是病毒文件，在exe上添加一个新节
[有条件的试，不然可能会染毒]
---------------------------------------
今天遇到一个病毒文件
考虑到病毒和加壳差不多
所以想脱病毒
还我原来的exe文件
用EXESCOPE载入发现病毒文件多增加了一个节是.任意三个字母和一个方框
是什么病毒？？有无专杀？？
OD载入到这里：
004D5000 > 68 B5721500      PUSH 1572B5
004D5005   58               POP EAX
004D5006   BE 1E504D00      MOV ESI,bcb6kg.004D501E
004D500B   68 C4060000      PUSH 6C4
004D5010   5A               POP EDX
004D5011   FF3432           PUSH DWORD PTR DS:[EDX+ESI]
004D5014   310424           XOR DWORD PTR SS:[ESP],EAX
004D5017   8F0432           POP DWORD PTR DS:[EDX+ESI]
004D501A   83EA 04          SUB EDX,4
004D501D  ^75 F2            JNZ SHORT bcb6kg.004D5011
f4下去
004D501F   90               NOP
004D5020   90               NOP
004D5021   90               NOP
004D5022   E8 7D010000      CALL bcb6kg.004D51A4<<<<F7跟进去
来到了病毒的位置了
004D51A4   55               PUSH EBP
004D51A5   8BEC             MOV EBP,ESP
004D51A7   81C4 B4FEFFFF    ADD ESP,-14C
一路F8下去
到这里
004D525D   8BE5             MOV ESP,EBP
004D525F   5D               POP EBP
004D5260   C3               RETN<<<<<<<<<<返回真正程序的地址
然后修复IAT
发现有两个地址不可以修复:(
怎么办？
如何修复？？附件:bingdu2.rar

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法