主题:VIKING病毒专杀
帅哥阳伞
[专家分:16530] 发布于 2007-04-04 12:14:00
最近VIKING病毒老是来惹我,可恶的是用的杀毒软件根本无法检测出病毒,无奈下自己动手写了个威金专杀,可以分析病毒大小,可以单杀某个EXE文件,等等,病毒信息会自动保存,我想应该可以对付威金病毒的任意变种了。
http://upload.programfan.com/upfile/200704110851197.rar
最后更新于:2007-04-11 08:52:00
回复列表 (共37个回复)
11 楼
loveyouvb [专家分:1600] 发布于 2007-04-07 02:57:00
[quote]我晕哟,你怎么不早点出来这个软件
我1个月前才重装系统,就是被Viking害的。
高人,佩服
[/quote]
想不到凡尘这么高的高手也被VK捆扰 哈哈 我好象是第二次说这句话了
12 楼
loveyouvb [专家分:1600] 发布于 2007-04-07 02:59:00
还是说一句 大家查杀的时候最好先拿几个感染了的文件来做测试
不然杀了以后就再也找不回来了 呵呵
13 楼
loveyouvb [专家分:1600] 发布于 2007-04-07 03:01:00
[quote]天,高人,偶什么时候才能修炼到这种程度?[/quote]
[em13]交学费认伞哥做老师 我想很快就能修炼成那种程度的了[em20]
14 楼
帅哥阳伞 [专家分:16530] 发布于 2007-04-07 13:14:00
回loveyouvb
其实我判断图标的方式很简单就是利用API函数ExtractIcon,因为如果病毒头没有完全找到的话,生成的新文件肯定是残缺不全的,这样用ExtractIcon函数获取的图标数量就是0或者9350(具体忘记了),因此很容易说明病毒头大小还未找到,需要继续寻找。所以就算原程序文件的资源库里有图标,用ExtractIcon函数获取的图标数也是0。而且我我的这种分析方式不仅可以分析无图标的感染文件,对于有图标的感染文件也可以去掉病毒头的,只是扫描整盘时时间花的较长些(因为它要分析所有EXE文件,而前者只分析没有图标的EXE文件)
对了我的感染文件已经发你了(是没有图标的)。
15 楼
帅哥阳伞 [专家分:16530] 发布于 2007-04-07 13:35:00
[quote]还是说一句 大家查杀的时候最好先拿几个感染了的文件来做测试
不然杀了以后就再也找不回来了 呵呵[/quote]
感谢提醒!我发现有个错误在里面,就是在分析时如果你不输入估计病毒大小的话,它先从病毒头信息里搜索查杀,杀不了时它删除了文件,而我原本是要它恢复的,马上修正,下载地址:http://upload.programfan.com/upfile/200704110851197.rar
16 楼
loveyouvb [专家分:1600] 发布于 2007-04-07 15:12:00
[quote]回loveyouvb
其实我判断图标的方式很简单就是利用API函数ExtractIcon,因为如果病毒头没有完全找到的话,生成的新文件肯定是残缺不全的,这样用ExtractIcon函数获取的图标数量就是0或者9350(具体忘记了),因此很容易说明病毒头大小还未找到,需要继续寻找。所以就算原程序文件的资源库里有图标,用ExtractIcon函数获取的图标数也是0。而且我我的这种分析方式不仅可以分析无图标的感染文件,对于有图标的感染文件也可以去掉病毒头的,只是扫描整盘时时间花的较长些(因为它要分析所有EXE文件,而前者只分析没有图标的EXE文件)
对了我的感染文件已经发你了(是没有图标的)。[/quote]
我打个比方来说吧 您新建一个工程什么代码也不写 只添加一个资源(该资源是explorer.exe这个文件)然后编译EXE 您再扫描的话就出现问题了
因为我小学的时候学得不好 现在语言描述非常差 希望您能看懂我的意思
17 楼
loveyouvb [专家分:1600] 发布于 2007-04-07 15:15:00
还想问下您
提示(在已知病毒信息里灭有找到该病毒信息,可能是新变种病毒,建议分析)
我随便扫了几个不是病毒的文件也都这样提示
还有 您是不是还没有做分析这部分呢?
18 楼
wwc7654321 [专家分:1590] 发布于 2007-04-07 15:16:00
我中了不下10次。文件已经用江民专杀全部恢复了,症状是运行任意感染文件(图标变成了16位色)后,%windir%\logo1_.exe和rundl132.exe的图标就变成运行文件的失真图标,然后病毒进程再继续感染新文件。
初次中毒时没经验,现在它难不倒我了,建议增加其他简单抑致病毒的功能,初级用户也能把它彻底清除
还有,如果是COMMAND.EXE感染了,怎么循环到图标呢?
19 楼
loveyouvb [专家分:1600] 发布于 2007-04-07 15:18:00
伞哥 我给个建议您
您在该专杀工具里再做多一个连接网络的东西,只要用户扫描到新的变种或者某些有问题的文件你就把他发送到您的邮箱或其他地方里。这样的话您就可以收集更多的变种信息。 不过我觉得这对专门做专杀工具的人有用 感觉您应该只是一时兴趣才写这个东西的吧 哈哈
20 楼
loveyouvb [专家分:1600] 发布于 2007-04-07 15:29:00
好象还没收到您发给我的变种呀 我的邮箱是loveyouvb@163.com 麻烦您再发一次
我来回复
您所在位置:社区首页 — Visual Basic讨论区 — VIKING病毒专杀