wdfmgr.exe对pe结构修改分析: 1.节数加1 2.修改入口点为病毒新加节的入口 3.修改镜像大小为原大小加新加节大小 4.在节表末添加新节头信息 5.在文件尾部加入新节数据 新节数据头部保存的为imagebase信息、入口点、api字串信息 接下来才是病毒文件的开始部分 在病毒文件结束之后还有有一段数据,我猜测应该是分离病毒体到系统目录执行的! 第一次发帖希望能和大家交流!
[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!
