Virus.Win32.Downloader.m多变感染样本的分析与修复工具,由于样本是多变的, 入口没有加密,只是感染节的文件偏移多变,属于病毒专用分析工具。
Virus.Win32.Downloader.m多变感染样本的分析与修复工具,由于样本是多变的, 入口没有加密,只是感染节的文件偏移多变,属于病毒专用分析工具。
Virus.Win32.Downloader.m.zip
只是感染节的文件偏移多变
4 .+% 00046000 0000084B 0000A000 0000084B E00000E04 .+% 00207000 0000084B 00063A00 0000084B E00000E0
5 .+% 0001A000 0000084B 00013600 0000084B E00000E0
实际改下子程序就能修复了!
感染文件sss.exe nyfd.exe 为易语言写的,要运行
MicrosoftCTO(6108661)与阿虎(48993263)的分析与我的分析大体一样, 他们还把病毒的更新文件地址提取出来
006075DF C785 38FFFFFF 68740000 mov dword ptr ss:,7468 这些字符.就是病毒的更新
sss.exe感染
PE格.式分析
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :
1、76
文件运行.所要求的CPU :Intel 80386 处理器或更高
节数目 :4
文件创建的时间 :2000年5月19日10时11分55秒
OptionalHeader 结构大小 :E0
文件信息的标记 :
1、0F
标志字 :
1、0B
连接器版本号 :4.0
代码段长度 :0
已初始化数据块大小 :9D57
未初始化数据块大小 :39000
★程序入口 :00046441
代码段起始 :00001000
数据库段起始 :0003A000
★优先装载地址 :00400000
内存中节对齐粒度 :
1、000
文件中节对齐粒度 :200
系统所需版本号 :4.0
自定义版本号 :
1.0
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :4684B
所有头+节表的大小 :400
校验和 :
1、33AE
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性 :0
保留栈的大小 :
1、00000
初始时指定栈大小 :
1、000
保留堆的大小 :
1、00000
指定堆大小 :
1、000
加载器标志 :0
Rva数和大小 :
1、0
分析.节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 00001000 00039000 00000400 00000000 E0000060
2 0003A000 00009D57 00000400 00008A00 E0000060
3 00044000 0000115C 00008E00 00001200 E0000060
4 .+% 00046000 0000084B 0000A000 0000084B E00000E0
nyfd.exe感染
PE格式分析
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :
1、76
文件运行所要求的CPU :Intel 80386 处理器或更高
节数目 :4
文件创建的时间 :2000年5月19日10时11分55秒
OptionalHeader 结构大小 :E0
文件信息.的标记 :
1、0F
标志字 :
1、0B
连接器版本号 :4.0
代码段长度 :0
已初始化数据块大小 :636F4
未初始化数据块大小 :
1、A0000
★程序入口 :00207441
代码段起始 :00001000
数据库段起始 :001A1000
★优先装载地址 :00400000
内存中节对齐粒度 :
1、000
文件中节对齐粒度 :200
系统所需版本号 :4.0
自定义版本号 :
1.0
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :20784B
所有头+节表的大小 :400
校验和 :70B81
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性 :0
保留栈的大小 :
1、00000
初始时指定栈大小 :
1、000
保留堆的大小 :
1、00000
指定堆大小 :
1、000
加载器标志 :0
Rva数和大小 :
1、0
分析.节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 00001000 001A0000 00000400 00000000 E0000060
2 001A1000 000636F4 00000400 00062400 E0000060
3 00205000 00001104 00062800 00001200 E0000060
4 .+% 00207000 0000084B 00063A00 0000084B E00000E0
extract.exe感染
PE格式分析
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :216
文件运行.所要求的CPU :Intel 80386 处理器或更高
节数目 :5
文件创建的时间 :2001年8月17日20时53分16秒
OptionalHeader 结构大小 :E0
文件信息的标记 :
1、0F
标志字 :
1、0B
连接器版本号 :7.0
代码段长度 :
1、2000
已初.始化数据块大小 :5000
未初始化数据块大小 :0
★程序入口 :0001A441
代码段起始 :00001000
数据库段起始 :00013000
★优先装载地址 :01000000
内存中节对齐粒度 :
1、000
文件中节对齐粒度 :200
系统所需版本号 :5.1
自定义版本号 :5.1
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :
1、A84B
所有头+节表的大小 :400
校验和 :22ECB
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_CUI
DLL特性 :FFFF8000
保留栈的大小 :40000
初始时.指定栈大小 :
1、000
保留堆的大小 :
1、00000
指定堆大小 :
1、000
加载器标志 :0
Rva数和大小 :
1、0
分析节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 .text 00001000 00011F7C 00000400 00012000 E0000020
2 .data 00013000 00004A44 00012400 00000E00 C0000040
3 .rsrc 00018000 00000400 00013200 00000400 40000040
4 .wtq 00019000 00000001 00013600 00000000 E0000020
5 .+% 0001A000 0000084B 00013600 0000084B E00000E0
温馨提示:
