病毒依赖系统:windows
感染文件类型:PE文件
1. 病毒的感染:
1病毒将自身追加到文件尾.
2把原来的入口保存在距解密起始偏移0xc处并加密,生成密匙的数据存放于距解密起始偏移0x30处,生成的密匙是四个DWORD数据,分别与原来的入口异或一次得到正确的入口RVA.
3病毒修改引入表中对KERENL32.DLL的前两个引入,这两个DWORD被保存在距解密起始偏移0x24处,须将此处两个数据分别减去(IMAGEBASE+2)得至正确的RVA.
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024