【文章标题】: E书工厂 电子书 染毒后的修复原理和工具源码
【文章作者】: 啊CR/FTSTT
【作者主页】: Viper.68ab.com
【下载地址】: 自己搜索下载
--------------------------------------------------------------------------------
【详细过程】
原理:
E书工厂的电子书就是一个带有附加数据的程序文件,程序本身加有aspack的壳。
中毒&杀毒会改变什么呢?
1.文件实际长度,PE病毒要写入自己的代码通常是在文件末尾增加一段数据,杀软并没有完全清除这些数据造成文件的长度和原始文件不同,导致运行错误,电子书无法浏览。
2.校验和,E书工厂 的电子书的校验和是空的,杀软或病毒自作聪明 的填充这个位置,程序引用此值时产生错误,找不到正确的书籍数据,电子书无法浏览。
3.最后区段大小&总大小,这是相关联的一对,病毒加了代码需要再获得虚拟地址所以它修改程序的最后区段大小,自然也修改了总大小(也许是杀软干的,呵呵),程序引用此值时产生错误,找不到正确的书籍数据,电子书无法浏览。
4.最后区段属性,这个是修改3的后遗症。应该不影响阅读的(未测)。
5.OEP,病毒要执行自然要有切入点,通常是OEP,他如果改了这个杀软没有正确恢复,电子书自然不能正常运行了。
修复方案
1.根据电子书的特征串 “ADAEBOOK”判断结尾,去除垃圾数据
2.清空校验和
3.aspack加壳的最后区段的相关值是固定的,直接恢复
4.同3
5.杀软目前做的比较好,暂不考虑。
恢复方法
二十一世纪还要手工恢复吗?
不!
以下为Masm 的源程序,功能是自动完成修复,支持E书工厂的 1.4和1.5两个版本
部分代码有注释希望大家能看懂,附件为编译好的程序。
--------------------------------------------------------------------------------
2007年08月06日 1:17:50