程序员眼中的“熊猫烧香”

“熊猫烧香”病毒大致分为三部分。 

第一部分为工作区： 
工作区也就是其病毒目的性。其原理和代码非常简单。 

首先是感染.exe文件，这段代码任何初级程序员都可以实现。原理是对系统磁盘做递归搜索，如果发现.exe文件就将其与病毒绑定，在改变其图标。如果发现.gho结尾的文件将其删除。 

接下来的代码稍有点难度，是将源病毒感染到WEB文件，使网页也成为它传播的介质，这也是它大范围传播的主要因素。 

在接下来就是常规病毒工作原理，简单点说就是将自己放入注册表，设为启动项。或在C以外的磁盘和U盘做auto启动。 

然后开启双进程保护功能，以钩子技术对其他进程进行监视，发现游戏之类的进程立刻启动木马功能，将其帐号密码记录并发送到指定信箱。 

第二部分为自我保护功能。 
这是病毒存活的必须手段。 

由于很多用户都没有最新的杀毒软件或者正板软件，还有很多杀毒软件并不知道这病毒是哪个变种。所以导致了病毒把杀毒软件“干”掉了。 

为什么中了毒之后，杀毒软件杀不死呢？那是因为病毒已经与exe文件绑定，杀毒软件无法正确的将病毒与exe分开，所以导致连目标文件一起删除掉了。 

由于很多用户都是中毒之后在安装杀毒软件，但为时以晚。由于病毒已经占据了系统控制权，相当于病毒有了优先权去杀死杀毒软件了。其工作原理有可能是双进程技术。 

双进程技术已经是很老的黑客手段了，也就是说两条进程互相监视。如果其中一条进程被杀死了，另一条发现它消失了就会重新启动它。反过来也一样，但是用户无论如何也不可能同时杀死两条进程。 

第三部分是最主要的部分，传播部分。 
这段代码就是这病毒的厉害所在了，几乎可以传播的途径它都用上了。Exe捆绑传播，U盘传播，感染asp传播，网站传播，弱口令传播，auto传播 等等。 

这病毒传播手段很厉害吗？其实这些传播手段在国外早就流传过，但是并没有传播太久就被消灭绝迹了。原因是他们一直使用的是正版操作系统和正版杀毒软件（正版的好处就是补丁打的快）。加上大部分网站使用的是Linux , 所以该病毒没有什么发挥的余地。用卡巴的人几乎没有中该病毒就是这个原因，因为它早已经有这种类型的病毒库了。 

现在大多谈论的是，“熊猫烧香”作者的编程是在什么水平。那么就以这个病毒来衡量一下。第一个问题是，这个病毒有多少人能写出来。 

首先可以确定这个病毒是Borland Delphi 6.0 - 7.0编写的，加的壳是UPack , FSG2.0 等等。至少这个壳加密不是作者自己写的，所以只谈代码。 

我找了程序员朋友和专业级教师还有大学教授一起探讨过，每个人给我的结果非常一致。实现这个病毒只是时间的问题，如果合作开发的话威力更大。但是他们都有自己的工作，都有自己的职业道德，并不是他们开发不了这个病毒，而是他们根本就没有这方面的想法。 

“害人之心不可有，防人之心不可无”。这句中国古训经过千年的证实，没有人能驳倒它。任何事情都是实践了才知道，如果现在让中国所有程度员都在研究病毒，那么10天之内中国互连网就会全面瘫痪。 

难道显示自己实力只是通过编写病毒吗？这样的话，那些软件公司和游戏开发公司都可以关门了。举个简单的例子，如果熊猫烧香作者是电脑高手，为什么不去开发一款网络游戏呢？要知道10000个熊猫烧香的源代码加一起也不够编写一个小型网络游戏的。 

他要是高手的话，开发一套桌面程度也可以卖上一个好价钱。一套汽车外形制造模拟系统光一次升级费用就是800万。该公司里所有的程序员都是精英中的精英，用的都是月薪过万的高级软件工程师。 

最新的操作系统Vista据说是超过4000名高级程序员用了将近5年时间开发出来的。他要是高手的话，他懂大学里学的计算机基础的多少呢？汇编语言，数据结构，高数，线代，计算机原理，电路逻辑，编译器原理，C，操作系统原理，英语，等等。这些都是程序员必须掌握的东西，是必须掌握的，否则只能当一个中级程序员最多了。 

而编写一个病毒需要什么呢？只需要一种语言和一点操作系统原理就够了。要是让熊猫烧香作者写一个杀毒软件的话，他根本就是无从下手。 

本人机器里没有任何杀毒软件，一样上网一样用电脑。几乎没有中过任何病毒，有可能是因为接触电脑多的缘故，对病毒的传播有了很多的了解。病毒只有亲身研究了才知道，它也不过如此。 

最后总结一下，首先熊猫烧香作者的目的性违法，其病毒难度还没有到达防不胜防的程度。其破坏性非常严重，多少用户电脑不得不全格式化，多少网站服务器不得不重新维护，多少公司不得不重新整理资料，多少网吧不得不停业整理系统。等等，这些严重后果在编写代码的时候就已经可以遇见了，所以不存在“没想到”这个词。因此这个人并没有“值得赞赏的地方。” 

作者：好读者　来源：好读者