回 帖 发 新 帖 刷新版面

主题:VIKING病毒专杀

最近VIKING病毒老是来惹我,可恶的是用的杀毒软件根本无法检测出病毒,无奈下自己动手写了个威金专杀,可以分析病毒大小,可以单杀某个EXE文件,等等,病毒信息会自动保存,我想应该可以对付威金病毒的任意变种了。
http://upload.programfan.com/upfile/200704110851197.rar

回复列表 (共37个回复)

31 楼

[quote][quote]建议增加其他简单抑致病毒的功能,初级用户也能把它彻底清除
还有,如果是COMMAND.EXE感染了,怎么循环到图标呢?[/quote]我在考虑你的问题,目前似乎用图标方法不能检查出来的,但可以通过对比其感染文件的修改日期来确定的,比如说其他有图标的EXE程序被感染了,我可以获取它的修改日期然后与COMMAND.EXE的修改日期做比较,如果相近则说明是感染文件。[/quote]


我认真研究过维金这个毒,被他感染的文件它的文件的修改日期的确是修改时当前计算机的时间。总觉得为什么做维金哪个人会留下那么多的漏洞啊   哈哈!!!

但是个人觉得要用修改日期来做判断,那除非是没有办法中的办法了!!!
伞哥  您这个想法真的不怎么好!!!

每个变种做一个专杀那是很简单,但是您想使得您该专杀能杀所有的变种,这是不可能的,只要他把思路改下,你这个专杀工具也就没用了咯!

请问下维金是不是中了以后图标都变样了呢?它的变种有没是感染以后图标完好的呀?

32 楼

可能loveyouvb还不清楚我的查杀方式,一般当你感觉中了威金病毒了,用专杀浏览一个感染文件看看能否杀掉,如果没有反应,说明可能是变种,于是设置好病毒头大小范围后再次点浏览分析那个感染文件,专杀就会自动分析,并找到病毒头(这个过程跟你设置的病毒头范围有关),一旦找到以后就可以进行全盘查杀了。
之所以我说能杀他的变种就是因为你可以利用专杀的分析功能分析病毒头。
我判断的主要方式是通过图标,判断修改时间只是针对那些本身没图标的EXE或COM,而这些文件一般在C盘,装上还原精灵后就可以轻松还原的,所以接下来的任务就是干掉那些感染的EXE文件即可,到目前为止,我已经杀掉了4个变种了,即使他思路改了,只要感染方式一样照样可以杀掉的。

33 楼

[quote]请问下维金是不是中了以后图标都变样了呢?它的变种有没是感染以后图标完好的呀?[/quote]
这个目前我遇到的病毒都是图标变了的,像熊猫病毒也是变成熊猫了,所以我的专杀也可以杀的。只是将仅扫描感染文件的选项去掉即可(扫描时间可能要长些)。

34 楼

也许真的我还没弄懂您的方式,呵呵!总而言之您的代码一个字  ~~~强~~~

35 楼

伞哥您好~~~~~~~~~~~
我刚刚又试了下您的作品,哈哈!
按您说的20K-120K来分析一个文件,大约分析了5分钟!  呵呵,也是我的电脑太慢了
我现在才发现原来你是每减一个字符就向硬盘写这个文件的,好吃CPU啊!
如果是开了杀毒软件来进行分析的话,我看半个小时还分析不好 哈哈
其实换个方法来想想  应该可以写在内存里然后最内存进行分析的啊 
而这样不写入硬盘我觉得速度应该快了N倍了   呵呵!

我记得有些API有类似您这样功能的也是先写入硬盘后再删除或怎么的
难道就不能写在内存里分析的么?   这样速度快了N倍了哟    呵呵
有想法是好的,不过我看我的想法有点渺茫,因为我以前试了好久都没试出来!
不知道伞哥您觉得有没办法做的啊?

36 楼

呵呵,在内存分析我倒没想过,估计实行起来有点困难的吧,其实你只要将病毒范围的下限上调至60K,就不用5分钟了,目前我找到的病毒头大小都在60K-80K之间。
再次感谢提出建议!

37 楼

多谢分享

我来回复

您尚未登录,请登录后再回复。点此登录或注册