无忧启动论坛

标题: 抓到一款病毒，病毒代码被手动删除了，看看它对原来的文件做了些啥？ [打印本页]

作者: ko20010214 时间: 2024-10-9 13:26
标题: 抓到一款病毒，病毒代码被手动删除了，看看它对原来的文件做了些啥？
本帖最后由 ko20010214 于 2024-10-9 13:28 编辑

最近中了个毒，病毒会随机？感染一些EXE文件。它会修改文件长度，增加一段代码在程序后面，在程序前段增加一个跳转到自己那段代码中去。
但它修改了文件后，一次性感染的那些EXE文件的日期都会改成它感染文件时的时间。如果你看到有十几二十个 EXE文件的时间日期都很接近时，那多半是中毒了。。。
下面以我下载的智能排班系统.exe为例：
1. X:\Program Files\totalcmd\plugins\智能排班系统.exe: 3,698,688 字节（这是正常的文件）
2. C:\Download\智能排班系统.exe: 3,698,688 字节  （这是被病毒感染后被火绒杀完毒后我手动把后面的增加的字节去掉了，所以文件大小一样了。
但是文件头部的数据是不同的：
Offsets: 十六进制

136:       04       05
14D:       30       80
181:       E0       30
182:       3F       40
2C8:       00       5B
2C9:       00       01
2CA:       00       5D
2CB:       00       99
2CC:       00       A3
2CD:       00       75
2CE:       00       48
2D1:       00       50
2D5:       00       E0
2D6:       00       3F
2D9:       00       50
2DD:       00       70
2DE:       00       38
2EC:       00       20
2EF:       00       E0

19 区别被发现.

作者: james176 时间: 2024-10-9 13:40
你以为你图文并茂的我就能看懂了？你太高看我了

作者: mindmap138 时间: 2024-10-9 14:02
你是在哪中的毒啊

作者: wjqok 时间: 2024-10-9 14:16
所以色色的网站还是不能去看

作者: fxssj 时间: 2024-10-9 14:43
学习下，谢谢分享

作者: dayeye 时间: 2024-10-9 14:47
洗手洗手！！！

作者: wc67 时间: 2024-10-9 14:51
学习了！！

作者: ctds001 时间: 2024-10-9 15:06
所以怎么感染的病毒

作者: pigg 时间: 2024-10-9 15:10
一时间以为去了52论坛

作者: hs_32 时间: 2024-10-9 15:19
说,毒哪来的

作者: wn168cn@163.com 时间: 2024-10-9 15:45
了解一下感谢分享

作者: x13586 时间: 2024-10-9 15:52
这种病毒卡巴斯基杀得了吗

作者: ldg_2 时间: 2024-10-9 16:31
说！在哪里感染的病毒？

作者: 5460 时间: 2024-10-9 16:38
感染型的病毒啊，好像不多见了呢

作者: ster1357A 时间: 2024-10-9 17:03
别以为打了针就能预防

作者: 邪恶海盗 时间: 2024-10-9 17:44

hs_32 发表于 2024-10-9 15:19
说,毒哪来的

撸主：昨晚下教育片了...

二○二四年十月九日

作者: chinaren12 时间: 2024-10-9 18:36
不好意思楼主，我看不懂。。。。但是我挺你

作者: 出家撩尼姑 时间: 2024-10-9 19:12
这个病毒有啥破坏性

作者: yc2428 时间: 2024-10-9 20:04
谢谢分享

作者: LOVPE 时间: 2024-10-9 21:41
大家注册的时间都好早

作者: ko20010214 时间: 2024-10-9 23:14

mindmap138 发表于 2024-10-9 14:02
你是在哪中的毒啊

论坛里下载的PE 2024.06.13 那一版的，作者不知道在哪里中了毒，感染了三个文件，然后我下载了那一个 PE，结果就悲剧了。。。

作者: promrhxq 时间: 2024-10-9 23:25
感谢分享好东东

作者: zzti 时间: 2024-10-10 10:09
完全看不懂系列

作者: 董大 时间: 2024-10-10 11:43
谢谢楼主的分享!

作者: 2011gzboy 时间: 2024-10-10 13:37

邪恶海盗发表于 2024-10-9 17:44
撸主：昨晚下教育片了...

图片、音频与视频文件，都不是“可执行文件”，只能由其它程序打开，所以是不可能传播病毒的。只有可执行文件才能传播，但如果只是下载到电脑上，没有打开它（执行其内里的代码）的话，就算是染毒的可执行文件也不会感染你的电脑。

作者: 2011gzboy 时间: 2024-10-10 13:41
比起专门的“下载网站”，论坛能提供更多、更新的“破姐版”软件下载，但安全性明显连“地下下载网站”都不如。所以对论坛下载的程序，起码要用两种杀毒软件扫描一下；有可疑的话，就应该先在虚拟机内测试、运行这些程序，确认无异常后才能在主机内使用。

作者: 2012fengxi 时间: 2024-10-10 13:43
这个病毒的作业是什么？

作者: ko20010214 时间: 2024-10-10 15:52

vIRUS.7z (378.09 KB, 下载次数: 1)

有兴趣的可以去看看。

原版文件，文件名不带V，后缀为EXE，体积最小。
已杀毒过的染毒文件，文件名带V，后缀为EXE，体积与未处理的染毒文件一样。
未处理的染毒文件，文件名带V ，后缀为EX_, （这是为防止你不小心执行它）。
Virus.bin 和 Virus2.bin 是分别从这两个染毒文件里剥离出来的病毒代码，可供研究。就是它添加到原版文件后面的增加的那些代码。
这个原则上是无害的，只要你不把未处理的染毒文件改成EXE并运行它就没事。
只作静态分析是没关系的，不会传染的。

作者: 孟仁飞 时间: 2024-10-10 16:16
学习

作者: szwp 时间: 2024-10-10 19:46
头部被火绒改过了

作者: towlzj800801 时间: 2024-10-13 13:43
谢谢分享

欢迎光临无忧启动论坛 (http://bbs.wuyou.net/)