die_hard2.4000病毒查杀方法

njhhack 2001-12-06 06:52:01
die_hard2.4000病毒查杀方法
一直认为查毒容易,杀毒难,因为查毒只要用特征扫描就行,但杀毒要恢复文件的原来参数,有点难哦
通常要杀毒,必须要搞懂病毒的工作原理,所以你要懂汇编,懂跟踪,不过近来我发现一个好方法,呵
呵,不用懂汇编了就可以杀毒了,原理如下:
die_hard病毒用了很多加密手法,所以要跟踪它是困难的,后来我想了个其它的办法,我想
既然病毒要执行原来的文件代码,所以必须要对原来的文件代码保存一个副本,所以我就在
被感染的文件中找原文件的头部代码,但我居然没有找到,所以我就想有可能他加了密,但
是加密的方法很多种,它用什么方法加密呢,后来我分析了一下,发现病毒本身并不有加密,
只是在备份的文件参数中加了密,经过观察对比,我终于发现了规律,原来他把文件参数
取反了,也就是用not指令实现了加密,并而病毒本身长度只有4000,不会变化,同时原文件
的长度也作了保存,但是当病毒在内存中时,还有一个方法杀毒就是用copy命令,例如用
copy me.com me.dat,哪么me.dat中就不会有病毒了,而如果内存有病毒时首先要将内存中的
病毒杀掉,病毒修改了dos系统的21h中断跳转口,注意不是中断向量,是另一个地方的入口
所以用查中断的方法是查不到的,你先要切断它的联系统口,病毒本身在系统内存高端申请了
一块合法的内存,属性为8,就是系统数据,很有迷?性
下面是一些数据:


存贮18h大小的文件头
===============================
这是对旧文件头的加密后的结构,加密方法为NOT即取反
B2 A5 A7 FF FD FF FE FF DF FF-FE FF 00 00 FD FF
C7 FF FF FF FF FF FF FF
这是感染后的EXE文件头
4D 5A-F8 01 09 00 01 00 20 00 7A 03 FF FF 06 00
08 14-00 00 08 00 05 00
这是感染前的EXE文件头
4D 5A 58 00 02 00 01 00-20 00 01 00 FF FF 02 00
38 00 00 00 00 00 00 00-22 00 00 00 01 00 FB 20
=====================================

查找如下字符串,总共10h字节长,若找到则是die_hard2.4000病毒
AA 81 FF 48 1C 75 EC CB A2 20 49 0E 00 00 D1 A5
在该串未尾跳后4个字节是加密的EXE文件头或COM起始内容,共18h
字节,跳过的4个字节是文件大小的参数


...全文
147 回复 打赏 收藏 转发到动态 举报
AI 作业
写回复
用AI写文章
回复
切换为时间正序
请发表友善的回复…
发表回复

1,658

社区成员

发帖
与我相关
我的任务
社区描述
VC/MFC 非技术类
社区管理员
  • 非技术类社区
加入社区
  • 近7日
  • 近30日
  • 至今
社区公告
暂无公告

试试用AI创作助手写篇文章吧