【文章标题】: E书工厂 电子书 染毒后的修复原理和工具源码 【文章作者】: 啊CR/FTSTT 【作者主页】: Viper.68ab.com 【下载地址】: 自己搜索下载 -------------------------------------------------------------------------------- 【详细过程】 原理: E书工厂的电子书就是一个带有附加数据的程序文件,程序本身加有aspack的壳。 中毒&杀毒会改变什么呢? 1.文件实际长度,PE病毒要写入自己的代码通常是在文件末尾增加一段数据,杀软并没有完全清除这些数据造成文件的长度和原始文件不同,导致运行错误,电子书无法浏览。 2.校验和,E书工厂 的电子书的校验和是空的,杀软或病毒自作聪明 的填充这个位置,程序引用此值时产生错误,找不到正确的书籍数据,电子书无法浏览。 3.最后区段大小&总大小,这是相关联的一对,病毒加了代码需要再获得虚拟地址所以它修改程序的最后区段大小,自然也修改了总大小(也许是杀软干的,呵呵),程序引用此值时产生错误,找不到正确的书籍数据,电子书无法浏览。 4.最后区段属性,这个是修改3的后遗症。应该不影响阅读的(未测)。 5.OEP,病毒要执行自然要有切入点,通常是OEP,他如果改了这个杀软没有正确恢复,电子书自然不能正常运行了。 修复方案 1.根据电子书的特征串 “ADAEBOOK”判断结尾,去除垃圾数据 2.清空校验和 3.aspack加壳的最后区段的相关值是固定的,直接恢复 4.同3 5.杀软目前做的比较好,暂不考虑。 恢复方法 二十一世纪还要手工恢复吗? 不! 以下为Masm 的源程序,功能是自动完成修复,支持E书工厂的 1.4和1.5两个版本 部分代码有注释希望大家能看懂,附件为编译好的程序。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
看不懂。也支持下。。。好像很牛
