一个怀疑染毒文件所做的简单比较

最新推荐文章于 2021-09-29 22:15:04 发布
最新推荐文章于 2021-09-29 22:15:04 发布
阅读量1.6k 收藏
点赞数
分类专栏: windbg 文章标签: numbers file header alignment table import
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tryfinally/article/details/7258614
版权

今天由于拆包的需要,用到一个hex->float的工具..之前一同事发过来的工具很好用,但由于重装机器的关系没有做好备份.

所以再次向其索要.



收到后,直接在win7 sp1打开(我没有装杀软,只是裸奔.),却报错....


扔到另一有装杀软的同事机上,报出病毒,

如下图


文件经过杀毒之后, 我就可以在本机运行了.(文件由原来的50K左右变成了现在的25K左右)

我就开始猜想是不是病毒作为一部分加在了可运行文件之前.


于是我用dumpbin /header [filename]进行了分析,


最终得出差异的截图如下



bumpbin输出分别如下

分别如下.


ori.exe

Microsoft (R) COFF Binary File Dumper Version 6.00.8168
Copyright (C) Microsoft Corp 1992-1998. All rights reserved.




Dump of file ori.exe


PE signature found


File Type: EXECUTABLE IMAGE


FILE HEADER VALUES
             14C machine (i386)
               5 number of sections
        4B8E2C76 time date stamp Wed Mar 03 17:31:34 2010
               0 file pointer to symbol table
               0 number of symbols
              E0 size of optional header
             10F characteristics
                   Relocations stripped
                   Executable
                   Line numbers stripped
                   Symbols stripped
                   32 bit word machine


OPTIONAL HEADER VALUES
             10B magic #
            6.00 linker version
            8000 size of code
            3000 size of initialized data
               0 size of uninitialized data
            6000 RVA of entry point
            1000 base of code
            3000 base of data
          400000 image base
            1000 section alignment
            1000 file alignment
            4.00 operating system version
            0.00 image version
            4.00 subsystem version
               0 Win32 version
            C000 size of image
            1000 size of headers
               0 checksum
               2 subsystem (Windows GUI)
               0 DLL characteristics
          100000 size of stack reserve
            1000 size of stack commit
          100000 size of heap reserve
            1000 size of heap commit
               0 loader flags
              10 number of directories
               0 [       0] RVA [size] of Export Directory
            3860 [      78] RVA [size] of Import Directory
            5000 [     DF8] RVA [size] of Resource Directory
               0 [       0] RVA [size] of Exception Directory
               0 [       0] RVA [size] of Certificates Directory
               0 [       0] RVA [size] of Base Relocation Directory
               0 [       0] RVA [size] of Debug Directory
               0 [       0] RVA [size] of Architecture Directory
               0 [       0] RVA [size] of Special Directory
               0 [       0] RVA [size] of Thread Storage Directory
               0 [       0] RVA [size] of Load Configuration Directory
               0 [       0] RVA [size] of Bound Import Directory
            3000 [     234] RVA [size] of Import Address Table Directory
               0 [       0] RVA [size] of Delay Import Directory
               0 [       0] RVA [size] of Reserved Directory
               0 [       0] RVA [size] of Reserved Directory




SECTION HEADER #1
   .text name
    1932 virtual size
    1000 virtual address
    2000 size of raw data
    1000 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
60000020 flags
         Code
         Execute Read


SECTION HEADER #2
  .rdata name
     D06 virtual size
    3000 virtual address
    1000 size of raw data
    3000 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
40000040 flags
         Initialized Data
         Read Only


SECTION HEADER #3
   .data name
     1A8 virtual size
    4000 virtual address
    1000 size of raw data
    4000 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
C0000040 flags
         Initialized Data
         Read Write


SECTION HEADER #4
   .rsrc name
     DF8 virtual size
    5000 virtual address
    1000 size of raw data
    5000 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
40000040 flags
         Initialized Data
         Read Only


SECTION HEADER #5
      .. name
    6000 virtual size
    6000 virtual address
    6000 size of raw data
    6000 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
      67 number of line numbers
E0000020 flags
         Code
         Execute Read Write


  Summary


        6000 ..
        1000 .data
        1000 .rdata
        1000 .rsrc
        2000 .text

--------------------------------------------------------------------------------------------------------


fix.exe

Microsoft (R) COFF Binary File Dumper Version 6.00.8168
Copyright (C) Microsoft Corp 1992-1998. All rights reserved.




Dump of file fix.exe


PE signature found


File Type: EXECUTABLE IMAGE


FILE HEADER VALUES
             14C machine (i386)
               4 number of sections
        4A67DFF0 time date stamp Thu Jul 23 11:58:40 2009
               0 file pointer to symbol table
               0 number of symbols
              E0 size of optional header
             10F characteristics
                   Relocations stripped
                   Executable
                   Line numbers stripped
                   Symbols stripped
                   32 bit word machine


OPTIONAL HEADER VALUES
             10B magic #
            6.00 linker version
            8000 size of code
            3000 size of initialized data
               0 size of uninitialized data
            2040 RVA of entry point
            1000 base of code
            3000 base of data
          400000 image base
            1000 section alignment
            1000 file alignment
            4.00 operating system version
            0.00 image version
            4.00 subsystem version
               0 Win32 version
            6000 size of image
            1000 size of headers
               0 checksum
               2 subsystem (Windows GUI)
               0 DLL characteristics
          100000 size of stack reserve
            1000 size of stack commit
          100000 size of heap reserve
            1000 size of heap commit
               0 loader flags
              10 number of directories
               0 [       0] RVA [size] of Export Directory
            36D8 [      64] RVA [size] of Import Directory
            5000 [     D60] RVA [size] of Resource Directory
               0 [       0] RVA [size] of Exception Directory
               0 [       0] RVA [size] of Certificates Directory
               0 [       0] RVA [size] of Base Relocation Directory
               0 [       0] RVA [size] of Debug Directory
               0 [       0] RVA [size] of Architecture Directory
               0 [       0] RVA [size] of Special Directory
               0 [       0] RVA [size] of Thread Storage Directory
               0 [       0] RVA [size] of Load Configuration Directory
               0 [       0] RVA [size] of Bound Import Directory
            3000 [     200] RVA [size] of Import Address Table Directory
               0 [       0] RVA [size] of Delay Import Directory
               0 [       0] RVA [size] of Reserved Directory
               0 [       0] RVA [size] of Reserved Directory




SECTION HEADER #1
   .text name
    12E2 virtual size
    1000 virtual address
    2000 size of raw data
    1000 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
60000020 flags
         Code
         Execute Read


SECTION HEADER #2
  .rdata name
     B0A virtual size
    3000 virtual address
    1000 size of raw data
    3000 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
40000040 flags
         Initialized Data
         Read Only


SECTION HEADER #3
   .data name
     178 virtual size
    4000 virtual address
    1000 size of raw data
    4000 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
C0000040 flags
         Initialized Data
         Read Write


SECTION HEADER #4
   .rsrc name
     D60 virtual size
    5000 virtual address
    1000 size of raw data
    5000 file pointer to raw data
       0 file pointer to relocation table
       0 file pointer to line numbers
       0 number of relocations
       0 number of line numbers
40000040 flags
         Initialized Data
         Read Only


  Summary


        1000 .data
        1000 .rdata
        1000 .rsrc
        2000 .text

tryfinally
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网页文件染毒修复程序
10-22
最近Ramnit病毒肆虐,感染了我电脑数个分区下几十万的网页文件, 为了清理这些染毒的网页文件,故制作了此快速修复工具,在此与大家分享, 请用其他的杀毒软件,先把所有磁盘及系统的病毒清理干净,方可使用本修复...
cuda学习笔记(一)第一个cuda程序
juluwangriyue的博客
12-14 343
一个cuda程序: #include "device_launch_parameters.h" #include "cuda_runtime.h" #include <iostream> int main() { int deviceCount; cudaGetDeviceCount(&deviceCount); for (size_t i = 0; i < deviceCount; i++) { cudaDeviceProp devProp; cudaGe
使用Windbg认识Windows PE结构
sankernel的博客
02-12 318
0:000> !dh -f notepad File Type: EXECUTABLE IMAGE FILE HEADER VALUES 14C machine (i386) 4 number of sections 559EA6FF time date stamp Fri Jul 10 00:53:19 2015 0 file pointer to symbol table 0...
c++:dll缺少依赖文件的解决方法
博客
11-22 2万+
c++:dll缺少依赖文件的解决方法 解决方法需要两步: 1.找到dll的所有依赖文件 2.把需要的所有dll找到和需要调用的dll放在同一个文件夹 用VS的dumpbin命令可以查看目标程序许的dll依赖项 打开 开始-&amp;amp;amp;amp;gt;所有程序-&amp;amp;amp;amp;gt;Microsoft Visual Studio 20xx -&amp;amp;amp;amp;gt;Visual Studio命令提示(20xx),其中xx表示你的VS版本,笔
ARM 之 镜像文件Image)/可执行文件/ELF文件/对象文件 详解
phenixyf的专栏
02-23 4042
一、对象文件格式(Object file format) ELF 文件标准里把系统中采用ELF 格式的文件归类为四种: 可重定位文件,Relocatable File ,这类文件包含代码和数据,可用来连接成可执行文件或共享目标文件,静态链接库归为此类,对应于Linux 中的.o ;Windows 的 .obj. 可执行文件Executable File ,这类文件包含了可以直接执行的程序,它...
逆向与反汇编工具
Felix的专栏
04-09 3709
// Dump the generated code in an asm file format that can be assembled and then disassembled // for debugging purposes. For example, save this output as jit.s: 1. //   gcc -c jit.s     //   objdump
sola染毒文件恢复工具
02-03
1. **MRuntime2.dll**:这是一个动态链接库(DLL)文件,通常用于提供特定的功能支持,可能包含病毒扫描、文件分析和修复等功能的实现。在本工具中,MRuntime2.dll很可能包含了针对sola病毒特征的检测和清除算法。 ...
铁路染毒货车洗刷消毒安全要求.pdf
10-26
铁路染毒货车洗刷消毒安全要求.pdf
文管王文件管理系统(单机版) V6.57.rar
07-13
8. 通过对自定义字段名称修改,文管王就是您的一个文件档案管理系统。 9. 该系统在技术,易用安全方面大大领先于同类产品,是企业文档管理 信息化的首选产品。 适合管理海量的办公文件管理、音像资料管理、设计图纸...
全自动动态染毒柜商业计划WORD(1).doc
10-01
【全自动动态染毒柜商业计划】\n\n一、概述\n\n全自动动态染毒柜的商业计划书旨在详细阐述一个创新的技术解决方案,该方案聚焦于医疗设备的安全性和效率提升。染毒柜是一种用于消毒医疗设备的设备,尤其在当前全球...
PE文件结构(含图片解释)
01-07
PE文件结构的解释,且里面有一张PE结构的完整图片,十分容易理解
dumpbin(vs自带)
ccfxue的博客
04-13 962
1. 导出lib文件的函数符号(symbols) dumpbin /exports zlib1.lib [plain] view plain copy   Microsoft (R) COFF/PE Dumper Version 10.00.40219.01   Copyright (C) Microsoft Corporation.  A
.NET中的幕后英雄:MSCOREE.DLL
热门推荐
张羿的CSDN专栏
08-19 2万+
现在.NET Framework的开发的朋友应该是越来越多了,但是可能并非人人都对MSCOREE.DLL非常了解。而事实上,毫不夸张地说,MSCOREE.DLL是.NET Framework中最为核心的DLL之一,没有这个DLL,托管程序根本无法开始执行起来,但是由于这个DLL藏在System32目录下,根本无人问津,可以说是有点委屈了这位.NET Framework中的幕后英雄。本文主要讨论M
谈谈PE和ELF结构中的那些小事
KD的疯狂实验室
07-13 2494
如何区分32bit和64bitPE文件?PE结构中如何告诉系统是否需要动态基址?PE中如何区分dll和exe?......
《逆向工程核心原理》读书笔记——第13章 PE文件格式
Onlyone_1314的博客
09-29 1997
第13章 PE文件格式13.1 介绍13.2、PE文件格式13.2.1基本结构13.2.2 VA&RVA13.3 PE头13.3.1 DOS头13.3.2 DOS存根13.3.3 NT头13.3.4 NT头中的文件头1.Machine2.NumberOfSections3.SizeOfOptionalHeader4.Characteristics13.3.5 NT头中的可选头1.Magic2.AddressOfEntryPoint3.ImageBase4.SectionAlignment, File
用Dumpbin命令的Headers查看一下.dll文件的各节信息列表
u014023993的专栏
03-14 2108
用Dumpbin命令的Headers查看一下.dll文件的各节信息列表:若.dll文件名为Hook,假设Hook.dll文件所在目录为C:\Users\Hook\Debug则在cmd命令中输入C:\Users\Hook\Debug>dumpbin -headers Hook.dll,则会显示: Microsoft (R) COFF Binary File Dumper Version 6.0
IDLE行号设置及linenumbers修改
huiDR0的博客
07-30 3791
最重要的想法来自大佬,但是这位大佬把一个图片弄错了,应该是在config-extensions.def修改设定,但是他的图弄成了config-keys.def。 LineNumbers.py文件是在百度经验里面下载的度娘 更具大佬的说法推论可以推测:我们不能直接用大牛的东西,可能是因为他们用的python版本和我们的不一样。因为我就发现我没有原始文件里的configHandler。py,只有con...
汇编与C配合
04-26 1274
1、先准备两个程序,一个汇编、一个C语言在汇编中没有定义变量,因为在一个模块中不会有问题;在C中定义了两个函数,一些局部变量,一些全局变量;这样我们要考虑的内容都完备了。ms.asm mc2.c .386 int sum(int i){ .model flat int k = i; extrn c m:near int j = 0; public _start int s = 0; .code f
VS中调试时不能关联源代码问题
埃秒人生(MicroDream Soft)
02-08 7666
VS中调试时不能关联源代码问题 /*****************************************************************/ /**  本人原创文章,转摘请保留本段内容,万分感谢! /**  microdreamsoft(Lin Shaohua): /**  由于本人水平有限,欢迎各位高手指正。 /**  本人所有原创文章将发布在
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值