|
| Worm.Win32.Delf.bg专杀工具(exe文件修复) |
| 作者 网络vs浪子 查看 2427 发表时间 2007/2/28 16:22 【论坛浏览】 |
|
ekxjyjsva BY:农夫山泉有点甜ekxjyjsva 这次我的动作慢了太多,不过唯一让我欣慰的是,官方的解决方式都是只把节表和入口点等参数修改了一下,病毒数据还是没有去掉,但是因为结表改了,所以这块数据虽然存在,但是不会起作用,有兴趣的朋友可以深入研究一下.我个人并不赞同这种处理方式,我所希望的是应该把文件处理的就像没有感染过一样.为了达到这个目标,我花了近2周来设计了一个CPEFile类.ekxjyjsva 由于这个蠕虫采用了比较经典的感染方式(详见我前面写过的一篇分析),引擎以及处理方式,病毒库数据结构都要重新设计,这也花了不少时间,让各位朋友久等了.ekxjyjsva 因为这个病毒的原因,病毒感染会通过节表获得偏移量,然后添加一个结,这样的话某些文件尾部有附加数据的exe感染后,附加数据就会被病毒添加的节覆盖,我所遇到过的SReng就是这样,这样即使把毒杀掉,附加数据也无法找回来,SReng的数字校验还是会提示校验错误.这个不是专杀杀坏的原因,需要和大伙交待一下.ekxjyjsva ekxjyjsva 目前已知BUG:ekxjyjsva 1. 扫描某些加壳文件会出错(提示:"对一个未命名文件进行查找"或者"C++ runtime Error"). [已修复]ekxjyjsva 2. 查杀16位的DOS可执行文件会出错,这类文件没有PE头. [已修复]ekxjyjsva 2. 据网友反映存在狂吃内存问题. [修复情况未知]ekxjyjsva ekxjyjsva 晚上又加班分析了一下出错原因,并且找到了一个文件可以让错误重现,网友反映最多的是一个挂QQ软件:NoOpenQQ23.exe导致的出错,初步用工具分析了这个文件,发现他的加壳方式极为奇怪,甚至连节表都是伪造的,结表中给出的几个节的物理大小甚至达到了几个G,这样专杀在分析PE内容的时候如果要按照这个数据来分配内存肯定会出错的,这个壳需要深入研究一下,另一方面也说明我的那个CPEFile类还不够健壮,异常处理还把握的不够好.ekxjyjsva ekxjyjsva 改进:ekxjyjsva 1. 添加局部查杀功能,可以自行设定一个文件夹进行扫描.ekxjyjsva ekxjyjsva ekxjyjsva ekxjyjsva 附件: ekxjyjsva Worm.Win32.Delf.bg专杀.rarekxjyjsva 2007/3/1 03:06, 454.02 KB, 下载次数: 96ekxjyjsva ekxjyjsva ekxjyjsva 图片附件: 1.jpgekxjyjsva 2007/3/1 03:09, 43.01 KB, 下载次数: 2ekxjyjsva  ekxjyjsvaekxjyjsva |
| 序号 | 评论者 | 共有评论 8 【论坛浏览】 【发表评论】 | 评论时间 | |||
| 1 | fengyungzs | 谢谢分享 支持原创,谢谢分享 |
2007/3/4 16:02 | |||
| 2 | depressedboy | 和http://hi.baidu.com/teyqiu/blog/ ... ed51003af3cfb9.html一样 | 2007/3/4 16:19 | |||
| 3 | 网络vs浪子 |
呵呵,看好,这不是原创,BY:农夫山泉有点甜 原创的在这:http://hi.baidu.com/walker05/blog/item/27ca2cb33f01a7a7d9335aa5.html 楼上那个也是转帖! |
2007/3/4 16:23 | |||
| 4 | tfnyga | 这个专杀可以修复被感染的EXE文件吗,试下看 | 2007/3/6 09:24 | |||
| 5 | lizhenxing | 好东西啊 | 2008/5/14 14:29 | |||
| 6 | jklasdfa | 感谢楼主~~~~~~~~正在下载 | 2008/6/10 10:33 | |||
| 7 | nezv | 确实是我需要的,感谢感谢!!! | 2008/6/18 15:44 | |||
| 8 | hongkutou | zei |
2008/11/18 13:11 | |||
共有评论数 8 每页显示 10
|
||||||
