重大灾难[病毒]：求助！求救！求解！[附APLIB 0.42感染前后]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

重大灾难[病毒]：求助！求救！求解！[附APLIB 0.42感染前后]

发表于: 2005-11-16 18:28 16830

重大灾难[病毒]：求助！求救！求解！[附APLIB 0.42感染前后]

Aming

2005-11-16 18:28

16830

查看主题内容

收藏・0

免费・0

支持

最新回复 (62) ◀ 1 2 3 ▶
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 26 楼请下载恢复程序:附件:xfilerev.zip 试试吧.我拿你的文件测试是OK的. 2005-11-17 12:10 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 27 楼最初由 heXer 发布 Aming还是自己写程序吧用最大明文文件 xor 最大密文文件得到最大密码表用最大密码表 xor 其他密文文件就解码了此病毒好像是专门针对你的，别人下次换个算法，你就难弄了俺们想到一起了.呵呵.就是这样弄的. 2005-11-17 12:11 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 28 楼这是什么病毒? 2005-11-17 12:18 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 29 楼 to peaceclub：顺便直接把程序写完整吧加上选取参考文件，提取密码表功能 2005-11-17 12:18 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 30 楼一不小心插了个队 2005-11-17 12:20 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 31 楼最初由 heXer 发布 to peaceclub：顺便直接把程序写完整吧加上选取参考文件，提取密码表功能知道了原理,用我这个程序就方便了啊. goldsun.dat就是密码表. 所以选择最大的被加密文件,把最大的未加密文件改为goldsun.dat,然后修复就会得到密码表了.把这个密码表再改为goldsun.dat,…… 2005-11-17 12:23 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 32 楼最初由 heXer 发布我有个初步解决办法，晚上qq等我顶～老大就是牛，呵呵！我怀疑是Aming的对手"老王"（不是EPE的老王，而是NC的老王）等下流人士干的，这下找到证据送他们去监狱是应该的，因为他们违反了公平竞争原则，也触犯了法律。 2005-11-17 12:38 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 33 楼最初由 peaceclub 发布 Aming:事情没你想象得那么复杂,文件大小没变的情况下,我首先想到的是xor,而且经过分析就是xor,只不过xor的时候,不是用单一的key,而是一组key循环而已.所以,就能够修复的. 我也这样想。不过其他方法也可以保持文件大小不变的，比如采用后处理用垃圾填补文件长度的办法。建议所有玩程序的人：下次要注意了，每次修改完程序，都要在关机前确认无误后（检查是否正确的代码）搞个U盘备份程序。并且在硬盘备份的压缩档案不要使用默认扩展名比如rar、zip的，自己随便改个扩展名。 2005-11-17 12:41 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 34 楼问题解决了吗？楼主出来说一下吧，大家都关注着呢。 2005-11-17 13:16 0
完美雪币： 208 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 186 粉丝 0 关注私信	完美 1 35 楼这个游戏很好玩~~~我喜欢 2005-11-17 13:27 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 36 楼最初由 heXer 发布 Aming还是自己写程序吧用最大明文文件 xor 最大密文文件得到最大密码表用最大密码表 xor 其他密文文件就解码了此病毒好像是专门针对你的，别人下次换个算法，你就难弄了应该不是针对我的，我根本没破什么软件，也没跟踪什么软件。最大密码表提取不了，被感染的文件最大的RAR是30多M，绝大部分文件没有感染前的备份。 2005-11-17 15:02 0
CoDe_Inject 雪币： 229 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	CoDe_Inject 37 楼建个40m的让感染一下,再提取 2005-11-17 15:31 0
云风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	云风 38 楼我们也跟着学习了一回。 2005-11-17 15:44 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 39 楼我先创建一个100M全空格内容的文件备用 2005-11-17 15:58 0
完美雪币： 208 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 186 粉丝 0 关注私信	完美 1 40 楼大家都玩的挺高兴的啊！这个游戏是对抗大赛 hexer 那个2000系统在那下载 2005-11-17 16:02 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 41 楼楼上的，我没下载过操作系统，都是借别人的光盘装一次，以后就ghost,很多年也没装过系统了 2005-11-17 17:17 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 42 楼据查，是李登灰干的。而李登灰招供说是NCC的老王委托的。老王为了逃避110的追捕，已经畏罪服毒自杀。。。本案终结。 2005-11-18 17:03 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 43 楼最初由 prince 发布问题解决了吗？楼主出来说一下吧，大家都关注着呢。 [IMG] 感谢各位兄弟和朋友的支持和帮助，基本上所有的.bas,.cpp,.h,.asm,.txt,.frm都能理论上恢复了，我弄了个21M的密码表。不过还没找到密码表的生成规律，对大于21M的RAR文件还没有头绪。自己写了个全盘搜索批量恢复的。 2005-11-18 21:03 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 44 楼这帮哥们厉害阿，没有样本，都分析的这么透彻阿 2005-11-19 12:07 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 45 楼不知道哪位朋友有 Black_Heaf_ToolBox_1.0.rar 我记得是在这个论坛下的，大小为48107465 能找到的我，密码表就提高到47M了。 2005-11-19 16:15 0
email123 雪币： 14209 活跃值： (3820) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 225 粉丝 1 关注私信	email123 46 楼最初由 Aming 发布不知道哪位朋友有 Black_Heaf_ToolBox_1.0.rar 我记得是在这个论坛下的，大小为48107465 能找到的我，密码表就提高到47M了。我有! 2005-11-19 16:41 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 47 楼最初由 email123 发布我有! 感谢！请给我个地址或QQ：xxxxxxx加我。 2005-11-19 16:46 0
email123 雪币： 14209 活跃值： (3820) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 225 粉丝 1 关注私信	email123 48 楼最初由 Aming 发布感谢！请给我个地址或QQ：479791加我。文件在我电脑里,教育网络有问题,没法加你qq:84001711,你加我吧,或给个ftp我传上去! 2005-11-19 16:58 0
老伙计雪币： 817 活跃值： (2073) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 49 楼本人昨天也不幸中招了，昨晚没有关机，今天上午发现同一个逻辑盘上所有的RAR文件已经全部被破坏，症状同楼主所述情况完全相同，现束手无策，请楼主或各位老大一定帮忙啊！ 2005-12-16 18:12 0
china 雪币： 3519 活跃值： (4047) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 50 楼赶快提取样本，提供给国家安全局吧。 2005-12-16 21:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Aming

发帖

117

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (62) ◀ 1 2 3 ▶
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 26 楼请下载恢复程序:附件:xfilerev.zip 试试吧.我拿你的文件测试是OK的. 2005-11-17 12:10 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 27 楼最初由 heXer 发布 Aming还是自己写程序吧用最大明文文件 xor 最大密文文件得到最大密码表用最大密码表 xor 其他密文文件就解码了此病毒好像是专门针对你的，别人下次换个算法，你就难弄了俺们想到一起了.呵呵.就是这样弄的. 2005-11-17 12:11 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 28 楼这是什么病毒? 2005-11-17 12:18 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 29 楼 to peaceclub：顺便直接把程序写完整吧加上选取参考文件，提取密码表功能 2005-11-17 12:18 0
simonzh2000 雪币： 398 活跃值： (1078) 能力值： ( LV9，RANK：970 ) 在线值：发帖 36 回帖 466 粉丝 6 关注私信	simonzh2000 24 30 楼一不小心插了个队 2005-11-17 12:20 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 31 楼最初由 heXer 发布 to peaceclub：顺便直接把程序写完整吧加上选取参考文件，提取密码表功能知道了原理,用我这个程序就方便了啊. goldsun.dat就是密码表. 所以选择最大的被加密文件,把最大的未加密文件改为goldsun.dat,然后修复就会得到密码表了.把这个密码表再改为goldsun.dat,…… 2005-11-17 12:23 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 32 楼最初由 heXer 发布我有个初步解决办法，晚上qq等我顶～老大就是牛，呵呵！我怀疑是Aming的对手"老王"（不是EPE的老王，而是NC的老王）等下流人士干的，这下找到证据送他们去监狱是应该的，因为他们违反了公平竞争原则，也触犯了法律。 2005-11-17 12:38 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 33 楼最初由 peaceclub 发布 Aming:事情没你想象得那么复杂,文件大小没变的情况下,我首先想到的是xor,而且经过分析就是xor,只不过xor的时候,不是用单一的key,而是一组key循环而已.所以,就能够修复的. 我也这样想。不过其他方法也可以保持文件大小不变的，比如采用后处理用垃圾填补文件长度的办法。建议所有玩程序的人：下次要注意了，每次修改完程序，都要在关机前确认无误后（检查是否正确的代码）搞个U盘备份程序。并且在硬盘备份的压缩档案不要使用默认扩展名比如rar、zip的，自己随便改个扩展名。 2005-11-17 12:41 0
prince 雪币： 603 活跃值： (617) 能力值： ( LV12，RANK：660 ) 在线值：发帖 51 回帖 1874 粉丝 8 关注私信	prince 16 34 楼问题解决了吗？楼主出来说一下吧，大家都关注着呢。 2005-11-17 13:16 0
完美雪币： 208 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 186 粉丝 0 关注私信	完美 1 35 楼这个游戏很好玩~~~我喜欢 2005-11-17 13:27 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 36 楼最初由 heXer 发布 Aming还是自己写程序吧用最大明文文件 xor 最大密文文件得到最大密码表用最大密码表 xor 其他密文文件就解码了此病毒好像是专门针对你的，别人下次换个算法，你就难弄了应该不是针对我的，我根本没破什么软件，也没跟踪什么软件。最大密码表提取不了，被感染的文件最大的RAR是30多M，绝大部分文件没有感染前的备份。 2005-11-17 15:02 0
CoDe_Inject 雪币： 229 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 32 粉丝 0 关注私信	CoDe_Inject 37 楼建个40m的让感染一下,再提取 2005-11-17 15:31 0
云风雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	云风 38 楼我们也跟着学习了一回。 2005-11-17 15:44 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 39 楼我先创建一个100M全空格内容的文件备用 2005-11-17 15:58 0
完美雪币： 208 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 18 回帖 186 粉丝 0 关注私信	完美 1 40 楼大家都玩的挺高兴的啊！这个游戏是对抗大赛 hexer 那个2000系统在那下载 2005-11-17 16:02 0
heXer 雪币： 254 活跃值： (126) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 802 粉丝 2 关注私信	heXer 3 41 楼楼上的，我没下载过操作系统，都是借别人的光盘装一次，以后就ghost,很多年也没装过系统了 2005-11-17 17:17 0
veryman 雪币： 198 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 292 粉丝 2 关注私信	veryman 42 楼据查，是李登灰干的。而李登灰招供说是NCC的老王委托的。老王为了逃避110的追捕，已经畏罪服毒自杀。。。本案终结。 2005-11-18 17:03 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 43 楼最初由 prince 发布问题解决了吗？楼主出来说一下吧，大家都关注着呢。 [IMG] 感谢各位兄弟和朋友的支持和帮助，基本上所有的.bas,.cpp,.h,.asm,.txt,.frm都能理论上恢复了，我弄了个21M的密码表。不过还没找到密码表的生成规律，对大于21M的RAR文件还没有头绪。自己写了个全盘搜索批量恢复的。 2005-11-18 21:03 0
linestyle 雪币： 217 活跃值： (15) 能力值： ( LV3，RANK：20 ) 在线值：发帖 8 回帖 252 粉丝 0 关注私信	linestyle 44 楼这帮哥们厉害阿，没有样本，都分析的这么透彻阿 2005-11-19 12:07 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 45 楼不知道哪位朋友有 Black_Heaf_ToolBox_1.0.rar 我记得是在这个论坛下的，大小为48107465 能找到的我，密码表就提高到47M了。 2005-11-19 16:15 0
email123 雪币： 14209 活跃值： (3820) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 225 粉丝 1 关注私信	email123 46 楼最初由 Aming 发布不知道哪位朋友有 Black_Heaf_ToolBox_1.0.rar 我记得是在这个论坛下的，大小为48107465 能找到的我，密码表就提高到47M了。我有! 2005-11-19 16:41 0
Aming 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 2 关注私信	Aming 47 楼最初由 email123 发布我有! 感谢！请给我个地址或QQ：xxxxxxx加我。 2005-11-19 16:46 0
email123 雪币： 14209 活跃值： (3820) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 225 粉丝 1 关注私信	email123 48 楼最初由 Aming 发布感谢！请给我个地址或QQ：479791加我。文件在我电脑里,教育网络有问题,没法加你qq:84001711,你加我吧,或给个ftp我传上去! 2005-11-19 16:58 0
老伙计雪币： 817 活跃值： (2073) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 605 粉丝 11 关注私信	老伙计 49 楼本人昨天也不幸中招了，昨晚没有关机，今天上午发现同一个逻辑盘上所有的RAR文件已经全部被破坏，症状同楼主所述情况完全相同，现束手无策，请楼主或各位老大一定帮忙啊！ 2005-12-16 18:12 0
china 雪币： 3519 活跃值： (4047) 能力值： (RANK：215 ) 在线值：发帖 72 回帖 1983 粉丝 9 关注私信	china 5 50 楼赶快提取样本，提供给国家安全局吧。 2005-12-16 21:21 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复