无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站投放广告、加入VIP会员,请联系 微信:wuyouceo
查看: 1462|回复: 30
打印 上一主题 下一主题

[分享] 抓到一款病毒,病毒代码被手动删除了,看看它对原来的文件做了些啥?

[复制链接]
跳转到指定楼层
1#
发表于 2024-10-9 13:26:03 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本帖最后由 ko20010214 于 2024-10-9 13:28 编辑

最近中了个毒,病毒会随机?感染一些EXE文件。它会 修改文件长度,增加一段代码在程序后面,在程序前段增加一个 跳转到自己那段代码中去。
但它 修改了文件后,一次性感染的那些EXE文件的日期都会改成它 感染文件时的时间。如果你看到有 十几 二十个 EXE文件的时间日期都很接近时,那多半 是中毒了。。。
下面以我下载的智能排班系统.exe为例:
1. X:\Program Files\totalcmd\plugins\智能排班系统.exe: 3,698,688 字节 (这是正常的文件 )
2. C:\Download\智能排班系统.exe: 3,698,688 字节  (这是被病毒感染后被火绒杀完毒后我手动把后面的增加的字节去掉了,所以文件大小一样 了。
但是文件头部的数据是不同的:
Offsets: 十六进制

   136:        04        05
   14D:        30        80
   181:        E0        30
   182:        3F        40
   2C8:        00        5B
   2C9:        00        01
   2CA:        00        5D
   2CB:        00        99
   2CC:        00        A3
   2CD:        00        75
   2CE:        00        48
   2D1:        00        50
   2D5:        00        E0
   2D6:        00        3F
   2D9:        00        50
   2DD:        00        70
   2DE:        00        38
   2EC:        00        20
   2EF:        00        E0

19 区别 被发现.




2#
发表于 2024-10-9 13:40:38 | 只看该作者
你以为你图文并茂的我就能看懂了?你太高看我了
回复

使用道具 举报

3#
发表于 2024-10-9 14:02:56 | 只看该作者
你是在哪中的毒啊

点评

论坛里下载的PE 2024.06.13 那一版的,作者不知道在哪里中了毒,感染了三个 文件,然后我下载了那一个 PE,结果就悲剧了。。。  详情 回复 发表于 2024-10-9 23:14
回复

使用道具 举报

4#
发表于 2024-10-9 14:16:00 | 只看该作者
所以色色的网站还是不能去看
回复

使用道具 举报

5#
发表于 2024-10-9 14:43:26 | 只看该作者
学习下,谢谢分享
回复

使用道具 举报

6#
发表于 2024-10-9 14:47:54 | 只看该作者
洗手洗手!!!
回复

使用道具 举报

7#
发表于 2024-10-9 14:51:50 | 只看该作者
学习了!!
回复

使用道具 举报

8#
发表于 2024-10-9 15:06:31 | 只看该作者
所以怎么感染的病毒
回复

使用道具 举报

9#
发表于 2024-10-9 15:10:50 | 只看该作者
一时间以为去了52论坛
回复

使用道具 举报

10#
发表于 2024-10-9 15:19:22 | 只看该作者
说,毒哪来的

点评

撸主:昨晚下教育片了... 二○二四年十月九日  详情 回复 发表于 2024-10-9 17:44
回复

使用道具 举报

11#
发表于 2024-10-9 15:45:54 | 只看该作者
了解一下 感谢分享
回复

使用道具 举报

12#
发表于 2024-10-9 15:52:49 | 只看该作者
这种病毒卡巴斯基杀得了吗
回复

使用道具 举报

13#
发表于 2024-10-9 16:31:28 | 只看该作者
说!在哪里感染的病毒?
回复

使用道具 举报

14#
发表于 2024-10-9 16:38:06 | 只看该作者
感染型的病毒啊,好像不多见了呢
回复

使用道具 举报

15#
发表于 2024-10-9 17:03:56 | 只看该作者
别以为打了针就能预防
回复

使用道具 举报

16#
发表于 2024-10-9 17:44:57 | 只看该作者

撸主:昨晚下教育片了...


二○二四年十月九日

点评

图片、音频与视频文件,都不是“可执行文件”,只能由其它程序打开,所以是不可能传播病毒的。只有可执行文件才能传播,但如果只是下载到电脑上,没有打开它(执行其内里的代码)的话,就算是染毒的可执行文件也不会  详情 回复 发表于 2024-10-10 13:37
回复

使用道具 举报

17#
发表于 2024-10-9 18:36:49 | 只看该作者
不好意思楼主,我看不懂。。。。但是我挺你
回复

使用道具 举报

18#
发表于 2024-10-9 19:12:42 | 只看该作者
这个病毒有啥破坏性
回复

使用道具 举报

19#
发表于 2024-10-9 20:04:36 | 只看该作者
谢谢分享
回复

使用道具 举报

20#
发表于 2024-10-9 21:41:09 | 只看该作者
大家注册的时间都好早
回复

使用道具 举报

21#
 楼主| 发表于 2024-10-9 23:14:27 | 只看该作者
mindmap138 发表于 2024-10-9 14:02
你是在哪中的毒啊

论坛里下载的PE 2024.06.13 那一版的,作者不知道在哪里中了毒,感染了三个 文件,然后我下载了那一个 PE,结果就悲剧了。。。
回复

使用道具 举报

22#
发表于 2024-10-9 23:25:38 | 只看该作者
感谢分享好东东
回复

使用道具 举报

23#
发表于 2024-10-10 10:09:27 | 只看该作者
完全看不懂系列
回复

使用道具 举报

24#
发表于 2024-10-10 11:43:57 | 只看该作者
谢谢楼主的分享!
回复

使用道具 举报

25#
发表于 2024-10-10 13:37:38 | 只看该作者
邪恶海盗 发表于 2024-10-9 17:44
撸主:昨晚下教育片了...

图片、音频与视频文件,都不是“可执行文件”,只能由其它程序打开,所以是不可能传播病毒的。只有可执行文件才能传播,但如果只是下载到电脑上,没有打开它(执行其内里的代码)的话,就算是染毒的可执行文件也不会感染你的电脑。
回复

使用道具 举报

26#
发表于 2024-10-10 13:41:58 | 只看该作者
比起专门的“下载网站”,论坛能提供更多、更新的“破姐版”软件下载,但安全性明显连“地下下载网站”都不如。所以对论坛下载的程序,起码要用两种杀毒软件扫描一下;有可疑的话,就应该先在虚拟机内测试、运行这些程序,确认无异常后才能在主机内使用。
回复

使用道具 举报

27#
发表于 2024-10-10 13:43:08 | 只看该作者
这个病毒的作业是什么?
回复

使用道具 举报

28#
 楼主| 发表于 2024-10-10 15:52:01 | 只看该作者
vIRUS.7z (378.09 KB, 下载次数: 1)

有兴趣的可以去看看。

原版文件 ,文件名 不带V,后缀为EXE, 体积最小。
已杀毒过的染毒文件, 文件名  带V, 后缀为EXE,体积与未处理的染毒文件一样。
未处理的染毒文件, 文件名 带V , 后缀为EX_, (这是为防止你不小心执行它)。
Virus.bin 和 Virus2.bin 是分别从这两个染毒文件里剥离出来的病毒代码,可供研究。就是它添加到原版文件后面的增加的那些代码。
这个原则上是无害的,只要你不把未处理的染毒文件改成EXE并运行它就没事。
只作静态分析是没关系的,不会传染的。

回复

使用道具 举报

29#
发表于 2024-10-10 16:16:20 | 只看该作者
学习
回复

使用道具 举报

30#
发表于 2024-10-10 19:46:10 来自手机 | 只看该作者
头部被火绒改过了
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-11-23 17:02

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表