| die_hard2.4000病毒查杀方法 一直认为查毒容易,杀毒难,因为查毒只要用特征扫描就行,但杀毒要恢复文件的原来参数,有点难哦 通常要杀毒,必须要搞懂病毒的工作原理,所以你要懂汇编,懂跟踪,不过近来我发现一个好方法,呵 呵,不用懂汇编了就可以杀毒了,原理如下: die_hard病毒用了很多加密手法,所以要跟踪它是困难的,后来我想了个其它的办法,我想 既然病毒要执行原来的文件代码,所以必须要对原来的文件代码保存一个副本,所以我就在 被感染的文件中找原文件的头部代码,但我居然没有找到,所以我就想有可能他加了密,但 是加密的方法很多种,它用什么方法加密呢,后来我分析了一下,发现病毒本身并不有加密, 只是在备份的文件参数中加了密,经过观察对比,我终于发现了规律,原来他把文件参数 取反了,也就是用not指令实现了加密,并而病毒本身长度只有4000,不会变化,同时原文件 的长度也作了保存,但是当病毒在内存中时,还有一个方法杀毒就是用copy命令,例如用 copy me.com me.dat,哪么me.dat中就不会有病毒了,而如果内存有病毒时首先要将内存中的 病毒杀掉,病毒修改了dos系统的21h中断跳转口,注意不是中断向量,是另一个地方的入口 所以用查中断的方法是查不到的,你先要切断它的联系统口,病毒本身在系统内存高端申请了 一块合法的内存,属性为8,就是系统数据,很有迷?性 下面是一些数据: 存贮18h大小的文件头 =============================== 这是对旧文件头的加密后的结构,加密方法为NOT即取反 B2 A5 A7 FF FD FF FE FF DF FF-FE FF 00 00 FD FF C7 FF FF FF FF FF FF FF 这是感染后的EXE文件头 4D 5A-F8 01 09 00 01 00 20 00 7A 03 FF FF 06 00 08 14-00 00 08 00 05 00 这是感染前的EXE文件头 4D 5A 58 00 02 00 01 00-20 00 01 00 FF FF 02 00 38 00 00 00 00 00 00 00-22 00 00 00 01 00 FB 20 ===================================== 查找如下字符串,总共10h字节长,若找到则是die_hard2.4000病毒 AA 81 FF 48 1C 75 EC CB A2 20 49 0E 00 00 D1 A5 在该串未尾跳后4个字节是加密的EXE文件头或COM起始内容,共18h 字节,跳过的4个字节是文件大小的参数 |
|小黑屋|最新主题|手机版|微赢网络技术论坛
( 苏ICP备08020429号 )
GMT+8, 2024-10-1 07:43 , Processed in 0.125555 second(s), 12 queries , Gzip On, MemCache On.
Powered by Discuz! X3.5
© 2001-2023 Discuz! Team.
