-
-
[分享]“中国黑客”病毒染毒文件手工修复
-
发表于: 2019-7-4 09:42
-
老是老了一点,不过没装杀毒的话,中招免不了的。
谈谈手工修复,找到一个被感染的文件,xx.exe,w32dsm,反汇编看入口
push 000CC01D
ret
这就是个跳转啊,不复杂的入口,拿起LordPe,修改入口为:CC01D,保存,咦!不能运行。
快看看节的大小,这里E0137000的物理偏移明显大了,将前一个节起始位置+节的大小
0010A000+2D000,得到正确的应是137000,这就是节的正确起始位置
设置
LordPe,纠正镜像大小打上勾,调整文件大小,顺利恢复,这个exe修复后可以正常运行。
由于我们修改了Pe文件的入口点,病毒代码已经不能执行。
最后于 2019-7-4 10:12
被panti编辑
,原因:
