电脑里很多exe被感染，用vb写修复程序，文件头的修复不懂

冰轮

MSE完美修复你的文件，附件就是你那个被感染的程序修复以后的效果，查收。
PrvDisk_Free.rar (464.94 KB, 下载次数: 94)

2011-9-22 10:44 上传

点击文件名下载附件

czt

冰轮 发表于 2011-9-22 10:44
MSE完美修复你的文件，附件就是你那个被感染的程序修复以后的效果，查收。

尾部数据删了，文件头也改了，确实是修复了

不过我一直用SD裸奔，杀软什么的没装。现在我有点好奇还有哪些杀软能修复这些exe

这些exe对我来说不算是很重要的文件，用杀软修复是一个办法，但我更希望自己写程序来解决问题，在写的过程经常能学到很多东西

冰轮

czt 发表于 2011-9-22 12:37
尾部数据删了，文件头也改了，确实是修复了

不过我一直用SD裸奔，杀软什么的没装。现在我有点好奇还有 ...

大蜘蛛貌似也可以完美修复，至于编程方面，抱歉，帮不了你。

IllusionWing

单纯对于这个病毒而言可以这样做。
1、先读取位于文件 0x3C 长度为 Long 的数据，该值记作 e_lfanew ，是 PE 结构的起点。
2、定位到 e_lfanew ，读取 e_lfanew +0x28 (AddressOfEntryPoint) 定位到入口点，把入口点记作 ep
3、然后我这里估计讲不清楚（我表达能力比较差），你可以在网上搜索一下怎么把 RVA 转换为物理偏移，参此文
4、得到物理入口点 phyep 后，读取 phyep + 0x295 处找到长跳转 jmp，读取 phyep + 0x296 开始的 4 字节有符号 Long 类型数据，记为 rJmpTo
5、计算 ep + 0x299 + rJmpTo ，这是原来程序真正的 EP ，把他写入第二步中的 AddressOfEntryPoint 处。然后手动把最后的垃圾数据清理掉，再删除最后一节，把 e_lfanew + 0x6 处的 NumberOfSections 数值减一并写入。

czt

IllusionWing 发表于 2011-9-22 20:30
单纯对于这个病毒而言可以这样做。
1、先读取位于文件 0x3C 长度为 Long 的数据，该值记作 e_lfanew ，是  ...

您给出的思路再结合刚刚在看雪找到一篇不错的文章http://bbs.pediy.com/showthread.php?t=122191
貌似有点眉头了，但本人水平还是很菜，要把程序写出来还要费一番功夫。。。

再次感谢

MagicFuzzX

还是先花上几天学习PE结构吧

ilxky

技术流

eubyo

不懂，偶只知道最好的修复是备份

wajika

头部的修复就直接截去，找文件原始PE头，再去掉前部的。
后面要先拿到尾部感染的标记在哪。做个签名 就可以扫描文件了
都好久没搞这个了，话说以前也设计过VB杀毒软件，写的很乱，后来就停了。
如果你有不懂可以问问那个叫什么来着，一下子想不起来了，哦 你可以搜索论坛某个杀毒软件的设计者

zhq445078388

看热闹~ 膜拜~