处理被维金病毒感染的EXE文件

2024-01-17 08:18
文章标签 exe 处理 病毒感染 维金

本文主要是介绍处理被维金病毒感染的EXE文件,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

维金病毒所谓的感染EXE文件不过是把自身和PE文件捆绑在一起,所以还原EXE文件也非常简单,只需要确定病毒的大小,把原来的EXE文件拷出来即可。

当然,不能排除将来的变种改变感染方式的可能。

我被感染的病毒大小是 $7daf(16进制),通过Hiew分析得到的。此病毒的开始4个字节转化成双字值等于 $454B5A4D (16进制)。

下面给出还原被维金病毒感染的PE文件的Delphi原代码,WinXP SP2测试通过。

unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls, ComCtrls;

type
  TForm1 = class(TForm)
    ListBox1: TListBox;
    Button3: TButton;
    lblFileName: TLabel;
    lblFileCount: TLabel;
    ComboBox1: TComboBox;
    Label1: TLabel;
    Label2: TLabel;
    procedure Button3Click(Sender: TObject);
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}

var
  g_totalFileCount: Integer = 0;
  g_virusFileCount: Integer = 0;

procedure ProcessVirusFile(FileName: string);
const
  BEGINPOS = $7daf;
var
  dw: DWORD;
  fsOld, fsNew: TFileStream;
begin
  if UpperCase(ExtractFileExt(FileName)) = '.EXE' then
  begin
    Inc(g_totalFileCount);
    Form1.lblFileName.Caption := FileName;
    Form1.lblFileName.Repaint;
    Form1.lblFileCount.Caption := Format('Virus count: %d, Scan count: %d', [g_virusFileCount, g_TotalFileCount]);
    Form1.lblFileCount.Repaint;

    try
      fsOld := TFileStream.Create(FileName, fmOpenRead);
      fsOld.Read(dw, sizeof(dw));

      if dw = $454B5A4D then
      begin
        fsOld.Position := BEGINPOS;

        fsNew := TFileStream.Create(ChangeFileExt(FileName, '.TMP'), fmCreate);
        fsNew.CopyFrom(fsOld, fsOld.Size - BEGINPOS);
        fsNew.Free;

        fsOld.Free;

        RenameFile(FileName, FileName + '.VIRUS');
        Sleep(100);
        RenameFile(ChangeFileExt(FileName, '.TMP'), FileName);

        Inc(g_virusFileCount);
        form1.ListBox1.Items.Add(FileName);
        form1.ListBox1.Repaint;
      end;
    except
      Form1.ListBox1.Items.Add('Kill virus in file "' +FileName+ '" failed.');
    end;
  end;
end;

procedure DoSearchFile(RootPath: string);
var
  Info: TSearchRec;
begin
  RootPath := IncludeTrailingBackslash(RootPath);
  try
    if FindFirst(RootPath + '*.*', faAnyFile, Info) = 0 then
    begin
      if (Info.Attr and faDirectory) <> faDirectory then //not a directory
          ProcessVirusFile(RootPath + Info.Name) else
          if (Info.Name <> '.') and (Info.Name <> '..') then //is a valid directory
              DoSearchFile(RootPath + Info.Name);
    end;

    while FindNext(Info) = 0 do
    begin
       if (Info.Attr and faDirectory) <> faDirectory then //not a directory
           ProcessVirusFile(RootPath + Info.Name) else
           if (Info.Name <> '.') and (Info.Name <> '..') then //is a valid directory
               DoSearchFile(RootPath + Info.Name);

      Application.ProcessMessages;
    end;
  finally
    FindClose(Info);
  end;
end;


procedure TForm1.Button3Click(Sender: TObject);
begin
  if ComboBox1.Text = '' then
     Exit;

  Button3.Enabled := FALSE;

  g_totalFileCount := 0;
  g_virusFileCount := 0;

  ListBox1.Clear;

  DoSearchFile(ComboBox1.Text);

  lblFileName.Caption := 'Done.';
  lblFileCount.Caption := Format('Virus count: %d, Scan count: %d', [g_virusFileCount, g_TotalFileCount]);

  Button3.Enabled := TRUE;
end;

procedure TForm1.FormCreate(Sender: TObject);
var
  C: Char;
  s: string;
begin
  lblFileName.Caption := 'Ready.';
  lblFileCount.Caption := '';

  for C := 'A' to 'Z' do
  begin
    s := C + ':/';
    if GetDriveType(PChar(s)) = DRIVE_FIXED then
       ComboBox1.Items.Add(s);
  end;
end;

end.

这篇关于处理被维金病毒感染的EXE文件的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/615418

相关文章

Python使用vllm处理多模态数据的预处理技巧

《Python使用vllm处理多模态数据的预处理技巧》本文深入探讨了在Python环境下使用vLLM处理多模态数据的预处理技巧,我们将从基础概念出发,详细讲解文本、图像、音频等多模态数据的预处理方法,... 目录1. 背景介绍1.1 目的和范围1.2 预期读者1.3 文档结构概述1.4 术语表1.4.1 核

Spring Boot @RestControllerAdvice全局异常处理最佳实践

《SpringBoot@RestControllerAdvice全局异常处理最佳实践》本文详解SpringBoot中通过@RestControllerAdvice实现全局异常处理,强调代码复用、统... 目录前言一、为什么要使用全局异常处理?二、核心注解解析1. @RestControllerAdvice2

电脑提示xlstat4.dll丢失怎么修复? xlstat4.dll文件丢失处理办法

《电脑提示xlstat4.dll丢失怎么修复?xlstat4.dll文件丢失处理办法》长时间使用电脑,大家多少都会遇到类似dll文件丢失的情况,不过,解决这一问题其实并不复杂,下面我们就来看看xls... 在Windows操作系统中,xlstat4.dll是一个重要的动态链接库文件,通常用于支持各种应用程序

SQL Server数据库死锁处理超详细攻略

《SQLServer数据库死锁处理超详细攻略》SQLServer作为主流数据库管理系统,在高并发场景下可能面临死锁问题,影响系统性能和稳定性,这篇文章主要给大家介绍了关于SQLServer数据库死... 目录一、引言二、查询 Sqlserver 中造成死锁的 SPID三、用内置函数查询执行信息1. sp_w

Java对异常的认识与异常的处理小结

《Java对异常的认识与异常的处理小结》Java程序在运行时可能出现的错误或非正常情况称为异常,下面给大家介绍Java对异常的认识与异常的处理,本文给大家介绍的非常详细,对大家的学习或工作具有一定的参... 目录一、认识异常与异常类型。二、异常的处理三、总结 一、认识异常与异常类型。(1)简单定义-什么是

Golang 日志处理和正则处理的操作方法

《Golang日志处理和正则处理的操作方法》:本文主要介绍Golang日志处理和正则处理的操作方法,本文通过实例代码给大家介绍的非常详细,对大家的学习或工作具有一定的参考借鉴价值,需要的朋友参考... 目录1、logx日志处理1.1、logx简介1.2、日志初始化与配置1.3、常用方法1.4、配合defer

springboot加载不到nacos配置中心的配置问题处理

《springboot加载不到nacos配置中心的配置问题处理》:本文主要介绍springboot加载不到nacos配置中心的配置问题处理,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑... 目录springboot加载不到nacos配置中心的配置两种可能Spring Boot 版本Nacos

Python程序打包exe,单文件和多文件方式

《Python程序打包exe,单文件和多文件方式》:本文主要介绍Python程序打包exe,单文件和多文件方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录python 脚本打成exe文件安装Pyinstaller准备一个ico图标打包方式一(适用于文件较少的程

python web 开发之Flask中间件与请求处理钩子的最佳实践

《pythonweb开发之Flask中间件与请求处理钩子的最佳实践》Flask作为轻量级Web框架,提供了灵活的请求处理机制,中间件和请求钩子允许开发者在请求处理的不同阶段插入自定义逻辑,实现诸如... 目录Flask中间件与请求处理钩子完全指南1. 引言2. 请求处理生命周期概述3. 请求钩子详解3.1

Python处理大量Excel文件的十个技巧分享

《Python处理大量Excel文件的十个技巧分享》每天被大量Excel文件折磨的你看过来!这是一份Python程序员整理的实用技巧,不说废话,直接上干货,文章通过代码示例讲解的非常详细,需要的朋友可... 目录一、批量读取多个Excel文件二、选择性读取工作表和列三、自动调整格式和样式四、智能数据清洗五、