处理被维金病毒感染的EXE文件

2024-01-17 08:18
文章标签 exe 处理 病毒感染 维金

本文主要是介绍处理被维金病毒感染的EXE文件,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

维金病毒所谓的感染EXE文件不过是把自身和PE文件捆绑在一起,所以还原EXE文件也非常简单,只需要确定病毒的大小,把原来的EXE文件拷出来即可。

当然,不能排除将来的变种改变感染方式的可能。

我被感染的病毒大小是 $7daf(16进制),通过Hiew分析得到的。此病毒的开始4个字节转化成双字值等于 $454B5A4D (16进制)。

下面给出还原被维金病毒感染的PE文件的Delphi原代码,WinXP SP2测试通过。

unit Unit1;

interface

uses
  Windows, Messages, SysUtils, Variants, Classes, Graphics, Controls, Forms,
  Dialogs, StdCtrls, ComCtrls;

type
  TForm1 = class(TForm)
    ListBox1: TListBox;
    Button3: TButton;
    lblFileName: TLabel;
    lblFileCount: TLabel;
    ComboBox1: TComboBox;
    Label1: TLabel;
    Label2: TLabel;
    procedure Button3Click(Sender: TObject);
    procedure FormCreate(Sender: TObject);
  private
    { Private declarations }
  public
    { Public declarations }
  end;

var
  Form1: TForm1;

implementation

{$R *.dfm}

var
  g_totalFileCount: Integer = 0;
  g_virusFileCount: Integer = 0;

procedure ProcessVirusFile(FileName: string);
const
  BEGINPOS = $7daf;
var
  dw: DWORD;
  fsOld, fsNew: TFileStream;
begin
  if UpperCase(ExtractFileExt(FileName)) = '.EXE' then
  begin
    Inc(g_totalFileCount);
    Form1.lblFileName.Caption := FileName;
    Form1.lblFileName.Repaint;
    Form1.lblFileCount.Caption := Format('Virus count: %d, Scan count: %d', [g_virusFileCount, g_TotalFileCount]);
    Form1.lblFileCount.Repaint;

    try
      fsOld := TFileStream.Create(FileName, fmOpenRead);
      fsOld.Read(dw, sizeof(dw));

      if dw = $454B5A4D then
      begin
        fsOld.Position := BEGINPOS;

        fsNew := TFileStream.Create(ChangeFileExt(FileName, '.TMP'), fmCreate);
        fsNew.CopyFrom(fsOld, fsOld.Size - BEGINPOS);
        fsNew.Free;

        fsOld.Free;

        RenameFile(FileName, FileName + '.VIRUS');
        Sleep(100);
        RenameFile(ChangeFileExt(FileName, '.TMP'), FileName);

        Inc(g_virusFileCount);
        form1.ListBox1.Items.Add(FileName);
        form1.ListBox1.Repaint;
      end;
    except
      Form1.ListBox1.Items.Add('Kill virus in file "' +FileName+ '" failed.');
    end;
  end;
end;

procedure DoSearchFile(RootPath: string);
var
  Info: TSearchRec;
begin
  RootPath := IncludeTrailingBackslash(RootPath);
  try
    if FindFirst(RootPath + '*.*', faAnyFile, Info) = 0 then
    begin
      if (Info.Attr and faDirectory) <> faDirectory then //not a directory
          ProcessVirusFile(RootPath + Info.Name) else
          if (Info.Name <> '.') and (Info.Name <> '..') then //is a valid directory
              DoSearchFile(RootPath + Info.Name);
    end;

    while FindNext(Info) = 0 do
    begin
       if (Info.Attr and faDirectory) <> faDirectory then //not a directory
           ProcessVirusFile(RootPath + Info.Name) else
           if (Info.Name <> '.') and (Info.Name <> '..') then //is a valid directory
               DoSearchFile(RootPath + Info.Name);

      Application.ProcessMessages;
    end;
  finally
    FindClose(Info);
  end;
end;


procedure TForm1.Button3Click(Sender: TObject);
begin
  if ComboBox1.Text = '' then
     Exit;

  Button3.Enabled := FALSE;

  g_totalFileCount := 0;
  g_virusFileCount := 0;

  ListBox1.Clear;

  DoSearchFile(ComboBox1.Text);

  lblFileName.Caption := 'Done.';
  lblFileCount.Caption := Format('Virus count: %d, Scan count: %d', [g_virusFileCount, g_TotalFileCount]);

  Button3.Enabled := TRUE;
end;

procedure TForm1.FormCreate(Sender: TObject);
var
  C: Char;
  s: string;
begin
  lblFileName.Caption := 'Ready.';
  lblFileCount.Caption := '';

  for C := 'A' to 'Z' do
  begin
    s := C + ':/';
    if GetDriveType(PChar(s)) = DRIVE_FIXED then
       ComboBox1.Items.Add(s);
  end;
end;

end.

这篇关于处理被维金病毒感染的EXE文件的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/615418

相关文章

无人叉车3d激光slam多房间建图定位异常处理方案-墙体画线地图切分方案

墙体画线地图切分方案 针对问题:墙体两侧特征混淆误匹配,导致建图和定位偏差,表现为过门跳变、外月台走歪等 ·解决思路:预期的根治方案IGICP需要较长时间完成上线,先使用切分地图的工程化方案,即墙体两侧切分为不同地图,在某一侧只使用该侧地图进行定位 方案思路 切分原理:切分地图基于关键帧位置,而非点云。 理论基础:光照是直线的,一帧点云必定只能照射到墙的一侧,无法同时照到两侧实践考虑:关

【生成模型系列(初级)】嵌入(Embedding)方程——自然语言处理的数学灵魂【通俗理解】

【通俗理解】嵌入(Embedding)方程——自然语言处理的数学灵魂 关键词提炼 #嵌入方程 #自然语言处理 #词向量 #机器学习 #神经网络 #向量空间模型 #Siri #Google翻译 #AlexNet 第一节:嵌入方程的类比与核心概念【尽可能通俗】 嵌入方程可以被看作是自然语言处理中的“翻译机”,它将文本中的单词或短语转换成计算机能够理解的数学形式,即向量。 正如翻译机将一种语言

Thymeleaf:生成静态文件及异常处理java.lang.NoClassDefFoundError: ognl/PropertyAccessor

我们需要引入包: <dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-starter-thymeleaf</artifactId></dependency><dependency><groupId>org.springframework</groupId><artifactId>sp

jenkins 插件执行shell命令时,提示“Command not found”处理方法

首先提示找不到“Command not found,可能我们第一反应是查看目标机器是否已支持该命令,不过如果相信能找到这里来的朋友估计遇到的跟我一样,其实目标机器是没有问题的通过一些远程工具执行shell命令是可以执行。奇怪的就是通过jenkinsSSH插件无法执行,经一番折腾各种搜索发现是jenkins没有加载/etc/profile导致。 【解决办法】: 需要在jenkins调用shell脚

明明的随机数处理问题分析与解决方案

明明的随机数处理问题分析与解决方案 引言问题描述解决方案数据结构设计具体步骤伪代码C语言实现详细解释读取输入去重操作排序操作输出结果复杂度分析 引言 明明生成了N个1到500之间的随机整数,我们需要对这些整数进行处理,删去重复的数字,然后进行排序并输出结果。本文将详细讲解如何通过算法、数据结构以及C语言来解决这个问题。我们将会使用数组和哈希表来实现去重操作,再利用排序算法对结果

8. 自然语言处理中的深度学习:从词向量到BERT

引言 深度学习在自然语言处理(NLP)领域的应用极大地推动了语言理解和生成技术的发展。通过从词向量到预训练模型(如BERT)的演进,NLP技术在机器翻译、情感分析、问答系统等任务中取得了显著成果。本篇博文将探讨深度学习在NLP中的核心技术,包括词向量、序列模型(如RNN、LSTM),以及BERT等预训练模型的崛起及其实际应用。 1. 词向量的生成与应用 词向量(Word Embedding)

使用协程实现高并发的I/O处理

文章目录 1. 协程简介1.1 什么是协程?1.2 协程的特点1.3 Python 中的协程 2. 协程的基本概念2.1 事件循环2.2 协程函数2.3 Future 对象 3. 使用协程实现高并发的 I/O 处理3.1 网络请求3.2 文件读写 4. 实际应用场景4.1 网络爬虫4.2 文件处理 5. 性能分析5.1 上下文切换开销5.2 I/O 等待时间 6. 最佳实践6.1 使用 as

Level3 — PART 3 — 自然语言处理与文本分析

目录 自然语言处理概要 分词与词性标注 N-Gram 分词 分词及词性标注的难点 法则式分词法 全切分 FMM和BMM Bi-direction MM 优缺点 统计式分词法 N-Gram概率模型 HMM概率模型 词性标注(Part-of-Speech Tagging) HMM 文本挖掘概要 信息检索(Information Retrieval) 全文扫描 关键词

PHP7扩展开发之数组处理

前言 这次,我们将演示如何在PHP扩展中如何对数组进行处理。要实现的PHP代码如下: <?phpfunction array_concat ($arr, $prefix) {foreach($arr as $key => $val) {if (isset($prefix[$key]) && is_string($val) && is_string($prefix[$key])) {$arr[

PHP7扩展开发之字符串处理

前言 这次,我们来看看字符串在PHP扩展里面如何处理。 示例代码如下: <?phpfunction str_concat($prefix, $string) {$len = strlen($prefix);$substr = substr($string, 0, $len);if ($substr != $prefix) {return $prefix." ".$string;} else