处理被维金病毒感染的EXE文件

2024-01-17 08:18
文章标签 exe 处理 病毒感染 维金

本文主要是介绍处理被维金病毒感染的EXE文件,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

维金病毒所谓的感染EXE文件不过是把自身和PE文件捆绑在一起,所以还原EXE文件也非常简单,只需要确定病毒的大小,把原来的EXE文件拷出来即可。

当然,不能排除将来的变种改变感染方式的可能。

我被感染的病毒大小是 $7daf(16进制),通过Hiew分析得到的。此病毒的开始4个字节转化成双字值等于 $454B5A4D (16进制)。

下面给出还原被维金病毒感染的PE文件的Delphi原代码,WinXP SP2测试通过。

unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls, ComCtrls;

type
  TForm1 = class(TForm)
    ListBox1: TListBox;
    Button3: TButton;
    lblFileName: TLabel;
    lblFileCount: TLabel;
    ComboBox1: TComboBox;
    Label1: TLabel;
    Label2: TLabel;
    procedure Button3Click(Sender: TObject);
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}

var
  g_totalFileCount: Integer = 0;
  g_virusFileCount: Integer = 0;

procedure ProcessVirusFile(FileName: string);
const
  BEGINPOS = $7daf;
var
  dw: DWORD;
  fsOld, fsNew: TFileStream;
begin
  if UpperCase(ExtractFileExt(FileName)) = '.EXE' then
  begin
    Inc(g_totalFileCount);
    Form1.lblFileName.Caption := FileName;
    Form1.lblFileName.Repaint;
    Form1.lblFileCount.Caption := Format('Virus count: %d, Scan count: %d', [g_virusFileCount, g_TotalFileCount]);
    Form1.lblFileCount.Repaint;

    try
      fsOld := TFileStream.Create(FileName, fmOpenRead);
      fsOld.Read(dw, sizeof(dw));

      if dw = $454B5A4D then
      begin
        fsOld.Position := BEGINPOS;

        fsNew := TFileStream.Create(ChangeFileExt(FileName, '.TMP'), fmCreate);
        fsNew.CopyFrom(fsOld, fsOld.Size - BEGINPOS);
        fsNew.Free;

        fsOld.Free;

        RenameFile(FileName, FileName + '.VIRUS');
        Sleep(100);
        RenameFile(ChangeFileExt(FileName, '.TMP'), FileName);

        Inc(g_virusFileCount);
        form1.ListBox1.Items.Add(FileName);
        form1.ListBox1.Repaint;
      end;
    except
      Form1.ListBox1.Items.Add('Kill virus in file "' +FileName+ '" failed.');
    end;
  end;
end;

procedure DoSearchFile(RootPath: string);
var
  Info: TSearchRec;
begin
  RootPath := IncludeTrailingBackslash(RootPath);
  try
    if FindFirst(RootPath + '*.*', faAnyFile, Info) = 0 then
    begin
      if (Info.Attr and faDirectory) <> faDirectory then //not a directory
          ProcessVirusFile(RootPath + Info.Name) else
          if (Info.Name <> '.') and (Info.Name <> '..') then //is a valid directory
              DoSearchFile(RootPath + Info.Name);
    end;

    while FindNext(Info) = 0 do
    begin
       if (Info.Attr and faDirectory) <> faDirectory then //not a directory
           ProcessVirusFile(RootPath + Info.Name) else
           if (Info.Name <> '.') and (Info.Name <> '..') then //is a valid directory
               DoSearchFile(RootPath + Info.Name);

      Application.ProcessMessages;
    end;
  finally
    FindClose(Info);
  end;
end;


procedure TForm1.Button3Click(Sender: TObject);
begin
  if ComboBox1.Text = '' then
     Exit;

  Button3.Enabled := FALSE;

  g_totalFileCount := 0;
  g_virusFileCount := 0;

  ListBox1.Clear;

  DoSearchFile(ComboBox1.Text);

  lblFileName.Caption := 'Done.';
  lblFileCount.Caption := Format('Virus count: %d, Scan count: %d', [g_virusFileCount, g_TotalFileCount]);

  Button3.Enabled := TRUE;
end;

procedure TForm1.FormCreate(Sender: TObject);
var
  C: Char;
  s: string;
begin
  lblFileName.Caption := 'Ready.';
  lblFileCount.Caption := '';

  for C := 'A' to 'Z' do
  begin
    s := C + ':/';
    if GetDriveType(PChar(s)) = DRIVE_FIXED then
       ComboBox1.Items.Add(s);
  end;
end;

end.

这篇关于处理被维金病毒感染的EXE文件的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/615418

相关文章

Java堆转储文件之1.6G大文件处理完整指南

《Java堆转储文件之1.6G大文件处理完整指南》堆转储文件是优化、分析内存消耗的重要工具,:本文主要介绍Java堆转储文件之1.6G大文件处理的相关资料,文中通过代码介绍的非常详细,需要的朋友可... 目录前言文件为什么这么大?如何处理这个文件?分析文件内容(推荐)删除文件(如果不需要)查看错误来源如何避

使用Python构建一个高效的日志处理系统

《使用Python构建一个高效的日志处理系统》这篇文章主要为大家详细讲解了如何使用Python开发一个专业的日志分析工具,能够自动化处理、分析和可视化各类日志文件,大幅提升运维效率,需要的可以了解下... 目录环境准备工具功能概述完整代码实现代码深度解析1. 类设计与初始化2. 日志解析核心逻辑3. 文件处

Java docx4j高效处理Word文档的实战指南

《Javadocx4j高效处理Word文档的实战指南》对于需要在Java应用程序中生成、修改或处理Word文档的开发者来说,docx4j是一个强大而专业的选择,下面我们就来看看docx4j的具体使用... 目录引言一、环境准备与基础配置1.1 Maven依赖配置1.2 初始化测试类二、增强版文档操作示例2.

MyBatis-Plus通用中等、大量数据分批查询和处理方法

《MyBatis-Plus通用中等、大量数据分批查询和处理方法》文章介绍MyBatis-Plus分页查询处理,通过函数式接口与Lambda表达式实现通用逻辑,方法抽象但功能强大,建议扩展分批处理及流式... 目录函数式接口获取分页数据接口数据处理接口通用逻辑工具类使用方法简单查询自定义查询方法总结函数式接口

SpringBoot结合Docker进行容器化处理指南

《SpringBoot结合Docker进行容器化处理指南》在当今快速发展的软件工程领域,SpringBoot和Docker已经成为现代Java开发者的必备工具,本文将深入讲解如何将一个SpringBo... 目录前言一、为什么选择 Spring Bootjavascript + docker1. 快速部署与

Python使用vllm处理多模态数据的预处理技巧

《Python使用vllm处理多模态数据的预处理技巧》本文深入探讨了在Python环境下使用vLLM处理多模态数据的预处理技巧,我们将从基础概念出发,详细讲解文本、图像、音频等多模态数据的预处理方法,... 目录1. 背景介绍1.1 目的和范围1.2 预期读者1.3 文档结构概述1.4 术语表1.4.1 核

Spring Boot @RestControllerAdvice全局异常处理最佳实践

《SpringBoot@RestControllerAdvice全局异常处理最佳实践》本文详解SpringBoot中通过@RestControllerAdvice实现全局异常处理,强调代码复用、统... 目录前言一、为什么要使用全局异常处理?二、核心注解解析1. @RestControllerAdvice2

电脑提示xlstat4.dll丢失怎么修复? xlstat4.dll文件丢失处理办法

《电脑提示xlstat4.dll丢失怎么修复?xlstat4.dll文件丢失处理办法》长时间使用电脑,大家多少都会遇到类似dll文件丢失的情况,不过,解决这一问题其实并不复杂,下面我们就来看看xls... 在Windows操作系统中,xlstat4.dll是一个重要的动态链接库文件,通常用于支持各种应用程序

SQL Server数据库死锁处理超详细攻略

《SQLServer数据库死锁处理超详细攻略》SQLServer作为主流数据库管理系统,在高并发场景下可能面临死锁问题,影响系统性能和稳定性,这篇文章主要给大家介绍了关于SQLServer数据库死... 目录一、引言二、查询 Sqlserver 中造成死锁的 SPID三、用内置函数查询执行信息1. sp_w

Java对异常的认识与异常的处理小结

《Java对异常的认识与异常的处理小结》Java程序在运行时可能出现的错误或非正常情况称为异常,下面给大家介绍Java对异常的认识与异常的处理,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参... 目录一、认识异常与异常类型。二、异常的处理三、总结 一、认识异常与异常类型。(1)简单定义-什么是