使用Process Monitor对病毒进行行为分析

使用火绒剑/Procss Moniter对病毒进行行为分析。
Process Monitor是一个经典的进程行为分析软件，火绒剑作为火绒的一个工具，专门作为病毒行为分析的工具，非常好用，本文以熊猫烧香为例进行行为分析。

实验环境及工具

win7 x86
Process Monitor(因为火绒剑在病毒运行后打不开窗口)

行为分析

第一步：运行“”熊猫烧香，并进行监控
使用过滤器，对PID 2724进行过滤。

之后监控到的就全是病毒进程的行为了。

查看进程树，在进程树中可以发现，“熊猫烧香.exe”衍生出了spoclsv.exe。衍生出的进程又打开了两次“cmd.exe”。第一次运行的命令是:

cmd.exe /c net share C$ /del /y

它的意思是在命令行模式下删除C盘的网络共享，执行完后关闭cmd.exe。因为我的系统只有一个C盘，因此有理由相信，这个病毒应该是会关闭系统中所有的盘的网络共享。第二次运行的命令是：

cmd.exe /c net share admin$ /del /y

这里取消的是系统根目录的共享。那么由此就可以总结出病毒的两点行为：

病毒行为1：病毒本身创建了名为“spoclsv.exe”的进程，该进程文件的路径为：

C:\WINDOWS\system32\drivers\spoclsv.exe

病毒行为2：在命令行模式下使用net share命令来取消系统中的共享。

第二步：对熊猫烧香.exe文件监控分析
点击菜单栏上对应的按钮
文件的监控，主要看的是病毒是否将自己复制到其他目录，或者创建删除了哪些文件等

病毒文件在“C:WINDOWSsystem32drivers”中创建了“spoclsv.exe”这个文件，在C盘根目录下创建了“setup.exe”与“autorun.inf”，并且在一些目录中创建了“Desktop_.ini”这个文件。由于创建这些文件之后就对注册表的SHOWALL项进行了设置，使得隐藏文件无法显示，那么有理由相信，所创建出来的这些文件的属性都是“隐藏”的，于是有：

病毒行为：将自身拷贝到根目录，并命名为setup.exe，同时创建autorun.inf用于病毒的启动，这两个文件的属性都是“隐藏”。

病毒行为：在一些目录中创建名为Desktop_.ini的隐藏文件。

第三步：注册表分析
点击菜单栏上对应的按钮
**病毒行为：**在不停地检测键值Run，在注册表HKCU\Software\Microsoft\Windows\CurrentVersion\Run中创建svcshare，用于在开机时启动位于“C:\WINDOWS\system32\drivers\spoclsv.exe”的病毒程序。

查看一下RegDeleteValue这个操作，可见病毒程序将当时几乎所有的安全类工具的自启动项给删除了，就有：
**病毒行为：**删除安全类软件在注册表中的启动项。

对注册表的这个位置进行设置，能够实现文件的隐藏。此处进行设置后，即便在“文件夹选项”中选择“显示所有文件和文件夹”，也无法显示隐藏文件，则有：

病毒行为：修改注册表，使得隐藏文件无法通过普通的设置进行显示，该位置为：

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL

第四步：检测网络行为
点击菜单栏上对应的按钮
没发现有网络行为。

第四步：检测进程行为
点击菜单栏上对应的按钮
没啥好看的