网络调试助手反编译
发布时间: 2024-09-01 15:38:41
‘壹’ 如何修改EXE文件
你这个文件很可疑啊,系统有可能有木马,要小心。也有可能不是这个文件,它只是一个助手,还有一个在后台运行的。
那个被怀疑木马的程序,一直在监视某些程序是否有运行,如果有就用远程注入的方式注入这个程序,修改一些API的入口地址,让它可以拦截或改变程序的运行状况。
你用msconfig工具看看系统启动时运行了哪些程序,木马可能就在里面,或升级病毒库。或者你把这个文件改名字,它就注入不了。
一般来说,用远程注入的方式注入程序都要小心,除非它是因为调试或其它可信任的原因。
=================================
从你的问题补充看,如果它真的只注入那个文件,问题应该不大。注入也是陂解的其中一种方案,有些软件由于有自我验证/保护或算法太过复杂或者其它原因,使得离线的陂解有很高的难度,因此采用注入的方式(在线陂解)直接拦截程序的API调用使程序能修正其一些运作流程,让程序运行时不受一些不必要的限制。
当然,也不是说完全没有风险,这要视乎写这个补丁的作者的心态,因为注入方式也很容易获取系统的最高权限。建议你多及时更新病毒库和对它进行一段时期的观察,看看对系统有无其它影响就可。
===========================================
修改EXE很不难,execope等其它都可以改,但问题是应该怎么改,改哪个,改了是否能解决问题。
从经验看,这种注入式怀疑种木马的情况,是不需要改exe文件的,改了也未必能解决问题,只要找出它运行的一些规律性,把元兇揪出来就可以了。
热点内容