首页
社区
课程
招聘
[求助]只感染的运行中的EXE文件病毒样本。
发表于: 2012-8-20 21:44 8244

[求助]只感染的运行中的EXE文件病毒样本。

2012-8-20 21:44
8244
今天中了一个病毒,只感染的运行中的EXE文件,并将原主程序去掉.exe并隐藏,自己侧变成主程序。求能清除而不是删除的专杀工具。谢谢。

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (8)
雪    币: 270
活跃值: (97)
能力值: ( LV8,RANK:140 )
在线值:
发帖
回帖
粉丝
2
1. 进程枚举
枚举当前进程,进而得到EXE所在目录,如果进程目录下存在同名不带扩展名的文件(校验下,必须是PE文件),则删除EXE,恢复原有文件为正常属性并加上.EXE。
2. 全盘扫描
逻辑同第1步。
3. 前提是你要结束掉病毒母体进程,否则会再次感染;而且不能保证能清理干净,因为母体可能会带来其他病毒。
2012-8-21 09:12
0
雪    币: 222
活跃值: (42)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
3
楼主是希望恢复被感染的文件吧,而不是楼上说的清除病毒。
2012-9-16 20:21
0
雪    币: 270
活跃值: (97)
能力值: ( LV8,RANK:140 )
在线值:
发帖
回帖
粉丝
4
呵呵,此感染非彼感染。我曾经处理过楼主所说的病毒,楼主也有描述到并不是PE感染,而是替换隐藏。
2012-9-16 20:38
0
雪    币: 458
活跃值: (36)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
呵呵,这个是PE感染的吧,删除了隐藏的那个,被感染的那个主程序一样可以正常运行的。
2012-9-22 22:59
0
雪    币: 602
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
没下载例子,看描述通常是把原程序附加到末尾,如果没有加密还是比较简单的,一般不会加密
2012-9-23 07:09
0
雪    币: 11
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
替换运行的pe文件……汗~
2012-9-23 18:37
0
雪    币: 20
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
在Windows 2000或Wndows XP系统下,我们可以对正在运行的EXE文件进行重命名或者移动。
2012-9-24 19:12
0
雪    币: 458
活跃值: (36)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
嗯,我的是XP系统。这个毒加强壳了,不会脱啊。
2012-10-7 06:39
0
游客
登录 | 注册 方可回帖
返回
//