe的程序，於是我們推斷這是病毒執行後所產生的程序，我們要將其終止掉。利用taskkill /f /im +該程序的pid ，可將該程序立即強制終止。

5.下一步我們應該進行啟動項的檢測，從執行視窗輸入msconfig 開啟後點選啟動選項，如圖

我們將它禁用，然後複製下來它的目錄

c:\windows\system32\drivers\spoclsv.exe

6.我們進入該目錄來查詢該檔案

於是我們需要將其刪除，輸入命令 del /f spoclsv.exe 即可將該exe檔案刪除。

7.熊貓燒香病毒還有乙個特徵，會將自己複製到每個盤的根目錄下，因為我的虛擬機器只有乙個c盤，所以只會複製到c盤根目錄下，我們到c盤的目錄檢視檔案，發現並不存在所查檔案，這是因為病毒已經將自身設為隱藏屬性了。利用/ah命令可以顯示隱藏的檔案。

8.其中autorun.inf 和setup.exe即是病毒樣本所產生的檔案，我們需要將它刪除，即利用命令 del /f /ah 即可刪除。

到此，熊貓病毒手動查殺的整個步驟基本完成，手動查殺是最基礎的防毒手段，現在查殺時我們可以結合各種分析軟體，對病毒樣本有更深刻的理解和認識。像我這種小白從最基礎開始是很有必要的（膜拜大佬中）。

病毒分析 二 熊貓燒香病毒的手動查殺