Option Explicit
Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (pDst As Any, pSrc As Any, ByVal ByteLen As Long)
...
Blast's Security
Blast's Security Lab
2010年3月28日
Partie感染文件修复程序(实用性归零)
注:不保证可用性,可能有错误,且Partie变种极多,此工具只应对其中一种,默认认为文件的基地址就是00400000h,只是作为一个笔记的形式存在于此,不要把这个程序付诸实践……
Option Explicit
Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (pDst As Any, pSrc As Any, ByVal ByteLen As Long)
...
Option Explicit
Private Declare Sub CopyMemory Lib "kernel32" Alias "RtlMoveMemory" (pDst As Any, pSrc As Any, ByVal ByteLen As Long)
...
Tags: partie 感染 修复
发布:blast | 分类:编程相关 | 评论:1 | 引用:0 | 浏览:
2009年8月17日
关于Redoce V2.030更新版本的报告
非常抱歉,Redoce 2.030版本的Redemdl.dll (Redoce 解密模组)被Induc感染过,如果代码被执行(但是Redoce使用的DLL的DLLMain过程是空的,而且Redoce也不使用DLLMain过程,所以一般情况不会出现感染情况。),机器上的编程软件Borland Delphi的Dcu(已编译单元文件)及PAS(pascal源程序文件)可能会被感染,以下为对该问题的解决方案:
...>>>我要检查全文,看看这家伙有没有偷懒!
Tags: 报告 redoce 感染 更新
发布:blast | 分类:其他信息 | 评论:0 | 引用:0 | 浏览:
2009年7月30日
2字节法及完全修复Expiro感染的方法
文章介绍两个方法修复expiro,一种是修改首2字节修复部分expiro变种(方法并不完美),一种是通过修改文件来达到修复目的。首先查看被感染文件入口代码:01013000 > 60 ....
