主题:【求助】有一批exe文件被病毒修改了 -- 青色水
共:💬13 🌺9
一般来说病毒会把exe开头的文件头拷贝,然后修改文件头中的一些参数。弱智的病毒一般是把整个文件头拷贝的。PE文件头大小一般是1k。你看看最后8k是否有文件头的标志?就是MZ大头,过一些地方出现PE两个字符的。如果是,只要想办法知道病毒究竟拷贝了多长的文件头就可以了。然后嘛,用C语言直接文件操作即可。
我们以前用这个方法在DOS下做过一样的事情,只是DOS的病毒一般存储512字节文件头。我们生成一个MZ开头的文本文件,后缀改为.exe,然后在染毒的机器上运行,于是病毒把这个文件感染
。然后就可以根据文本文件的内容判断病毒拷贝的文件头长度和位置了。
- 相关回复 上下关系8
🙂简单地砍掉病毒段不行,还要恢复源程序段的跳转语句 2 瓦斯 字335 2011-01-06 01:47:24
🙂老瓦挺内行啊。 股市就是搏傻游 字80 2011-01-06 02:13:45
🙂问题就在于有一段的修改是大片的 青色水 字252 2011-01-06 01:03:14
🙂不用汇编
🙂引蛇出洞 1 小小少年 字138 2011-01-06 09:12:51
🙂这个病毒看起来不太强 类反词典 字125 2011-01-06 16:12:45
🙂我的经验是:得看运气 2 王二狗 字268 2011-01-05 18:17:44
🙂我现在就是不知道用什么杀毒工具可以恢复 青色水 字146 2011-01-06 01:05:18