能力值:
( LV2,RANK:10 )
|
-
-
2 楼
这个分析它干什么,找入口点改回去就行了,
叫这名字的病毒太多了/
|
能力值:
( LV4,RANK:50 )
|
-
-
3 楼
名字不知道 我在网上查的,我觉得里面对输入表的修改蛮好的!
|
能力值:
( LV12,RANK:330 )
|
-
-
4 楼
这个 只该 入口点是没用的
它还修改了 导入表 的2个API 要把 导入表还原的
比较幸运的是 没有破坏THUNK_DATA 所以恢复导入表还是有办法的
|
能力值:
( LV4,RANK:50 )
|
-
-
5 楼
原文件是可以恢复的,但是我想写个工具,不过病毒感染文件的标志不知道,所以不能自动识别!
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
比我想象的麻烦,
写工具用特征码识别不会困难吧,关键是修复了,改了引入表我觉得难了许多
|
能力值:
( LV4,RANK:50 )
|
-
-
7 楼
我想知道病毒是如何知道PE文件是否感染了,感染标志是什么。输入表信息都保存在病毒增加的节中,所以好恢复!
|
能力值:
( LV5,RANK:60 )
|
-
-
8 楼
个人感觉:判断是否被病毒感染的方法是:病毒添加了一个节,这个节在执行程序中的位置是相对固定的(从后向前相对固定,一般是最后一个),而病毒体代码应该也是相对固定的(解密代码),因此读取文件的相应节中相应数据就可以判断是不是病毒感染过的文件了
清除病毒的方法:不清除,直接将OEP改回原来的就可以了,病毒存放原来OEP的位置应该是固定的,采用的解密算法是固定的,密钥是固定的,套用病毒的解密算法解密OEP的数据,然后直接修改PE文件头,就可以解决问题了
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
如果我没记错的话
第一条 mov ecx, 0D25718
0D25718就是解密的KEY。且这KEY是不固定的。
然后感染后的文件结尾都是都是以这KEY填充。
所以当时我提出的检测方法是 获取KEY 然后取文件末的DWORD 比较[排除全0]。
然后用这KEY去解密病毒代码 地址可以跟出来 它貌似是从病毒数据中间往前解密。
然后 原文件的PE信息会在解密后的数据里找到 覆盖回去就OK了。
变种a和变种b就是病毒代码开始加里几个nop。
修复导入表的话只需要一点代码就行了。
|
能力值:
( LV4,RANK:50 )
|
-
-
10 楼
是的 病毒的key是随机的,而且增加的节的节名也是随机的,上楼的方法可以试试!
|
能力值:
( LV7,RANK:100 )
|
-
-
11 楼
我前段时间在朋友机子上发现了此病毒,当时简单跟了下,后来干脆拷回来自己慢慢 分析,楼主分析的数据在之前我都差不多分析了,我还跟了下他生成的dll 文件,在这个模块里,发现了SEH处理安装子程序,还有两段比较的指令,不知是用来干嘛的,都跟了我好几天了,后来玩火烧身,整个机子的软件差不多都感染了~
楼主这么久了不知跟出来没有啊有兴趣不?
QQ 240129745
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
经过病毒洗礼,我机器上罪脆弱的莫过于exe格式的电子书了·~~
病毒感染后会改变文件的修改时间,但是挺明显的~
|
能力值:
( LV6,RANK:80 )
|
-
-
13 楼
进来学习了,
想学一下如何恢复啊
|
能力值:
( LV4,RANK:50 )
|
-
-
14 楼
不知道 谁有这个病毒 啊 我留的一不小心被杀毒软件杀了,郁闷啊 想再研究下
|
能力值:
( LV9,RANK:170 )
|
-
-
15 楼
这个感染病毒把我的很多收集exe格式封装电子书破坏打不开了,很可恶!
|
|
|
|
