手工清除SRV病毒和某员管理系统爆破
我们今天玩玩有毒的程序(毒可是我故意让他传染的)**** Hidden Message *****
本帖最后由 haier8917 于 2017-4-1 15:01 编辑
教程里面那个328对于这个病毒我发觉是个固定的值,那个值是我在虚拟机里用染了SRV病毒的程序追出来的,不敢在主机里给大家追那病毒的过程。。。。。(如果真的在主机里给大家演示的话,估计就要。。。)那个地址放的数据就是病毒的OEP和源程序的OEP的偏移值
可以这样认为,病毒修改程序后先把源程序的OEP保存到一个地址处(不保存的话那病毒执行完自身代码后怎么去执行原程序呢。。),这个地址在哪呢?????就是以OD加载程序时的入口(OEP)为基准(或者叫这个为基址)+328(偏移)这个地址处,等病原体执行完他自身的程序后(此时该病毒就有了比较强的传染性,所以大家不要在主机里玩,否则的话,只有呵呵了),首先取得了病原体OEP的数据并将该数据赋值给eax,然后把该数据减去了那个地址的值,自然在EAX就得到了原始程序的OEP,最后一个jmp eax就跳转到源程序的OEP。。。。。当然大家在追的时候可能追不到明显的328,只能通过他的汇编代码进行分析。。。。对了,大家如果在主机感染SRV病毒的情况下压缩过某些可执行文件,那么::大家以后把这类压缩文件解压后准备执行里面的程序的时候最好先杀一下毒,或者用OD加载程序后仔细看他的入口汇编代码,如果是下面这样的你就要先清除病原体(dll,exe等文件都要检查)::
pushad 60
call xxxxxxxx e800000000
pop ebp 5d
左边为汇编代码,右边为机器码
这个我需要 电脑刚好中毒 很好、很强大,这个一定得支持!!!⊙_⊙ srv是什么毒呀{:5_117:}来看看 学学,嘿嘿{:5_116:} 感谢分享,看看SRV手动怎么清除 支持楼主大大 谢谢呀,看一下