简易文件型病毒

功能

自动感染当前目录下的所有EXE文件 感染特征:被感染的程序会在启动时先弹出一个MessageBox,提示一串未知数字。 被感染的程序再次执行会被复原(以毒攻毒 实际上不是完全复原)

细节

感染

寻找能够插下病毒代码的节 变量定义在代码前面 通过shellcode自定位来执行代码 修改OEP 执行病毒代码之后跳转回原来OEP (在DOS STUB打上感染标记 之后跟上原OEP)

恢复

随便恢复一下 就是把原来的OEP覆盖回去 病毒代码还在 但不会执行