自已写的一段清除Vking病毒文件感染的代码

最新推荐文章于 2021-07-15 02:00:29 发布
最新推荐文章于 2021-07-15 02:00:29 发布
阅读量1.7k 收藏 1
点赞数
分类专栏: windows API与底层 五花八门 文章标签: null string vector file iostream exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zjh824/article/details/1574056
版权

一次不小心误中了威金病毒(即VKING)的变种,机器上的所有EXE文件都感染了,EXE文件都变成了DOS程序的图标.到网上找遍了杀毒的工具,很遗憾的是没有找到可以真正清除病毒的工具,一般都是直接把文件删除,说是感染了病毒. 由于不想重装系统,有很多东东要装,太累人,没办法,只有自已手动解决.

在清除病毒驻留程序后,要小心不能再点击那些已经病毒感染变成DOS图标的文件,否则就会再次感染.找一个被病毒已经感染的文件,然后找到未被感染的文件(从RAR包里面重新解压出来),然后用16进制编辑器比较后,发现被感染的文件都变大了64K左右,仔细查看后发现感染的文件头与原来的不一样,再查看一下,发现原来就是在文件的前面一段把病毒文件插了进去,在病毒代码的后面就是原来的EXE文件.每个感染的文件都是在64K左右的地方还有一个"MZ"标志.

SO,开始动手清除,先提取病毒段存成一个文件(用它来作匹配查找),由于系统的一些文件也被感染了,所以VC6不能编译MFC,只有用标准的SDK写法,也没有用什么类,一个CPP搞定.主要涉及的地方就是文件的遍历和映射,日志保存和文件备份.全部代码如下 

#include  " stdafx.h "
#pragma  warning(disable:4786)
#include  < Shlwapi.h >
#include  < assert.h >
#include  < iostream >
#include  < string >
#include  < vector >
#include  < fstream >
using   namespace  std;

 const  UINT VIRUSLENGTH  =   63018 ; // 病毒原体长度


void  CheckDir( string  str);
 void  CheckFile( const   char   * szFile);
LPBYTE MapFile( const   char   * szFile, HANDLE  & hFile, HANDLE  & hMap,
               DWORD dwLenght  =  VIRUSLENGTH, BOOL bNew  =  FALSE);
 void  ReleaseAll();
 void  KillAllVirus();
DWORD GetFileLength( const   char   * szFile);
 void  ErrorLog( const   char   * szFile,  const   char   *  szError);

HANDLE hViruFile  =  NULL;
BYTE  *  lpVirus  =  NULL;
HANDLE hViruMap  =  NULL;
vector < string >  vec_vf;

 int  main( int  argc,  char *  argv[])
 {
    string str("");
    while(str.empty())
    {
        cout<<"please type a dir"<<endl;
        cin>>str;
        if(!str.empty() && ::PathFileExists(str.c_str()))
            break;
    }

    ::DeleteFile("log.txt");
    char szVirus[MAX_PATH];
    GetModuleFileName(NULL,szVirus, MAX_PATH);
    lstrcpy(strrchr(szVirus, '/'), "/virus.bak");
    lpVirus = MapFile(szVirus, hViruFile, hViruMap);
    if(lpVirus == NULL)
    {
        cout << szVirus << "未能成功建立文件映射" <<endl;
        while(1)
        {
            string str;
            cin >> str;
            if(!str.empty())
                break;
        };
        return 0;
    }
    vec_vf.clear();
    CheckDir(str);
    if(vec_vf.empty())
    {
        cout << "未找到病毒文件" <<endl;
        while(1)
        {
            string str;
            cin >> str;
            if(!str.empty())
                break;
        };
        return 0;
    }
    else
    {
        cout<<"找到病毒文件"<< vec_vf.size() <<"" <<endl;
        cout <<"press any key to kill virus" <<endl;

        while(1)
        {
            string str;
            cin >> str;
            if(!str.empty())
                break;
        };

        KillAllVirus();
        cout <<"杀毒完成" <<endl;
    }
    ReleaseAll();
    while(1)
    {
        string str;
        cin >> str;
        if(!str.empty())
            break;
    };
    return 0;
}

void  ReleaseAll()
 {
    if(lpVirus !=NULL)
    {
        ::UnmapViewOfFile(lpVirus);
        lpVirus = NULL;
    }
    if(hViruMap != NULL)
        CloseHandle(hViruMap);
    
    if(hViruFile != INVALID_HANDLE_VALUE)
        CloseHandle(hViruFile);

}

LPBYTE MapFile( const   char   * szFile, HANDLE  & hFile, HANDLE  & hMap, DWORD dwLength , BOOL bNew)
 {
    hFile = CreateFile(szFile, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ, NULL, 
        bNew ? CREATE_NEW : OPEN_EXISTING,    FILE_ATTRIBUTE_NORMAL, NULL);
    if(hFile == INVALID_HANDLE_VALUE)
    {
        cout << szFile << "打开失败" <<endl;
        ErrorLog(szFile, "打开失败");
        return NULL;
    }
    hMap = ::CreateFileMapping(hFile, NULL, PAGE_READWRITE, 0, dwLength, NULL);
    if(hMap == NULL)
    {
        cout <<szFile <<"映射失败" <<endl;
        ErrorLog(szFile, "映射失败");
        return NULL;
    }
    return (LPBYTE)::MapViewOfFile(hMap, FILE_MAP_WRITE, 00,dwLength);
}


void  CheckDir( string  str)
 {
    //string strExt = "*.*";
    string strFile = str + "/*.*";
    WIN32_FIND_DATA fd;
    HANDLE hf = ::FindFirstFile(strFile.c_str(), &fd);
    if(hf == INVALID_HANDLE_VALUE)
        return;
    BOOL bWork = TRUE;
    while(bWork)
    {
        string strFileName = fd.cFileName;
        if(strFileName == "." || strFileName == "..")
            ;
        else if(fd.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY ) 
        {
            string strNext = str + "/" + fd.cFileName;
            CheckDir(strNext);
        }
        else if(strFileName.size() > 4 && ((strFileName.substr(strFileName.size() - 44== ".exe")
            || (strFileName.substr(strFileName.size() - 44== ".EXE")))
        {
            string strCheckFile = str + "/" + strFileName;
            CheckFile(strCheckFile.c_str());
        }
        bWork = ::FindNextFile(hf, &fd);
    }
    FindClose(hf);
}


void  CheckFile( const   char   * szFile)
 {
    if(GetFileLength(szFile) < VIRUSLENGTH)
        return;
    int  bCheck;
    HANDLE hCheckFile = NULL;
    HANDLE hCheckMap = NULL;
    LPBYTE lpCheck = NULL;

    lpCheck = MapFile(szFile, hCheckFile, hCheckMap);
    if(lpCheck == NULL)
    {
        cout << szFile << "映射文件失败" <<endl;
        goto ERRORCHECK;
    }

     bCheck = memcmp(lpCheck, lpVirus, VIRUSLENGTH);
    if(memcmp(lpCheck, lpVirus, VIRUSLENGTH) == 0)
    {
        cout << "--------发现病毒文件" << szFile <<endl;
        vec_vf.push_back(szFile);
    }
ERRORCHECK:
    if(lpCheck != NULL)
        ::UnmapViewOfFile(lpCheck);
    if(hCheckMap != NULL)
        CloseHandle(hCheckMap);
    if(hCheckFile != NULL)
        CloseHandle(hCheckFile);
}

void  KillAllVirus()
 {
    vector<string>::iterator it;
    for(it = vec_vf.begin(); it != vec_vf.end(); ++it)
    {
        string strNewFile( it->substr(0, it->size() - 3));
        strNewFile += "zjh";
        int result = ::rename(it->c_str(), strNewFile.c_str());
        if(result != 0)
        {
            cout<< *it << "文件改名备份失败" << endl;
            ErrorLog(it->c_str(), "文件改名备份失败");
            continue;
        }
        DWORD dwFileLength = GetFileLength(strNewFile.c_str());
        assert(dwFileLength);    
        
        HANDLE hSrcFile, hSrcMap;
        HANDLE hDestFile, hDestMap;
        LPBYTE lpSrc, lpDest;
        FILETIME ftCreate, ftAccess,ftWrite;
        DWORD dwRealLen = dwFileLength - VIRUSLENGTH;
        lpSrc = MapFile(strNewFile.c_str(), hSrcFile, hSrcMap, dwFileLength);
        lpDest = MapFile(it->c_str(), hDestFile, hDestMap, dwRealLen, TRUE);
        if(hSrcFile != NULL)
            ::GetFileTime(hSrcFile, &ftCreate, &ftAccess, &ftWrite);
        if(lpSrc != NULL && lpDest != NULL)
        {
            memcpy(lpDest,lpSrc + VIRUSLENGTH, dwRealLen); 
            ::FlushViewOfFile(lpDest, dwRealLen);
        }
        else if(lpSrc == NULL)
        {
            cout << strNewFile << "建立映射失败" << endl;
            ErrorLog(strNewFile.c_str(), "建立映射失败" );
            goto Error;
        }
        else
        {
            cout << *it << "建立新文件,映射失败" << endl;
            ErrorLog(it->c_str(), "建立新文件,映射失败" );
            goto Error;
        }
Error:
        if(lpSrc != NULL)
            ::UnmapViewOfFile(lpSrc);
        
        if(lpDest != NULL)
            ::UnmapViewOfFile(lpDest);
        if(hSrcMap != NULL)
            CloseHandle(hSrcMap);
        if(hDestMap != NULL)
            CloseHandle(hDestMap);
        if(hSrcFile != NULL)
            CloseHandle(hSrcFile);
        if(hDestFile != NULL)
        {
            ::SetFileTime(hDestFile, &ftCreate, &ftAccess, &ftWrite);
            CloseHandle(hDestFile);
        }
    }
}

DWORD GetFileLength( const   char   * szFile)
 {
    HANDLE hFile = CreateFile(szFile, GENERIC_READ | GENERIC_WRITE, FILE_SHARE_READ, NULL, OPEN_EXISTING,
        FILE_ATTRIBUTE_NORMAL, NULL);
    if(hFile == INVALID_HANDLE_VALUE)
        return 0;
    DWORD dwLength = ::GetFileSize(hFile, NULL);
    CloseHandle(hFile);
    return dwLength;
}

void  ErrorLog( const   char   * szFile,  const   char   *  szError)
 {
    ofstream f("log.txt", ios::app);
    f << szFile << szError <<endl;
    f.close();
}
zjh824
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
清除病毒代码
03-08 3111
#define DEBUGMSG#include #include #include #include #include #include "Psapi.h"#pragma comment (lib,"Psapi.lib")#define erron GetLastError ()#define FIVE 50#define HIGH 255TCHAR name[FIVE]={0};    //保
php 清理脚本病毒,Autorun 病毒清除工具bat代码
weixin_42139252的博客
04-07 295
@Echo Offcolor 2ftitle Autorun 病毒清除工具-By PhexonRem 杀进程taskkill /F /IM SocksA.exe /IM SVOHOST.exe /IM AdobeR.exe /IM ravmone.exe /IM wincfgs.exe /IM doc.exe /IM rose.exe /IM sxs.exe /IM autorun.exe /IM...
威金病毒(viking)症状和治理方法(rundl132.exe,logo1_.exe以及dll.dll)
clubsondy的专栏
02-04 2756
 威金病毒(viking)症状和治理方法(rundl132.exe,logo1_.exe以及dll.dll) 如果进程中发现rundl132.exe,logo1_.exe以及dll.dll,文件在windows目录下,那么你的硬盘上肯定能搜索出成千上万的‘_desktop.ini’文件!几乎所有的exe文件也就被感染了!首先,我还是建议你用最新的,以下推荐的杀毒软件等杀毒,因为手工清除
威金杀毒软件
04-08
威金杀毒软件
威金Worm.Viking病毒分析及处理
weixin_33694172的博客
11-30 780
威金Worm.Viking病毒分析及处理 本文针对最近一段时间非常流行且破坏性较大的威金worm.viking病毒做一些浅显的分析,并综合本人的处理经验,希望对各位有所启发。在此谢谢ID“还是马褂”给予的鼓励。不尽之处,多谢指点。(文中所提相关软件,若有读者希望测试使用,请留下电子邮箱等联系方式) 威金Worm.Viking病毒分析及处理现象:1. 中毒...
bat转化为exe可执行文件软件
01-22
在IT行业中,有时我们需要将批处理脚本(BAT文件)转换为可执行文件EXE文件),以便更安全地分发和运行。标题提到的"bat转化为exe可执行文件软件"正是为此目的而设计的工具。它允许用户将编好的批处理命令封装成...
很厉害的杀毒软件(维金+木马)
10-05
.bat文件是批处理文件,是Windows系统中的一种脚本文件格式,用于执行一系列命令行操作。 总的来说,这款“很厉害的杀毒软件(维金+木马)”以其高效的扫描速度和针对性的防护能力,成为了对抗木马和蠕虫的强大武器...
第6课:词嵌入(word2vec)与相关应用.pdf
11-18
词嵌入,也称为word2vec,是自然语言处理(NLP)中的一种关键技术,它在机器学习领域,特别是深度学习的应用中占有重要地位。词嵌入的主要目标是将词汇转化为连续的、低维度的向量表示,这些向量能够捕捉到词与词...
如何手动清除Viking病毒
cncanvas的专栏
09-15 1242
首先viking病毒的所有发作症状就不必再罗列了。介绍下自己的解决办法吧。。未必是最好的。。但到目前为止系统运行正常。1.运行windows update把系统的补丁打上.2.修改你登录系统时的密码,如果没猜错的话.你在登录系统时没有设置密码.viking病毒正是利用了这一特征.设置密码虽然在每次登录系统时麻烦了点,但必竟比病毒发作要强不少了,很多人都是因为这一点中了viking病毒的,俺自己也不
xls文件感染病毒的处理方法
zhhyyspy的专栏
03-18 5020
今天老师给了一个感染了宏病毒的XLS文件,QQ杀毒检不出病毒(这娱乐杀毒软件当然了) 具体表现为打开后会不断重复打开本文件,导致打开的窗口指数增加,最终死机 U盘拷回来后,windows defender立即检测出了病毒 问题不在于杀毒,而是在于杀毒后怎么保留XLS里面的信息,就是无损杀毒 WD提供的选项只有隔离和删除,文件也不给你打开
江民下的vking病毒专杀工具不是太好使
weixin_33907511的博客
12-21 108
正在查询关于手工处理vking病毒的方法。 江民下的专杀工具不是太好使 转载于:https://blog.51cto.com/46194/13025
威金蠕虫病毒症状和清除解决方法
axl19530209的专栏
01-03 5019
电脑中威金病毒的症状和病毒表现:   1. 某些杀毒软件的实时监控无法启动(例如:瑞星的实时监控中心)     2. 部分图标变得模糊     3. 进程里面出现例如 Logo_1.exe , 0Sy.exe等莫名其妙的东西     4. C盘隐藏文件出现 _desktop.ini(隐藏文件)     5. 磁盘的autorun被修改,以至于双击磁盘盘符时提示出错   随即用瑞
介绍一种计算机病毒并如何清理,如何清除顽固的计算机病毒和木马
weixin_30995363的博客
07-15 5447
您仍然担心那些顽固的计算机病毒会损害您的计算机吗?不要害怕!学习编辑器,教您如何解决!以下是研究编辑器如何清除顽固病毒和木马的详细介绍!希望对您有所帮助!清除顽固病毒木马方法的介绍:1. 使用QQ卸载顽固的程序: 将QQ安装目录中的unins000.exe文件复制到要卸载的文件的安装目录中,然后执行该程序!此方法用于卸载那些丢失的文件或损坏的文件具有特殊效果的卸载程序.2. Winamp卸载程序...
病毒java代码大全_java--IO 一个简单的删除病毒程序(简单版)
weixin_30191159的博客
02-25 975
要求:1、模拟一个病毒 exe文件;2、通过IO查找并进行删除;分析:1、首先要先建一个删除的方法;2、判断你要查找的文件中是否有你想要删除的文件import java.io.File;import java.io.IOException;public class Antivirus {//定义一个删除的方法public static boolean deleteFile(File source,...
_desktop.ini病毒清除
TonyWang的专栏
08-01 5652
关于_desktop.ini这个文件还要从上次我电脑被病毒强奸了说起。上次中了viking病毒之后,发现某些目录里有_desktop.ini文件,起初和desktop.ini弄混了,以为是desktop.ini呢,今天往服务器上传东西的时候才发现不对劲,很多目录里都有这东西,于是上网搜索了一下,原来是杀了viking病毒后遗留下的。那么多的_desktop.ini该怎么清理呢?下面给出两个清理方法
一个可恶的javascript病毒/木马解码之后的代码
小橙的第一播
11-02 9033
中毒的话,整个网络都会受影响,表现为所有的IE浏览器打开的网页都会在前面加一个 javascript 的连接。清除比较麻烦。显示的这段是这个链接后面的代码:var vDA1 = new window["Date"]() vDA1["setTime"](vDA1["getTime"]() + 24*60*60*1000)var eOTo$2 = new window["String"](wi
威金病毒(viking)症状和治理方法
Be Loved&Lonely
06-06 2739
症状总结一: 一、该病毒特点: 病毒类型:蠕虫 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003 病毒行为: 该病毒猈indows平台下集成可执行文件感染、网络感染、下载网络木马或其它病毒的复合型病毒病毒运行后将自身伪装成系统正常文件,以迷惑用户,通过修改注册表项使病毒开机时可以自动运行,同时病毒通过线程注入技术绕过防火墙的监视,连接到病毒作者指定的网站下载特
word2vec:词嵌入技术与NLP应用详解
"第6课:词嵌入(word2vec)与相关应用"是一份深入讲解自然语言处理(NLP)中词嵌入技术的教程,由七月在线的寒小阳在2016年12月11日提供。该课程介绍了NLP处理方法的发展,从传统的基于规则方法(如HMM、CRF、SVM、LDA...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值