首页
社区
课程
招聘
帮忙看看--脱病毒
发表于: 2004-8-13 23:19 4313

帮忙看看--脱病毒

2004-8-13 23:19
4313
是病毒文件,在exe上添加一个新节
[有条件的试,不然可能会染毒]
---------------------------------------
今天遇到一个病毒文件
考虑到病毒和加壳差不多
所以想脱病毒
还我原来的exe文件
用EXESCOPE载入发现病毒文件多增加了一个节是.任意三个字母和一个方框
是什么病毒??有无专杀??
OD载入到这里:
004D5000 > 68 B5721500      PUSH 1572B5
004D5005   58               POP EAX
004D5006   BE 1E504D00      MOV ESI,bcb6kg.004D501E
004D500B   68 C4060000      PUSH 6C4
004D5010   5A               POP EDX
004D5011   FF3432           PUSH DWORD PTR DS:[EDX+ESI]
004D5014   310424           XOR DWORD PTR SS:[ESP],EAX
004D5017   8F0432           POP DWORD PTR DS:[EDX+ESI]
004D501A   83EA 04          SUB EDX,4
004D501D  ^75 F2            JNZ SHORT bcb6kg.004D5011
f4下去
004D501F   90               NOP
004D5020   90               NOP
004D5021   90               NOP
004D5022   E8 7D010000      CALL bcb6kg.004D51A4<<<<F7跟进去
来到了病毒的位置了
004D51A4   55               PUSH EBP
004D51A5   8BEC             MOV EBP,ESP
004D51A7   81C4 B4FEFFFF    ADD ESP,-14C
一路F8下去
到这里
004D525D   8BE5             MOV ESP,EBP
004D525F   5D               POP EBP
004D5260   C3               RETN<<<<<<<<<<返回真正程序的地址
然后修复IAT
发现有两个地址不可以修复:(
怎么办?
如何修复??附件:bingdu2.rar

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 1
支持
分享
最新回复 (5)
雪    币: 82
活跃值: (336)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
附件:bindu3.rar
这个也是
2004-8-13 23:20
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
3
修复不了就 Cut,病毒一般不会处理IT
2004-8-13 23:25
0
雪    币: 82
活跃值: (336)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
剪切了
这个不行的
反正在我的机子试过了
不行:(
2004-8-13 23:33
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
5
2004-8-13 23:42
0
雪    币: 82
活跃值: (336)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
谢谢forgot
但我就是想脱它
修复它:D
可以么?
诺顿可以杀的
不过染毒的机子不是我的
是同学的
他的机子装不起诺顿(配置太低)
而且染毒的是一个exe格式的图书
诺顿修复不得
谢谢了
2004-8-13 23:52
0
游客
登录 | 注册 方可回帖
返回
//