分离带毒程序得到正常程序与病毒样本
分离带毒程序(被感染的程序)得到正常程序与病毒样本,方法如下:
1,用附件中的程序的十六进制方式打开带毒程序,选中第二个MZ到第三个MZ之间的内容(即第二个文件),将该部分内容剪切,然后新建一个文件,粘贴,保存为exe文件.(不知道MZ头是什么?google或百度一下吧)
2,将剩下内容保存为另一个exe文件.
3,现在看两个文件的图标及大小判断哪个文件是所需的正常程序.一般来说,正常程序文件与原来的文件图标一致,且文件体积较大,也有例外.另一个就是病毒样本了.当然,你也可以直接运行测试.
其实好简单的,曾经这样分离过好几次,但有些并不像上面说的那样简单,也许MZ头不止两个,三个的也很常见,那么第一个MZ头到第二个MZ头的内容一般是不需要的.
基本后人加毒的G都可以分离,但是如果是本身就是毒G的话,就很难说了。有兴趣的话可以试试。一般的挂基本都能搞定
使用说明.txt
