01.03.2008, 00:32
|
|
Познающий
Регистрация: 05.06.2007
Сообщений: 50
Провел на форуме:
151281
Репутация:
259
|
|
нужно отрезать первые 33.949 байт у инфицированного файла, пофиксить заголовок, коли4есво секций етц. и самое важное - найти оригинальную (потертую вирем) то4ку входа, к которй должен быть переходник после отработки упаковщика виря. если будет время завтра мож гляну стаб и мож напишу генерился если будет актуально..
Зверь оказался ещё тупей.. Он не меняет точку входа у жертвы, он просто пишет жертву в конец, а себе ставит её первую иконку, т.о. размер виря может немного меняться (в зависимости от иконки).. короче проще всего всего делать так:
1) ищем все ехе
2) расшариваем их на предмет сигнатуры конца виря.. (она всегда одинакоавая..)
3)если находим.. копируем с текущей позиции весь оставшийся файл в буфер, далее обнуляем файл и пишем в новый файл содержимое буфера,
4)вот и всё лечение...
|
|
|