xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加文章 English Version

die_hard2.4000病毒查杀方法


创建时间:2001-12-05
文章属性:原创
文章提交:njhhack (njhhack_at_21cn.com)

die_hard2.4000病毒查杀方法
一直认为查毒容易,杀毒难,因为查毒只要用特征扫描就行,但杀毒要恢复文件的原来参数,有点难哦
通常要杀毒,必须要搞懂病毒的工作原理,所以你要懂汇编,懂跟踪,不过近来我发现一个好方法,呵
呵,不用懂汇编了就可以杀毒了,原理如下:
die_hard病毒用了很多加密手法,所以要跟踪它是困难的,后来我想了个其它的办法,我想
既然病毒要执行原来的文件代码,所以必须要对原来的文件代码保存一个副本,所以我就在
被感染的文件中找原文件的头部代码,但我居然没有找到,所以我就想有可能他加了密,但
是加密的方法很多种,它用什么方法加密呢,后来我分析了一下,发现病毒本身并不有加密,
只是在备份的文件参数中加了密,经过观察对比,我终于发现了规律,原来他把文件参数
取反了,也就是用not指令实现了加密,并而病毒本身长度只有4000,不会变化,同时原文件
的长度也作了保存,但是当病毒在内存中时,还有一个方法杀毒就是用copy命令,例如用
copy me.com me.dat,哪么me.dat中就不会有病毒了,而如果内存有病毒时首先要将内存中的
病毒杀掉,病毒修改了dos系统的21h中断跳转口,注意不是中断向量,是另一个地方的入口
所以用查中断的方法是查不到的,你先要切断它的联系统口,病毒本身在系统内存高端申请了
一块合法的内存,属性为8,就是系统数据,很有迷?性
下面是一些数据:


存贮18h大小的文件头
===============================
这是对旧文件头的加密后的结构,加密方法为NOT即取反
B2 A5 A7 FF FD FF FE FF DF FF-FE FF 00 00 FD FF
C7 FF FF FF FF FF FF FF
这是感染后的EXE文件头
4D 5A-F8 01 09 00 01 00 20 00 7A 03 FF FF 06 00
08 14-00 00 08 00 05 00
这是感染前的EXE文件头
4D 5A 58 00 02 00 01 00-20 00 01 00 FF FF 02 00
38 00 00 00 00 00 00 00-22 00 00 00 01 00 FB 20
=====================================

查找如下字符串,总共10h字节长,若找到则是die_hard2.4000病毒
AA 81 FF 48 1C 75 EC CB A2 20 49 0E 00 00 D1 A5
在该串未尾跳后4个字节是加密的EXE文件头或COM起始内容,共18h
字节,跳过的4个字节是文件大小的参数