亲,您未登录哦! 登录 | 注册
首页  |  社区  |  工具箱  |  代码库  |  博客  |  招聘  |  文章  |  新闻  |  下载  |  读书
回 帖 发 新 帖 刷新版面

主题:VIKING病毒专杀

帅哥阳伞 [专家分:16530] 发布于 2007-04-04 12:14:00

最近VIKING病毒老是来惹我,可恶的是用的杀毒软件根本无法检测出病毒,无奈下自己动手写了个威金专杀,可以分析病毒大小,可以单杀某个EXE文件,等等,病毒信息会自动保存,我想应该可以对付威金病毒的任意变种了。
http://upload.programfan.com/upfile/200704110851197.rar
最后更新于:2007-04-11 08:52:00
本帖地址:  http://bbs.pfan.cn/post/224490.html

回复列表 (共37个回复)

11 楼

loveyouvb [专家分:1600] 发布于 2007-04-07 02:57:00

[quote]我晕哟,你怎么不早点出来这个软件

我1个月前才重装系统,就是被Viking害的。

高人,佩服
[/quote]


想不到凡尘这么高的高手也被VK捆扰  哈哈   我好象是第二次说这句话了

12 楼

loveyouvb [专家分:1600] 发布于 2007-04-07 02:59:00

还是说一句  大家查杀的时候最好先拿几个感染了的文件来做测试
不然杀了以后就再也找不回来了   呵呵

13 楼

loveyouvb [专家分:1600] 发布于 2007-04-07 03:01:00

[quote]天,高人,偶什么时候才能修炼到这种程度?[/quote]
[em13]交学费认伞哥做老师  我想很快就能修炼成那种程度的了[em20]

14 楼

帅哥阳伞 [专家分:16530] 发布于 2007-04-07 13:14:00

回loveyouvb
其实我判断图标的方式很简单就是利用API函数ExtractIcon,因为如果病毒头没有完全找到的话,生成的新文件肯定是残缺不全的,这样用ExtractIcon函数获取的图标数量就是0或者9350(具体忘记了),因此很容易说明病毒头大小还未找到,需要继续寻找。所以就算原程序文件的资源库里有图标,用ExtractIcon函数获取的图标数也是0。而且我我的这种分析方式不仅可以分析无图标的感染文件,对于有图标的感染文件也可以去掉病毒头的,只是扫描整盘时时间花的较长些(因为它要分析所有EXE文件,而前者只分析没有图标的EXE文件)

对了我的感染文件已经发你了(是没有图标的)。

15 楼

帅哥阳伞 [专家分:16530] 发布于 2007-04-07 13:35:00

[quote]还是说一句  大家查杀的时候最好先拿几个感染了的文件来做测试
不然杀了以后就再也找不回来了   呵呵[/quote]

感谢提醒!我发现有个错误在里面,就是在分析时如果你不输入估计病毒大小的话,它先从病毒头信息里搜索查杀,杀不了时它删除了文件,而我原本是要它恢复的,马上修正,下载地址:http://upload.programfan.com/upfile/200704110851197.rar

16 楼

loveyouvb [专家分:1600] 发布于 2007-04-07 15:12:00

[quote]回loveyouvb
其实我判断图标的方式很简单就是利用API函数ExtractIcon,因为如果病毒头没有完全找到的话,生成的新文件肯定是残缺不全的,这样用ExtractIcon函数获取的图标数量就是0或者9350(具体忘记了),因此很容易说明病毒头大小还未找到,需要继续寻找。所以就算原程序文件的资源库里有图标,用ExtractIcon函数获取的图标数也是0。而且我我的这种分析方式不仅可以分析无图标的感染文件,对于有图标的感染文件也可以去掉病毒头的,只是扫描整盘时时间花的较长些(因为它要分析所有EXE文件,而前者只分析没有图标的EXE文件)

对了我的感染文件已经发你了(是没有图标的)。[/quote]



我打个比方来说吧   您新建一个工程什么代码也不写  只添加一个资源(该资源是explorer.exe这个文件)然后编译EXE  您再扫描的话就出现问题了
因为我小学的时候学得不好  现在语言描述非常差   希望您能看懂我的意思

17 楼

loveyouvb [专家分:1600] 发布于 2007-04-07 15:15:00

还想问下您
提示(在已知病毒信息里灭有找到该病毒信息,可能是新变种病毒,建议分析)
我随便扫了几个不是病毒的文件也都这样提示
还有  您是不是还没有做分析这部分呢?

18 楼

wwc7654321 [专家分:1590] 发布于 2007-04-07 15:16:00

我中了不下10次。文件已经用江民专杀全部恢复了,症状是运行任意感染文件(图标变成了16位色)后,%windir%\logo1_.exe和rundl132.exe的图标就变成运行文件的失真图标,然后病毒进程再继续感染新文件。
初次中毒时没经验,现在它难不倒我了,建议增加其他简单抑致病毒的功能,初级用户也能把它彻底清除
还有,如果是COMMAND.EXE感染了,怎么循环到图标呢?

19 楼

loveyouvb [专家分:1600] 发布于 2007-04-07 15:18:00

伞哥  我给个建议您
您在该专杀工具里再做多一个连接网络的东西,只要用户扫描到新的变种或者某些有问题的文件你就把他发送到您的邮箱或其他地方里。这样的话您就可以收集更多的变种信息。    不过我觉得这对专门做专杀工具的人有用  感觉您应该只是一时兴趣才写这个东西的吧  哈哈

20 楼

loveyouvb [专家分:1600] 发布于 2007-04-07 15:29:00

好象还没收到您发给我的变种呀  我的邮箱是loveyouvb@163.com 麻烦您再发一次

我来回复

您尚未登录,请登录后再回复。点此登录或注册

程序员工具箱 new

  • 域名注册查询
  • 文本转表格
  • Sitemap生成工具
  • HTML特殊符号
  • useragent工具
  • PHP手册
  • HTTP状态码
  • TCP/IP端口号
  • 图片信息查询
  • 中文填字游戏
  • 更多工具

    • 代码片段

  • 模拟键盘(不可按)
  • 碰撞的唐三
  • 精彩奥运热点赛事的实时采集
  • 获取天气动态信息
  • 文件查找
  • python大数据抓取京东电脑销量数据
  • 爬虫技术不仅仅支持数据采集
  • 抓取脉脉APP上的职业信息
  • 爬虫中多线程的运用
  • 四则运算以及一元二次方程
  • 欢迎来共享你的NB代码

    • 本版新帖

  • 网络编程之winsock控件简介使用方法
  • 发现一个极棒的免费BASIC
  • 如何使用api函数
  • 谁有计算表达式的程序?
  • Visual Basic讨论版任命eerfaone为本版版主,大家鼓掌!! 
  • 各位大侠请了,怎么在vb中利用文本文件的资源?谢谢。
  • 怎样用VB6.0编写BO程序(木马程序)
  • 请教一个问题?
  • 汉字编码原理,atcc进来看看!!!
  • 不调用API来链接个人主页及个人邮箱的技巧代码
  • vb实现远程控制
  • 大哥们 救命呀
  • VB 6.0中类聚集关系的实现 
  • VB6编程中如何获取硬盘分区信息 
  • 要在1-10之间找4个不重复的随机数。请教!