PE Append感染型病毒的手工修复(图)
>首页 -> 社会专题 -> 硬件网络 [ 录入者:佚名 | 时间:2010-07-08 | 作者: | 来源:colordancer | 浏览:354次 ] 改变字体:【

PE_DOWNEXEC.O是上周刚发现的新的感染型样本,该病毒会感染exe文件,并新加一个节,节名为hhqg,然后病毒会修改exe文件的eip,指向这个新节,执行完毕后重新跳回原来的eip。


下面我们将手工修复被病毒感染的文件。OD载入,我们在text段加上内存访问断点:


然后按F9,执行到以下位置:


因此断定004012A0这个位置为eip。下面我们来看看这个新节做了什么事情。OD重新载入,单步到以下位置,发现一个函数:


F7进入,继续单步,发现函数:


F7进入,单步:


F7进入,单步:


F7进入,单步:



好,到这里我们发现了关键代码,新节里调用了Loadlibrary和GetProcAddress,先后获得了WinExeC和URLDownloadToCacheFileA函数,我们查看栈里面有什么内容:



好,这里就真相大白了,新节的目的就是从网上下载一个exe文件,然后调用winexe执行。下面我们来手动修复。使用LoadPE载入这个被感染的文件,选中这个新节,删除掉:


然后修复原来的EIP:


点击保存、确定。到这里还没有完成,这样的exe是不能运行的,我们必须对EXE重建:


好了,这样简单的手工修复就完成了,点击运行,ok没问题,而且因为没了新节的代码,执行速度也快了很多:


您看到此篇文章时的感受是:
Tags: 责任编辑:佚名
】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部
更多
上一篇教你恢复遗失数据(图) 下一篇浅谈僵尸网络为何难以对抗
版权申明: 本站不上传及存储任何影音、图片及有版权的文件,内容均收集及采集自互联网第三方,尤其是各大影音及大型网站的分享平台, 由于系统采集缺陷,难免有疏忽版权及其他问题。如有侵权,请留言、评论或EMAIL告知,待本站修正。

最新文章

热门文章

推荐文章

密码: (新用户注册)

-->

手机扫描

空间赞助

虚位以待:愿意无偿为我们提供至少两年的空间商,请EMAIL.
北京计时:2018年1月4日

快速互动

论坛互动
讨论留言

有事联系

有哪个那个什么的帮忙赶紧点这里给DOVE发消息

统计联系

EMAIL:gnlt@Dovechina.com
正在线上:

版权与建议

任何你想说的