logogo感染文件手工修复方法

分析：

 

[url]http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/53fbb13dabbb3203baa167c3.html[/url]

 

这个东东好像杀毒软件能修复不多，我写个手工修复的方法，哎，好麻烦啊！

 

先说下感染方式：

 

1、把自身代码附加到正常程序的尾部。

2、添加一个节表".ani"里面包含加载尾部病毒的命令。

3、修改入口点，优先执行病毒体，后执行正常程序。

 

问题来了，如果把尾部附加数据删除了，系统会报错，提示无效Win32文件。

 

同样删除".ani"也不行，文件会报废。

 

手工修复方法：

 

1、修改入口点

 

用OD调试，然后看到jmp正常程序入口的地址，记录下来。

 

 

2、修改镜像大小。原来的镜像大小=感染后的大小-7082

 

例如，这个被感染的镜像大小是15082，减后就是E000（16进制的啊）

 

3、然后利用PE文件的编辑工具，修改对应的数据。

 

 

4、删除被增加的节表，也就是ani。

 

 

 

5、修改后程序可正常运行，但仍有冗余的数据。

 

6、用UE或Winhex删除附加的数据。

 

 

OK，运行，一切正常。