病毒反編譯
1. 可以反編譯木馬apk嗎
您好
如果木馬APK源代碼沒有加密
是可以通過反編譯軟體進行反編譯的
如果您反編譯的目的是為了修改木馬繼續傳播,請不要傳播病毒、盜號木馬程序,惡意傳播病毒和木馬會污染互聯網環境,請您加入到維護網路安全的大軍中!
QQ木馬程序會導致您和他人的帳號和密碼泄露,從而可能使您和他人的QQ財產,如游戲、QB等受到嚴重威脅,嚴重的還會違反法律。
請您不要輕易安裝陌生人傳送給您的未知文件,有可能是病毒或者木馬。
建議您安裝騰訊電腦管家對您的電腦進行實時防護,保護您的電腦安全運行,避免給您的財產和個人隱私帶來威脅。
騰訊電腦管家企業平台:http://..com/c/guanjia/
2. 如何防止代碼被反編譯
針對代碼反編譯,推薦使用CBS賽博鎖,通過把安全容器內嵌到操作系統中,對容器內的應用和數據進行加鎖,程序和數據在容器內運行,實現最後一米數據安全,防止核心數據被泄露,防止伺服器終端中病毒,防止反編譯,反破解。
3. 今天電腦中病毒了,提供病毒文件誰能反編譯一下
這表現和autorun病毒一個樣哈,起碼類似,形式。
4. 如何反編譯木馬程序
木馬程序是一種程序,它能提供一些有用的,或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能,例如在你不了解的情況下拷貝文件或竊取你的密碼。
RFC1244(Request for Comments:1244)中是這樣描述木馬的:「木馬程序是一種程序,它能提供一些有用的,或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能,例如在你不了解的情況下拷貝文件或竊取你的密碼。」隨著互聯網的迅速發展,木馬的攻擊、危害性越來越大。木馬實質上是一個程序,必須運行後才能工作,所以會在進程表、注冊表中留下蛛絲馬跡,我們可以通過「查、堵、殺」將它「緝拿歸案」。
查
1.檢查系統進程
大部分木馬運行後會顯示在進程管理器中,所以對系統進程列表進行分析和過濾,可以發現可疑程序。特別是利用與正常進程的CPU資源佔用率和句柄數的比較,發現異常現象。
2.檢查注冊表、ini文件和服務
木馬為了能夠在開機後自動運行,往往在注冊表如下選項中添加註冊表項:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce
木馬亦可在Win.ini和System.ini的「run=」、「load=」、「shell=」後面載入,如果在這些選項後面載入程序是你不認識的,就有可能是木馬。木馬最慣用的伎倆就是把「Explorer」變成自己的程序名,只需稍稍改「Explorer」的字母「l」改為數字「1」,或者把其中的「o」改為數字「0」,這些改變如果不仔細觀察是很難被發現。
在Windwos NT/2000中,木馬會將自己作為服務添加到系統中,甚至隨機替換系統沒有啟動的服務程序來實現自動載入,檢測時要對操作系統的常規服務有所了解。
3.檢查開放埠
遠程式控制制型木馬以及輸出Shell型的木馬,大都會在系統中監聽某個埠,接收從控制端發來的命令,並執行。通過檢查系統上開啟的一些「奇怪」的埠,從而發現木馬的蹤跡。在命令行中輸入Netstat na,可以清楚地看到系統打開的埠和連接。也可從www.foundstone.com下載Fport軟體,運行該軟體後,可以知道打開埠的進程名,進程號和程序的路徑,這樣為查找「木馬」提供了方便之門。
4.監視網路通訊
對於一些利用ICMP數據通訊的木馬,被控端沒有打開任何監聽埠,無需反向連接,不會建立連接,採用第三種方法檢查開放埠的方法就行不通。可以關閉所有網路行為的進程,然後打開Sniffer軟體進行監聽,如此時仍有大量的數據,則基本可以確定後台正運行著木馬。
堵
1.堵住控制通路
如果你的網路連接處於禁用狀態後或取消撥號連接,反復啟動、打開窗口等不正常現象消失,那麼可以判斷你的電腦中了木馬。通過禁用網路連接或拔掉網線,就可以完全避免遠端計算機通過網路對你的控制。當然,亦可以通過防火牆關閉或過濾UDP、TCP、ICMP埠。
2.殺掉可疑進程
如通過Pslist查看可疑進程,用Pskill殺掉可疑進程後,如果計算機正常,說明這個可疑進程通過網路被遠端控制,從而使計算機不正常。
殺
1.手工刪除
對於一些可疑文件,不能立即刪除,有可能由於誤刪系統文件而使計算機不能正常工作。首先備份可疑文件和注冊表,接著用Ultraedit32編輯器查看文件首部信息,通過可疑文件裡面的明文字元對木馬有一個大致了解。當然高手們還可以通過W32Dasm等專用反編譯軟體對可疑文件進行靜態分析,查看文件的導入函數列表和數據段部分,初步了解程序的主要功能。最後,刪除木馬文件及注冊表中的鍵值。
2.軟體殺毒
由於木馬編寫技術的不斷進步,很多木馬有了自我保護機制。普通用戶最好通過專業的殺毒軟體如瑞星、金山毒霸等軟體進行殺毒,對於殺毒軟體,一定要及時更新,並通過病毒公告及時了解新木馬的預防和查殺絕技,或者通過下載專用的殺毒軟體進行殺毒(如近期的沖擊波病毒各大公司都開發了查殺工具)。
5. 為什大多數免殺,都將病毒文件反編譯成匯編代碼而不是高級語言代碼 是不是為了統一。。
wxw072理解的沒錯~
已經編譯好的可執行程序都是以二進制碼組成的
匯編這種低級語言和二進制碼是一一對應的關系
所以反編譯的時候,只要讀取硬碟或內存中的程序編碼
既可以很簡單的反編譯為匯編語言。
這樣方便實現而且錯誤率極低
而高級語言其實是一種給人看的語言,而不是給機器看的~~
機器只能看懂機器碼,匯編其實只不過是機器碼的另一種形勢,但高級語言則完全是另一種東西。
把可執行文件直接反編譯為高級語言的軟體並不多,而且反編譯出來的高級語言往往也只能做個參考,不能完全依賴
(java貌似可以,但這是因為java程序是在JVM上運行的,不依賴操作系統,也不直接操作機器。所以用java編寫並生成的程序本身也不是機器碼的。而只是一種中間代碼,這樣就很容易反編譯回java語言狀態)
何況病毒一類的東西的程序大多是加殼加花的~
這樣幾乎就沒啥可能直接反編譯成高級語言了~
只能在匯編語言下進行調試和修改
因為加殼加花是為了迷惑人的,而不是為了迷惑機器的(廢話,如果連機器都迷惑了,那這個程序就執行不了了……)
所以反匯編就是從機器的角度去讀這個程序。以求最大的成功率
而反編譯為高級語言,屬於逆向工程的范疇,很深的一門學科
是需要通過反編譯的匯編代碼,人為的恢復成高級語言代碼,挺難的~~
6. 那些高手們是如何看到病毒的源文件的
看是啥情況,專業公司的通過別人的舉報和設置蜜罐機來捕獲病毒文件
分析文件,vbs這類的直接就可以看代碼了
exe這類二進制的通常用ida
pro這里靜態反編譯的工具看匯編代碼和資源
7. ~~~~(>_<)~~~~ 可不可以也發我一份兒萬分感謝啊!找了好多反編譯,都是病毒。好郁悶!
這個東西在網上搜尋不到嗎??我以前的找不到了。。。
8. 怎麼樣反編譯病毒代碼
反編譯,反編譯還不就是用apktool反編譯啊
9. 不是說程序都是反編譯的嗎那病毒等程序的源代碼別人是如何知道的
反編譯只是讓其他人不容易獲得源代碼而已,理論上只要能執行的程序都可以通過機器碼變為匯編代碼,大家可以研究其代碼。
由於病毒程序一般較小,代碼被反編譯後更容易閱讀。
如果把windowsXP反編譯,閱讀的工作量將是一個天文數字!