[求助]只感染的运行中的EXE文件病毒样本。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

最新回复 (8)
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 2 楼 1. 进程枚举枚举当前进程，进而得到EXE所在目录，如果进程目录下存在同名不带扩展名的文件（校验下，必须是PE文件），则删除EXE，恢复原有文件为正常属性并加上.EXE。 2. 全盘扫描逻辑同第1步。 3. 前提是你要结束掉病毒母体进程，否则会再次感染；而且不能保证能清理干净，因为母体可能会带来其他病毒。 2012-8-21 09:12 0
keikey 雪币： 222 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	keikey 3 楼楼主是希望恢复被感染的文件吧，而不是楼上说的清除病毒。 2012-9-16 20:21 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 4 楼呵呵，此感染非彼感染。我曾经处理过楼主所说的病毒，楼主也有描述到并不是PE感染，而是替换隐藏。 2012-9-16 20:38 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 5 楼呵呵，这个是PE感染的吧，删除了隐藏的那个，被感染的那个主程序一样可以正常运行的。 2012-9-22 22:59 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 6 楼没下载例子,看描述通常是把原程序附加到末尾,如果没有加密还是比较简单的,一般不会加密 2012-9-23 07:09 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 7 楼替换运行的pe文件……汗~ 2012-9-23 18:37 0
azilljy 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 32 粉丝 0 关注私信	azilljy 8 楼在Windows 2000或Wndows XP系统下，我们可以对正在运行的EXE文件进行重命名或者移动。 2012-9-24 19:12 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 9 楼嗯，我的是XP系统。这个毒加强壳了，不会脱啊。 2012-10-7 06:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (8)
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 2 楼 1. 进程枚举枚举当前进程，进而得到EXE所在目录，如果进程目录下存在同名不带扩展名的文件（校验下，必须是PE文件），则删除EXE，恢复原有文件为正常属性并加上.EXE。 2. 全盘扫描逻辑同第1步。 3. 前提是你要结束掉病毒母体进程，否则会再次感染；而且不能保证能清理干净，因为母体可能会带来其他病毒。 2012-8-21 09:12 0
keikey 雪币： 222 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	keikey 3 楼楼主是希望恢复被感染的文件吧，而不是楼上说的清除病毒。 2012-9-16 20:21 0
代码疯子雪币： 270 活跃值： (97) 能力值： ( LV8，RANK：140 ) 在线值：发帖 22 回帖 423 粉丝 1 关注私信	代码疯子 3 4 楼呵呵，此感染非彼感染。我曾经处理过楼主所说的病毒，楼主也有描述到并不是PE感染，而是替换隐藏。 2012-9-16 20:38 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 5 楼呵呵，这个是PE感染的吧，删除了隐藏的那个，被感染的那个主程序一样可以正常运行的。 2012-9-22 22:59 0
kangcin 雪币： 602 活跃值： (45) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 482 粉丝 0 关注私信	kangcin 6 楼没下载例子,看描述通常是把原程序附加到末尾,如果没有加密还是比较简单的,一般不会加密 2012-9-23 07:09 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 7 楼替换运行的pe文件……汗~ 2012-9-23 18:37 0
azilljy 雪币： 20 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 32 粉丝 0 关注私信	azilljy 8 楼在Windows 2000或Wndows XP系统下，我们可以对正在运行的EXE文件进行重命名或者移动。 2012-9-24 19:12 0
cnnets 雪币： 458 活跃值： (36) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 251 粉丝 0 关注私信	cnnets 9 楼嗯，我的是XP系统。这个毒加强壳了，不会脱啊。 2012-10-7 06:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复