die_hard2.4000病毒查杀方法

die_hard2.4000病毒查杀方法
一直认为查毒容易，杀毒难，因为查毒只要用特征扫描就行，但杀毒要恢复文件的原来参数，有点难哦
通常要杀毒，必须要搞懂病毒的工作原理，所以你要懂汇编，懂跟踪，不过近来我发现一个好方法，呵
呵，不用懂汇编了就可以杀毒了，原理如下:
die_hard病毒用了很多加密手法，所以要跟踪它是困难的，后来我想了个其它的办法，我想
既然病毒要执行原来的文件代码，所以必须要对原来的文件代码保存一个副本，所以我就在
被感染的文件中找原文件的头部代码，但我居然没有找到，所以我就想有可能他加了密，但
是加密的方法很多种，它用什么方法加密呢，后来我分析了一下，发现病毒本身并不有加密，
只是在备份的文件参数中加了密，经过观察对比，我终于发现了规律，原来他把文件参数
取反了，也就是用not指令实现了加密,并而病毒本身长度只有4000，不会变化，同时原文件
的长度也作了保存，但是当病毒在内存中时，还有一个方法杀毒就是用copy命令，例如用
copy me.com me.dat，哪么me.dat中就不会有病毒了,而如果内存有病毒时首先要将内存中的
病毒杀掉，病毒修改了dos系统的21h中断跳转口，注意不是中断向量，是另一个地方的入口
所以用查中断的方法是查不到的，你先要切断它的联系统口，病毒本身在系统内存高端申请了
一块合法的内存，属性为8，就是系统数据，很有迷?性
下面是一些数据:


存贮18h大小的文件头
===============================
这是对旧文件头的加密后的结构，加密方法为NOT即取反
B2 A5 A7 FF FD FF FE FF DF FF-FE FF 00 00 FD FF
C7 FF FF FF FF FF FF FF
这是感染后的EXE文件头
4D 5A-F8 01 09 00 01 00 20 00 7A 03 FF FF 06 00
08 14-00 00 08 00 05 00
这是感染前的EXE文件头
4D 5A 58 00 02 00 01 00-20 00 01 00 FF FF 02 00
38 00 00 00 00 00 00 00-22 00 00 00 01 00 FB 20
=====================================

查找如下字符串，总共10h字节长,若找到则是die_hard2.4000病毒
AA 81 FF 48 1C 75 EC CB A2 20 49 0E 00 00 D1 A5
在该串未尾跳后4个字节是加密的EXE文件头或COM起始内容，共18h
字节,跳过的4个字节是文件大小的参数