抓到一款病毒，病毒代码被手动删除了，看看它对原来的文件做了些啥？

ko20010214 · 发表于 2024-10-9 13:26:03

本帖最后由 ko20010214 于 2024-10-9 13:28 编辑

最近中了个毒，病毒会随机？感染一些EXE文件。它会修改文件长度，增加一段代码在程序后面，在程序前段增加一个跳转到自己那段代码中去。
但它修改了文件后，一次性感染的那些EXE文件的日期都会改成它感染文件时的时间。如果你看到有十几二十个 EXE文件的时间日期都很接近时，那多半是中毒了。。。
下面以我下载的智能排班系统.exe为例：
1. X:\Program Files\totalcmd\plugins\智能排班系统.exe: 3,698,688 字节（这是正常的文件）
2. C:\Download\智能排班系统.exe: 3,698,688 字节  （这是被病毒感染后被火绒杀完毒后我手动把后面的增加的字节去掉了，所以文件大小一样了。
但是文件头部的数据是不同的：
Offsets: 十六进制

136:       04       05
14D:       30       80
181:       E0       30
182:       3F       40
2C8:       00       5B
2C9:       00       01
2CA:       00       5D
2CB:       00       99
2CC:       00       A3
2CD:       00       75
2CE:       00       48
2D1:       00       50
2D5:       00       E0
2D6:       00       3F
2D9:       00       50
2DD:       00       70
2DE:       00       38
2EC:       00       20
2EF:       00       E0

19 区别被发现.

towlzj800801 · 发表于 2024-10-13 13:43:14

谢谢分享

szwp · 发表于 2024-10-10 19:46:10

头部被火绒改过了

孟仁飞 · 发表于 2024-10-10 16:16:20

学习

ko20010214 · 发表于 2024-10-10 15:52:01

vIRUS.7z (378.09 KB, 下载次数: 1)

有兴趣的可以去看看。

原版文件，文件名不带V，后缀为EXE，体积最小。
已杀毒过的染毒文件，文件名带V，后缀为EXE，体积与未处理的染毒文件一样。
未处理的染毒文件，文件名带V ，后缀为EX_, （这是为防止你不小心执行它）。
Virus.bin 和 Virus2.bin 是分别从这两个染毒文件里剥离出来的病毒代码，可供研究。就是它添加到原版文件后面的增加的那些代码。
这个原则上是无害的，只要你不把未处理的染毒文件改成EXE并运行它就没事。
只作静态分析是没关系的，不会传染的。

2012fengxi · 发表于 2024-10-10 13:43:08

这个病毒的作业是什么？

2011gzboy · 发表于 2024-10-10 13:41:58

比起专门的“下载网站”，论坛能提供更多、更新的“破姐版”软件下载，但安全性明显连“地下下载网站”都不如。所以对论坛下载的程序，起码要用两种杀毒软件扫描一下；有可疑的话，就应该先在虚拟机内测试、运行这些程序，确认无异常后才能在主机内使用。

2011gzboy · 发表于 2024-10-10 13:37:38

邪恶海盗发表于 2024-10-9 17:44
撸主：昨晚下教育片了...

图片、音频与视频文件，都不是“可执行文件”，只能由其它程序打开，所以是不可能传播病毒的。只有可执行文件才能传播，但如果只是下载到电脑上，没有打开它（执行其内里的代码）的话，就算是染毒的可执行文件也不会感染你的电脑。

董大 · 发表于 2024-10-10 11:43:57

谢谢楼主的分享!

zzti · 发表于 2024-10-10 10:09:27

完全看不懂系列

promrhxq · 发表于 2024-10-9 23:25:38

感谢分享好东东

ko20010214 · 发表于 2024-10-9 23:14:27

mindmap138 发表于 2024-10-9 14:02
你是在哪中的毒啊

论坛里下载的PE 2024.06.13 那一版的，作者不知道在哪里中了毒，感染了三个文件，然后我下载了那一个 PE，结果就悲剧了。。。

LOVPE · 发表于 2024-10-9 21:41:09

大家注册的时间都好早

yc2428 · 发表于 2024-10-9 20:04:36

谢谢分享

出家撩尼姑 · 发表于 2024-10-9 19:12:42

这个病毒有啥破坏性

chinaren12 · 发表于 2024-10-9 18:36:49

不好意思楼主，我看不懂。。。。但是我挺你

邪恶海盗 · 发表于 2024-10-9 17:44:57

hs_32 发表于 2024-10-9 15:19
说,毒哪来的

撸主：昨晚下教育片了...

二○二四年十月九日

ster1357A · 发表于 2024-10-9 17:03:56

别以为打了针就能预防

5460 · 发表于 2024-10-9 16:38:06

感染型的病毒啊，好像不多见了呢

ldg_2 · 发表于 2024-10-9 16:31:28

说！在哪里感染的病毒？

x13586 · 发表于 2024-10-9 15:52:49

这种病毒卡巴斯基杀得了吗

wn168cn@163.com · 发表于 2024-10-9 15:45:54

了解一下感谢分享

hs_32 · 发表于 2024-10-9 15:19:22

说,毒哪来的

pigg · 发表于 2024-10-9 15:10:50

一时间以为去了52论坛

ctds001 · 发表于 2024-10-9 15:06:31

所以怎么感染的病毒

wc67 · 发表于 2024-10-9 14:51:50

学习了！！

dayeye · 发表于 2024-10-9 14:47:54

洗手洗手！！！

fxssj · 发表于 2024-10-9 14:43:26

学习下，谢谢分享

wjqok · 发表于 2024-10-9 14:16:00

所以色色的网站还是不能去看

mindmap138 · 发表于 2024-10-9 14:02:56

你是在哪中的毒啊

		自动登录	找回密码
密码			注册

[分享] 抓到一款病毒，病毒代码被手动删除了，看看它对原来的文件做了些啥？

点评

点评

点评