svch.dllsvchsot.exe是什么么

c++编写简易的杀毒程序,恢复被感染exe文件
c++编写简易的杀毒程序,恢复被感染exe文件
发布时间: 3:12:12
编辑:www.fx114.net
本篇文章主要介绍了"c++编写简易的杀毒程序,恢复被感染exe文件",主要涉及到c++编写简易的杀毒程序,恢复被感染exe文件方面的内容,对于c++编写简易的杀毒程序,恢复被感染exe文件感兴趣的同学可以参考一下。
最初用于专杀worm/viking.bc病毒。作者于7月初中了该病毒,苦等一个星期病毒库更新了还是无法查杀该病毒(最后是更新了9月中旬的病毒库,江民和卡巴斯基才能查杀)。当时迫于无奈,只好自己动手写一个程序杀毒了。
该病毒类似于qq尾巴,运行染毒文件后,会在c盘产生多处副本。通过查找当日新增的文件,容易发现以下病毒相关文件:
winxp.exe&&
...(开头是0到5的*sy.exe,共6个这样的文件,也可能更多)
rundl132.exe(两个)
svhost32.exe(两个)
svchost.exe
svchs0t.exe
winmer.exe
vbarun.dll
packet.dll
wanpacket.dll
C:/Program Files/woool2/*.*
xiaran.dat(最麻烦就是这个,要先在注册表里面查找&xiaran.dat&,把所有的与它相关的内容全部删掉,重启了才能删除它。如果不删除它,&QQ尾巴&一直存在)
上述文件存在于c:/windows/system32或c:/windows之中。这些文件的删除方法不难,终止相关进程并删掉文件即可,之后最好用系统组策略的&系统-〉不要运行指定的windows程序&把类似于svchs0st这种明显的病毒文件给禁止了,再用软件限制策略限制dll文件的执行。由于这些不在讨论范围,在此不再赘述。
删除c盘的病毒副本不难,麻烦的是,该病毒是一蠕虫,会自动搜索硬盘的exe文件并感染之。如果不把病毒清除干净,即使重装系统仍有再次感染的可能,颇为麻烦。于是我们试着分析一下染毒文件。
首先是判断哪些文件被感染了,好确定分析的目标。通过观察发现以下特征:这个病毒并不是会感染所有的可执行文件的,这些被感染的程序一般图标都会改变,并且文件版本号都变为1.0.0.0,并且大小都在 1M 以下(感染后会略大于1M)。如果运行这些程序,都不会再执行原来的功能,而是启动感染程序再次激活病毒,同时在同一个目录里面生成 viDll.dll 文件。
我们可以明显看到文件的图标和大小的改变。
&&& 我们用ultraEdit打开感染文件,发现他们的头部无一例外的都是这样的:

参考资料