PE Append感染型病毒的手工修复（图）

>首页 -> 社会专题 -> 硬件网络 [ 录入者:佚名 | 时间:2010-07-08 | 作者: | 来源:colordancer | 浏览:1055次 ] 改变字体：【大中小】

PE_DOWNEXEC.O是上周刚发现的新的感染型样本，该病毒会感染exe文件，并新加一个节，节名为hhqg，然后病毒会修改exe文件的eip，指向这个新节，执行完毕后重新跳回原来的eip。

下面我们将手工修复被病毒感染的文件。OD载入，我们在text段加上内存访问断点：

然后按F9，执行到以下位置：

因此断定004012A0这个位置为eip。下面我们来看看这个新节做了什么事情。OD重新载入，单步到以下位置，发现一个函数：

F7进入，继续单步，发现函数：

F7进入，单步：

好，到这里我们发现了关键代码，新节里调用了Loadlibrary和GetProcAddress，先后获得了WinExeC和URLDownloadToCacheFileA函数，我们查看栈里面有什么内容：

好，这里就真相大白了，新节的目的就是从网上下载一个exe文件，然后调用winexe执行。下面我们来手动修复。使用LoadPE载入这个被感染的文件，选中这个新节，删除掉：

然后修复原来的EIP：

点击保存、确定。到这里还没有完成，这样的exe是不能运行的，我们必须对EXE重建：

好了，这样简单的手工修复就完成了，点击运行，ok没问题，而且因为没了新节的代码，执行速度也快了很多：

您看到此篇文章时的感受是：

Tags：知

责任编辑：佚名

【大中小】【打印】【繁体】【投稿】【收藏】【推荐】【举报】【评论】【关闭】【返回顶部】

更多	酒精度顶一下
上一篇：教你恢复遗失数据(图)	下一篇：如何防御局域网内的ARP攻击 ARP病..

版权申明:

本站不上传及存储任何影音、图片及有版权的文件，内容均收集及采集自互联网第三方，尤其是各大影音及大型网站的分享平台，由于系统采集缺陷，难免有疏忽版权及其他问题。如有侵权，请留言、评论或EMAIL告知，待本站修正。

手机扫描