[原创]Alman感染型病毒修复工具-安全工具-看雪论坛-安全社区|非营利性质技术交流社区

[原创]Alman感染型病毒修复工具

发表于: 2007-5-6 04:15 21874

[原创]Alman感染型病毒修复工具

peaceclub

2007-5-6 04:15

21874

【原创】Alman感染型病毒修复工具
★更新至1.08版,修复并去除垃圾数据,还原文件.

一个有意思的病毒,感染exe

详情见: http://bbs.pediy.com/showthread.php?t=43902

2007年6月14日:
由于没有新的病毒样本,再加上自己没多少空闲时间,特提供源码,供其它朋友做继续完善参考。代码是鄙人花了几个小时临时测试写成的,很烂,见谅。

[培训]传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！

#[PEtools]

上传的附件：

AlManFix.rar （144.65kb，936次下载）
main.JPG （23.20kb，1146次下载）
AlmanTool_src.rar （354.25kb，704次下载）

收藏・7

免费・0

支持

最新回复 (29) 1 2 ▶
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2 楼试用下，谢谢。有空也帮忙写下这个病毒的PE恢复器： c56K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1x3e0t1@1x3K6c8Q4x3X3b7I4i4K6u0V1x3g2)9J5k6h3S2@1L8h3H3`. 2007-5-6 06:58 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 3 楼楼上的,工具已写好: f7cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1x3e0t1@1z5o6m8Q4x3X3b7I4i4K6u0V1x3g2)9J5k6h3S2@1L8h3H3`. 2007-5-6 13:41 0
damen 雪币： 227 活跃值： (194) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 1 关注私信	damen 4 楼早点放出来多好，我的程序都删了 2007-5-6 15:52 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 5 楼谢谢。不过恢复过程中发现因为我的失误，需要麻烦你修改代码。病毒只加密前0xC000字节。因此部分程序大于0xC000的，后面的反而又加密了，导致程序运行异常。 2007-5-6 16:01 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼修改好了,重新下载吧。 fd0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3j5i4c8@1j5h3y4Z5L8h3g2F1N6q4)9J5k6i4m8Z5M7q4)9K6c8X3q4A6k6q4)9K6c8o6R3I4x3o6M7`. 2007-5-6 16:39 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 7 楼谢谢，已经试验过，这下ok了。 2007-5-6 17:36 0
rickenfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	rickenfly 8 楼修复了大概五十个exe文件打开其中一个出现 iparmor.exe -- 应用程序错误 "0x31d3ff52"指令引用的"0x31d3ff52"内存，该内存不能"read". 2007-5-6 17:49 0
电脑侠客雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	电脑侠客 9 楼多谢提供！中这个病毒的挺多的 2007-5-7 09:04 0
心月雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	心月 10 楼我的好象一个都杀不到的？？ 2007-5-7 12:47 0
我是横刀雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	我是横刀 11 楼非常的好，谢谢楼主分享了。。。。。 2007-5-7 14:03 0
eremiter 雪币： 2 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 64 粉丝 0 关注私信	eremiter 12 楼不知能否修复威金，下载一个试试 2007-5-8 22:42 0
zunfangui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zunfangui 13 楼我有卡吧和NOD32都查到了该工具,但是我用楼主提供的修复工具怎么一个都查不到呀? 2007-5-11 10:04 0
9494 雪币： 152 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 261 粉丝 0 关注私信	9494 14 楼两个都是好工具！我的winrar图标突然变成一个带小磁盘样子的图标，就发现不对劲了，ＮＯＤ扫描后直接就删除了！用楼主的工具，清除得很完美，非常好用，谢谢！ 2007-5-13 23:44 0
9494 雪币： 152 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 261 粉丝 0 关注私信	9494 15 楼今天惊讶的发现，此病毒升级了！并且专门针对alManFix1.08写了杀进程代码，一发现运行即强行关闭！！！看来魔高一丈呀！革命尚未成功，同志仍需努力... 2007-5-29 16:08 0
wenyuki 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wenyuki 16 楼我们全宿舍都用~结果给他修复的EXE，还是用不了~程序错误 2007-5-30 10:25 0
lhivan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lhivan 17 楼还请楼主再更新,我这里又中了新的变种, 查杀修复后,没有一个程序能正常运行的 2007-6-7 16:25 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 18 楼希望出个自定义病毒的PE恢复器 2007-6-8 23:18 0
kaneluck 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kaneluck 19 楼楼主,almand已经变异了,请楼主费心再升级一下修复工具吧,现在许多可执行文件都不能用了,很郁闷啊 2007-6-14 09:39 0
catjoke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	catjoke 20 楼呜... 这里真的要命, 要等 24小时才可以发文... 更要 20篇文章才可以贴附檔.. 我有齐这几天 Alman.b 的变种, 求 LZ 写一个加强版出来.. 那些 exe 很多是很难找回来了. 因为连安装的 exe 也受感染了! 请楼主下载: f0cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1I4z5q4)9J5k6e0t1#2y4g2)9J5k6e0p5@1y4W2)9J5k6e0S2Q4x3@1p5^5x3o6V1H3i4K6u0r3j5h3I4E0j5h3&6W2P5r3g2Q4x3X3g2*7K9i4l9`. 看看这兩三个新变种, 看看可以怎样清理! 2007-6-15 14:55 0
Skyforce 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	Skyforce 21 楼楼主真是高人，多谢分享～！ 2007-6-15 15:14 0
笨笨水妖雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	笨笨水妖 22 楼特意注册了来的，费了好大劲啊我和楼上的一样，安装文件的exe也坏了，我中的alman。b，用lz的工具修复后还是程序错误 2007-6-21 09:39 0
欢乐和谐雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	欢乐和谐 23 楼多谢提供！已经试验过了. 2007-6-22 14:55 0
wxp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wxp 24 楼 LZ 我中的是alman。B 一个都查不出来病毒已经没发作了，但是还有一大堆的exe要恢复啊没用。。。。LZ升级吧。。。。。。。 2007-8-2 00:44 0
cqboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	cqboy 25 楼我也中了Win32:Alman-E AV老是报，只能删除，不过我禁止了exe监控，exe文件还是可以正常运行，怎么办啊。 2007-10-16 20:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

peaceclub

发帖

967

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (29) 1 2 ▶
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 2 楼试用下，谢谢。有空也帮忙写下这个病毒的PE恢复器： c56K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1x3e0t1@1x3K6c8Q4x3X3b7I4i4K6u0V1x3g2)9J5k6h3S2@1L8h3H3`. 2007-5-6 06:58 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 3 楼楼上的,工具已写好: f7cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3N6r3S2J5k6h3q4V1i4K6u0V1x3e0t1@1z5o6m8Q4x3X3b7I4i4K6u0V1x3g2)9J5k6h3S2@1L8h3H3`. 2007-5-6 13:41 0
damen 雪币： 227 活跃值： (194) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 59 粉丝 1 关注私信	damen 4 楼早点放出来多好，我的程序都删了 2007-5-6 15:52 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 5 楼谢谢。不过恢复过程中发现因为我的失误，需要麻烦你修改代码。病毒只加密前0xC000字节。因此部分程序大于0xC000的，后面的反而又加密了，导致程序运行异常。 2007-5-6 16:01 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 6 楼修改好了,重新下载吧。 fd0K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6i4g2F1M7r3q4U0K9#2)9J5k6h3y4F1i4K6u0r3j5i4c8@1j5h3y4Z5L8h3g2F1N6q4)9J5k6i4m8Z5M7q4)9K6c8X3q4A6k6q4)9K6c8o6R3I4x3o6M7`. 2007-5-6 16:39 0
cyto 雪币： 417 活跃值： (475) 能力值： ( LV9，RANK：1250 ) 在线值：发帖 41 回帖 624 粉丝 0 关注私信	cyto 31 7 楼谢谢，已经试验过，这下ok了。 2007-5-6 17:36 0
rickenfly 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 4 粉丝 0 关注私信	rickenfly 8 楼修复了大概五十个exe文件打开其中一个出现 iparmor.exe -- 应用程序错误 "0x31d3ff52"指令引用的"0x31d3ff52"内存，该内存不能"read". 2007-5-6 17:49 0
电脑侠客雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 18 粉丝 0 关注私信	电脑侠客 9 楼多谢提供！中这个病毒的挺多的 2007-5-7 09:04 0
心月雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	心月 10 楼我的好象一个都杀不到的？？ 2007-5-7 12:47 0
我是横刀雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	我是横刀 11 楼非常的好，谢谢楼主分享了。。。。。 2007-5-7 14:03 0
eremiter 雪币： 2 活跃值： (72) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 64 粉丝 0 关注私信	eremiter 12 楼不知能否修复威金，下载一个试试 2007-5-8 22:42 0
zunfangui 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	zunfangui 13 楼我有卡吧和NOD32都查到了该工具,但是我用楼主提供的修复工具怎么一个都查不到呀? 2007-5-11 10:04 0
9494 雪币： 152 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 261 粉丝 0 关注私信	9494 14 楼两个都是好工具！我的winrar图标突然变成一个带小磁盘样子的图标，就发现不对劲了，ＮＯＤ扫描后直接就删除了！用楼主的工具，清除得很完美，非常好用，谢谢！ 2007-5-13 23:44 0
9494 雪币： 152 活跃值： (557) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 261 粉丝 0 关注私信	9494 15 楼今天惊讶的发现，此病毒升级了！并且专门针对alManFix1.08写了杀进程代码，一发现运行即强行关闭！！！看来魔高一丈呀！革命尚未成功，同志仍需努力... 2007-5-29 16:08 0
wenyuki 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	wenyuki 16 楼我们全宿舍都用~结果给他修复的EXE，还是用不了~程序错误 2007-5-30 10:25 0
lhivan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	lhivan 17 楼还请楼主再更新,我这里又中了新的变种, 查杀修复后,没有一个程序能正常运行的 2007-6-7 16:25 0
yyjpcx 雪币： 239 活跃值： (59) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 133 粉丝 1 关注私信	yyjpcx 18 楼希望出个自定义病毒的PE恢复器 2007-6-8 23:18 0
kaneluck 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	kaneluck 19 楼楼主,almand已经变异了,请楼主费心再升级一下修复工具吧,现在许多可执行文件都不能用了,很郁闷啊 2007-6-14 09:39 0
catjoke 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	catjoke 20 楼呜... 这里真的要命, 要等 24小时才可以发文... 更要 20篇文章才可以贴附檔.. 我有齐这几天 Alman.b 的变种, 求 LZ 写一个加强版出来.. 那些 exe 很多是很难找回来了. 因为连安装的 exe 也受感染了! 请楼主下载: f0cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0t1I4z5q4)9J5k6e0t1#2y4g2)9J5k6e0p5@1y4W2)9J5k6e0S2Q4x3@1p5^5x3o6V1H3i4K6u0r3j5h3I4E0j5h3&6W2P5r3g2Q4x3X3g2*7K9i4l9`. 看看这兩三个新变种, 看看可以怎样清理! 2007-6-15 14:55 0
Skyforce 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	Skyforce 21 楼楼主真是高人，多谢分享～！ 2007-6-15 15:14 0
笨笨水妖雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	笨笨水妖 22 楼特意注册了来的，费了好大劲啊我和楼上的一样，安装文件的exe也坏了，我中的alman。b，用lz的工具修复后还是程序错误 2007-6-21 09:39 0
欢乐和谐雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 56 粉丝 0 关注私信	欢乐和谐 23 楼多谢提供！已经试验过了. 2007-6-22 14:55 0
wxp 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	wxp 24 楼 LZ 我中的是alman。B 一个都查不出来病毒已经没发作了，但是还有一大堆的exe要恢复啊没用。。。。LZ升级吧。。。。。。。 2007-8-2 00:44 0
cqboy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	cqboy 25 楼我也中了Win32:Alman-E AV老是报，只能删除，不过我禁止了exe监控，exe文件还是可以正常运行，怎么办啊。 2007-10-16 20:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复