打开exe就出现带srv的exe
看看这行不行
看看怎么手动杀毒
脘病毒的都是高手
本帖最后由 haier8917 于 2017-4-1 15:01 编辑
教程里面那个328对于这个病毒我发觉是个固定的值,那个值是我在虚拟机里用染了SRV病毒的程序追出来的,不敢在主机里给大家追那病毒的过程。。。。。(如果真的在主机里给大家演示的话,估计就要。。。)那个地址放的数据就是病毒的OEP和源程序的OEP的偏移值
可以这样认为,病毒修改程序后先把源程序的OEP保存到一个地址处(不保存的话那病毒执行完自身代码后怎么去执行原程序呢。。),这个地址在哪呢?????就是以OD加载程序时的入口(OEP)为基准(或者叫这个为基址)+328(偏移)这个地址处,等病原体执行完他自身的程序后(此时该病毒就有了比较强的传染性,所以大家不要在主机里玩,否则的话,只有呵呵了),首先取得了病原体OEP的数据并将该数据赋值给eax,然后把该数据减去了那个地址的值,自然在EAX就得到了原始程序的OEP,最后一个jmp eax就跳转到源程序的OEP。。。。。当然大家在追的时候可能追不到明显的328,只能通过他的汇编代码进行分析。。。。对了,大家如果在主机感染SRV病毒的情况下压缩过某些可执行文件,那么::大家以后把这类压缩文件解压后准备执行里面的程序的时候最好先杀一下毒,或者用OD加载程序后仔细看他的入口汇编代码,如果是下面这样的你就要先清除病原体(dll,exe等文件都要检查)::
pushad 60
call xxxxxxxx e800000000
pop ebp 5d
左边为汇编代码,右边为机器码
L灬淡定丶 发表于 2017-4-1 11:51
打开exe就出现带srv的exe
看看这行不行
你的那个绝对是SRV病毒
多谢大大大大
谢谢楼主,学习了
吃水不忘打井人,给个评分懂感恩!
感谢分享,看看怎么清除.
找到组织了,开始学习了~