能力值:
( LV9,RANK:410 )
|
-
-
2 楼
多谢wumingpeng提供的样本,因为没有pps的环境,没测试lz说的修复是否完美。但思路觉对是很简洁可行的。
我顺便补充点,这个病毒做的是一个EPO方式感染,修改了宿主6个位置,没太细弄,不确定是否是随机位置感染,6个是为了增大病毒获得执行权的概率。
第1处
0040119B /75 05 jnz short 55794952.004011A2
0040119D |E8 30D20300 call 55794952.0043E3D2 -------->调病毒代码
004011A2 \FF7424 04 push dword ptr ss:[esp+4]
004011A6 E8 9C1B0200 call 55794952.00422D47
第2处
00406D58 83C4 18 add esp,18
00406D5B 56 push esi
00406D5C 8BCF mov ecx,edi
00406D5E E8 79760300 call 55794952.0043E3DC -------->调病毒代码
00406D63 8BCF mov ecx,edi
00406D65 E8 DDFEFFFF call 55794952.00406C47
第3处
0040CBF2 8B4424 30 mov eax,dword ptr ss:[esp+30]
0040CBF6 52 push edx
0040CBF7 E8 EA170300 call 55794952.0043E3E6 -------->调病毒代码
0040CBFC 83C4 04 add esp,4
第4处
004128F5 8975 FC mov dword ptr ss:[ebp-4],esi
004128F8 E8 F3BA0200 call 55794952.0043E3F0 -------->调病毒代码
004128FD 85C0 test eax,eax
第5处
004185BF 55 push ebp
004185C0 E8 355E0200 call 55794952.0043E3FA -------->调病毒代码
004185C5 0FB705 3A2B4300 movzx eax,word ptr ds:[432B3A]
004185CC 0FB70D 342B4300 movzx ecx,word ptr ds:[432B34]
第6处
0041E2CF 8BCE mov ecx,esi
0041E2D1 E8 2E010200 call 55794952.0043E404 -------->调病毒代码
0041E2D6 8B06 mov eax,dword ptr ds:[esi]
// 通过那些hook的位置,跳到不同的病毒跳转分支,分别调向宿主的不同位置 ,相当于一个stub
// 但这些分支都调向同一个位置0043E40E
0043E3D2 E8 37000000 call 55794952.0043E40E
0043E3D7 - E9 C3E2FDFF jmp 55794952.0041C69F -- 返回宿主
0043E3DC E8 2D000000 call 55794952.0043E40E
0043E3E1 - E9 D488FCFF jmp 55794952.00406CBA -- 返回宿主
0043E3E6 E8 23000000 call 55794952.0043E40E
0043E3EB - E9 30D2FCFF jmp 55794952.0040B620 -- 返回宿主
0043E3F0 E8 19000000 call 55794952.0043E40E
0043E3F5 - E9 F9ACFDFF jmp 55794952.004190F3 -- 返回宿主
0043E3FA E8 0F000000 call 55794952.0043E40E
0043E3FF - E9 7C9FFDFF jmp 55794952.00418380 -- 返回宿主
0043E404 E8 05000000 call 55794952.0043E40E
0043E409 - E9 FBFCFDFF jmp 55794952.0041E109 -- 返回宿主
// 病毒开始代码
0043E40E 60 pushad --》 把这里改成ret ,即可修复。
0043E40F 66:9C pushfw
0043E411 66:9C pushfw
0043E413 E8 04000000 call 55794952.0043E41C
写修复代码关键是找对修复位置,说个我们的修复方式,
通配匹配 e8 ???????? e9|6 60 66 9c
|6 表示反复6次,
修复60 为c3 即可。
|
能力值:
( LV12,RANK:230 )
|
-
-
3 楼
留着僵尸小心隐患~
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
就修改几个代码啊,病毒数据没除去
|
|
|