網路調試助手反編譯
發布時間: 2024-09-01 15:38:41
『壹』 如何修改EXE文件
你這個文件很可疑啊,系統有可能有木馬,要小心。也有可能不是這個文件,它只是一個助手,還有一個在後台運行的。
那個被懷疑木馬的程序,一直在監視某些程序是否有運行,如果有就用遠程注入的方式注入這個程序,修改一些API的入口地址,讓它可以攔截或改變程序的運行狀況。
你用msconfig工具看看系統啟動時運行了哪些程序,木馬可能就在裡面,或升級病毒庫。或者你把這個文件改名字,它就注入不了。
一般來說,用遠程注入的方式注入程序都要小心,除非它是因為調試或其它可信任的原因。
=================================
從你的問題補充看,如果它真的只注入那個文件,問題應該不大。注入也是陂解的其中一種方案,有些軟體由於有自我驗證/保護或演算法太過復雜或者其它原因,使得離線的陂解有很高的難度,因此採用注入的方式(在線陂解)直接攔截程序的API調用使程序能修正其一些運作流程,讓程序運行時不受一些不必要的限制。
當然,也不是說完全沒有風險,這要視乎寫這個補丁的作者的心態,因為注入方式也很容易獲取系統的最高許可權。建議你多及時更新病毒庫和對它進行一段時期的觀察,看看對系統有無其它影響就可。
===========================================
修改EXE很不難,execope等其它都可以改,但問題是應該怎麼改,改哪個,改了是否能解決問題。
從經驗看,這種注入式懷疑種木馬的情況,是不需要改exe文件的,改了也未必能解決問題,只要找出它運行的一些規律性,把元兇揪出來就可以了。
熱點內容