 |
eXeL@B —› Вопросы новичков —› как найтиentry Point? |
| Посл.ответ | Сообщение |
|
|
Создано: 26 ноября 2007 01:18 · Личное сообщение · #1 проблема вто в чём - куча ехе файлов была поражена вирусом win32.loader дрвеб всё успешно определил и вылечил. вырезает код вируса он на ура, но Entry Point не восстанавливает, плз подопните где копать! думаю, нагуглил бы сам, но просто нет возможности как следует пошариться в инете (инет доступен редко и по немногу)  |
|
|
Создано: 26 ноября 2007 04:09 · Личное сообщение · #2 Jim DiGriz пишет: плз подопните где копать! PeId тебе в помощь. Если прога не пакована, если компиль стандартный, то плаг Generic OEP Finder найдёт без проблем. Остаётся только ImageBase отнять и вписать значение на место. А вот на случай пакеров/протов... Тут сложнее. Уж слишком разный у них начальный код. Хотя можно что-то придумать из базы того же PeId'a. ----- Всем привет, я вернулся |
|
|
Создано: 30 ноября 2007 09:17 · Поправил: Gigi · Личное сообщение · #3 не, ну данилоф канешна молодец! вырезал код вируса а управление проге вернуть забыл... хотя судя по названию win32.loader - он вирь определил все таки эвристически. и оепу восстанавливать он совсем не обязан. ищи давай какой-нибудь зараженный файл и смотри где там идет переход на OEP, и откуда вообще адрес этот берется. потом пиши прогу (да, пиши. ручками.) которая будет исправлять точки входа у пораженных дрвебом exe-шников. вообще говоря, у тебя есть шанс только в случае если вирь хранит OEP где-нибудь вне своего тела. а если веб затер и адрес oep, ну что ж, бывают в жизни огорченья ;) ps. хотя вариант Bitfry тоже возможен 
pps. поэтому я и не юзаю антивирь, а чищу систему сам. |
|
|
Создано: 02 декабря 2007 01:02 · Личное сообщение · #4 Bitfry у меня была такая идея, но чтобы найти оеп, то надо запустить прогу =) а она начинает заражать тогда всё =\ и антивирус её убивает, хотя одну я всётки вылечил, но там у меня был не заражённый оригинал, я просто смотрел что вирус меняет Gigi я в нескольких прогах смотрел, насколько понял - это полиморфный вирус, т.к. код каждый раз разный, кроме нескольких участков, может поможешь посмотреть? я выложу ехешник заражённый |
|
|
Создано: 02 декабря 2007 05:44 · Поправил: Bitfry · Личное сообщение · #5 Jim DiGriz пишет: Bitfry у меня была такая идея, но чтобы найти оеп, то надо запустить прогу =) а она начинает заражать тогда всё =\ Или: Jim DiGriz пишет: дрвеб всё успешно определил и вылечил. вырезает код вируса он на ура, но Entry Point не восстанавливает, Ты как-нибудь определись, что тебе нужно: EP восстановить или файлы лечить. ----- Всем привет, я вернулся |
|
|
Создано: 03 декабря 2007 09:38 · Личное сообщение · #6 Jim DiGriz выкладывай, фигле! тока поменьше чтоб! у меня канал отстойный. прощай успешная сдача сессии  
Bitfry пишет: Ты как-нибудь определись, что тебе нужно: EP восстановить или файлы лечить. одно другому не мешает ;) |
|
|
Создано: 03 декабря 2007 12:34 · Личное сообщение · #7 Gigi пишет: одно другому не мешает ;) Во-первых, мешает, а во-вторых, было ясно написано, что код вируса вырезан, нужно только найти EP. Если код вируса присутствует в файле, то, наверное, нужно сначала его вырезать. Ведь врядли нужен файл, на который будет ругаться антивирь (не любой, но будет). А вообще, имеет смысл сначала описать проблему создателям антивируса ;). ----- Всем привет, я вернулся |
|
|
Создано: 28 января 2008 19:35 · Личное сообщение · #8 Bitfry пишет: А вообще, имеет смысл сначала описать проблему создателям антивируса ;). При условии, что от создателей есть специальное разрешение с голограммой на работу этого антивиря. |
|
|
Создано: 28 января 2008 22:48 · Личное сообщение · #9 Вы видели дату топика? Накой его поднимать? Разрешение не обязательно, можно и триал юзать. Топик закрыт. |
|
eXeL@B —› Вопросы новичков —› как найтиentry Point? |
| Эта тема закрыта. Ответы больше не принимаются. |
Для печати