西西河

主题:【求助】有一批exe文件被病毒修改了 -- 青色水

共:💬13 🌺9
全看分页树展 · 主题 跟帖
家园 不用汇编

一般来说病毒会把exe开头的文件头拷贝,然后修改文件头中的一些参数。弱智的病毒一般是把整个文件头拷贝的。PE文件头大小一般是1k。你看看最后8k是否有文件头的标志?就是MZ大头,过一些地方出现PE两个字符的。如果是,只要想办法知道病毒究竟拷贝了多长的文件头就可以了。然后嘛,用C语言直接文件操作即可。

我们以前用这个方法在DOS下做过一样的事情,只是DOS的病毒一般存储512字节文件头。我们生成一个MZ开头的文本文件,后缀改为.exe,然后在染毒的机器上运行,于是病毒把这个文件感染。然后就可以根据文本文件的内容判断病毒拷贝的文件头长度和位置了。

全看分页树展 · 主题 跟帖


有趣有益,互惠互利;开阔视野,博采众长。
虚拟的网络,真实的人。天南地北客,相逢皆朋友

Copyright © cchere 西西河