-
-
帮忙看看--脱病毒
-
发表于:
2004-8-13 23:19
4311
-
是病毒文件,在exe上添加一个新节
[有条件的试,不然可能会染毒]
---------------------------------------
今天遇到一个病毒文件
考虑到病毒和加壳差不多
所以想脱病毒
还我原来的exe文件
用EXESCOPE载入发现病毒文件多增加了一个节是.任意三个字母和一个方框
是什么病毒??有无专杀??
OD载入到这里:
004D5000 > 68 B5721500 PUSH 1572B5
004D5005 58 POP EAX
004D5006 BE 1E504D00 MOV ESI,bcb6kg.004D501E
004D500B 68 C4060000 PUSH 6C4
004D5010 5A POP EDX
004D5011 FF3432 PUSH DWORD PTR DS:[EDX+ESI]
004D5014 310424 XOR DWORD PTR SS:[ESP],EAX
004D5017 8F0432 POP DWORD PTR DS:[EDX+ESI]
004D501A 83EA 04 SUB EDX,4
004D501D ^75 F2 JNZ SHORT bcb6kg.004D5011
f4下去
004D501F 90 NOP
004D5020 90 NOP
004D5021 90 NOP
004D5022 E8 7D010000 CALL bcb6kg.004D51A4<<<<F7跟进去
来到了病毒的位置了
004D51A4 55 PUSH EBP
004D51A5 8BEC MOV EBP,ESP
004D51A7 81C4 B4FEFFFF ADD ESP,-14C
一路F8下去
到这里
004D525D 8BE5 MOV ESP,EBP
004D525F 5D POP EBP
004D5260 C3 RETN<<<<<<<<<<返回真正程序的地址
然后修复IAT
发现有两个地址不可以修复:(
怎么办?
如何修复??
附件:bingdu2.rar
[注意]APP应用上架合规检测服务,协助应用顺利上架!