logogo感染文件手工修复方法_孤独更可靠

查看文章

logogo感染文件手工修复方法

2007-12-08 20:05

分析：

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/53fbb13dabbb3203baa167c3.html

这个东东好像杀毒软件能修复不多，我写个手工修复的方法，哎，好麻烦啊！

先说下感染方式：

1、把自身代码附加到正常程序的尾部。

2、添加一个节表".ani"里面包含加载尾部病毒的命令。

3、修改入口点，优先执行病毒体，后执行正常程序。

问题来了，如果把尾部附加数据删除了，系统会报错，提示无效Win32文件。

同样删除".ani"也不行，文件会报废。

手工修复方法：

1、修改入口点

用OD调试，然后看到jmp正常程序入口的地址，记录下来。

2、修改镜像大小。原来的镜像大小=感染后的大小-7082

例如，这个被感染的镜像大小是15082，减后就是E000（16进制的啊）

3、然后利用PE文件的编辑工具，修改对应的数据。

4、删除被增加的节表，也就是ani。

5、修改后程序可正常运行，但仍有冗余的数据。

6、用UE或Winhex删除附加的数据。

OK，运行，一切正常。

类别：不务正业`` | 添加到搜藏 | 浏览() | 评论 (14)

最近读者：

网友评论：

2007-12-08 20:41 | 回复

你好．．我中了个病毒．．从装系统．．分区．．硬盘充零．．但是病毒依然纯在．．．我都不知道怎么半了．．你可以帮我解决下吗？　每次分了区从装系统．打开ＩＥ瑞星就会提示注册表被修改．．瑞星也会杀出几个毒来觉得进程有时候会跳出个文件来．但是几秒钟的时间他又消失了了．．玩冰峰王座卡死．．　这个病毒困扰我一个多月了．．好烦噢．　　加你ＱＱ没反映．　　你可以帮我解决下吗？我的ＱＱ１７９１４７１２７　谢谢了

2007-12-08 20:48 | 回复

小姑有事做了 ^_^

2007-12-08 21:43 | 回复

人才啊。。。。。。。。WINDOWS有几万几十万的文件，一个个这样弄？还不如重装呢。。。。。。。。

2007-12-08 22:51 | 回复

楼上猫猫同学说的有理~~~~^_^ 这么麻烦的东东，小姑辛苦哒。。。

2007-12-09 08:24 | 回复

RE1楼，你去反病毒论坛吧，QQ关好友了，不常在线 RE3，重要的文件可以手工修复嘛，嘿嘿 RE丫大叔和蚊MM，反正我无聊，嘿嘿~~

2007-12-09 09:03 | 回复

打个广告，嘿嘿，前几天刚写了专杀工具。中毒的可以使用这个杀毒并修复文件。 http://bbs.sucop.com/thread-14340-1-1.html

2007-12-09 10:18 | 回复

6楼的大爷，你的专杀不能识别啊！！怎么办

2007-12-09 12:59 | 回复

小姑，丫大叔~~~~－－；！@#&^&^&*(*(()￥％……

2007-12-09 15:51 | 回复

嘿嘿,你就是大叔~~

2007-12-11 13:33 | 回复

删除区段似乎只是把NumberOfSection减1而已（如果删的是中间的区段，可能有调整IMAGE_SECTION_HEADER），如果删的是最后的区段，似乎最后一个添加的IMAGE_SECTION_HEADER结构那28H字节没有被抹掉，最好手工抹一下。删除区段前，先truncate at the start of the section，这样该段的数据就被删掉了，也就不用最后自己用UE或WINHEX再删一次了。另外，实际上增加的不一定是7082H字节。因为每个区段首地址必须要对齐（1000H的整数倍），所以如果原来文件最后一个区段的RSize不是整的，那么将会先填0填到整的，然后再写新区段。因此修复时，应该根据原最后一个区段的RSize（如果此区段的IMAGE_SECTION_HEADER没有被改的话）进行截断，否则你会发现修复后的文件大小永远是4KB的整数倍（实际上的原文件很可能不是这样的）。

2007-12-11 14:34 | 回复

原来是这样~谢谢聪哥

2007-12-29 08:53 | 回复

看上去好麻烦啊，我试试吧。谢谢了。

2007-12-29 08:53 | 回复

看上去好麻烦啊，我试试吧。谢谢了。

2007-12-29 08:53 | 回复

看上去好麻烦啊，我试试吧。谢谢了。

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复