作者丨黑蛋一、基本信息文件名称880753802c3e6f4b5269062d4e76200c66e3a71e2118702e24d2b32c19dddfd2文件类型(Magic)PE32 executable...这里流程不是很清楚,可以结合流程图看,但主体功能就是拷贝新的病毒,设置注册表隐藏文件不可见,加入自启动。...4.3、Timer2Timer这里同样是遍历文件,获取盘符,判断日期是不是1号,10号,21号,29号,是的话删除文件,进入44F078看看:4.4、Timer3Timer这里是注册表的一些操作,设置隐藏文件不可见...五、总结这个病毒是delphi写的,总体功能就是释放各种病毒子体,加入自启动,设置文件隐藏,设置隐藏文件不可见,判断日期之后对文件进行一个删除操作。...释放资源病毒,由于在我虚拟机没体现出这些行为,也就没有分析。同时在我物理机不小心运行了一下,结果F盘文件被隐藏了,然后替换成同名exe:
随手一百度,原来这是典型中了文件夹病毒的症状。 文件夹病毒,以U盘为传播媒介,以双击文件夹为触发事件的古老病毒。常见肆虐于打印店,高校实验室,高校老师的U盘。 这也可以理解,打印店算是个传播中心。...然后从网站上不小心下载了该病毒。该病毒会迅速传播,将电脑中原有的文件夹都隐藏起来,然后它自我复制一份同名的但是后缀是exe的文件。...此时该病毒的另一功能就显现出来了。它时刻监听有无U盘插入,如果有,则迅速扫描该U盘,并采取对电脑一样的操作,将U盘原内容都隐藏,并替换为神似源文件的病毒执行文件。...你点击病毒执行文件,仍能跳出你想要的文件内容(这是病毒最迷惑人的地方,也是他传播的手段之一),这是因为该病毒执行文件,一方面会运行病毒,感染文件,一方面也会扫描隐藏路径,如果能找到对应的真正文件,真正文件也会弹出来...病毒删除后,被病毒隐藏的源文件不会自己显示出来,其路径还是会被隐藏起来。这时候如果是个电脑白痴,可能会后悔操作了第一步,觉得一下子所有文件都被删除了。其实不用慌,很简单就可以恢复。 ?
Sha-1:0078540e071161ec7f14a80a462e775d6981c804 文件大小:148KB 创建时间:2013-02-19 13:01:38...文件类型:EXE 火眼点评 疑似伪装文件夹病毒;设置文件属性;查找文件;拷贝自身到其他目录;创建互斥体 新毒霸点评 经新毒霸云安全中心分析,该文件存在病毒...危险行为监控 行为描述:疑似伪装文件夹病毒 附加信息: %USERPROFILE%Local SettingsApplication DataStartupdate.exe...附加信息: %USERPROFILE%Local SettingsApplication DataStartupdate.exe 行为描述:查找文件...操作 文件MD5 文件大小 文件路径 新增 5f0805123f8586107daa1cfc38973e83 151552 %USERPROFILE%Local SettingsAppli...
今天刚刚学了Java文件操作,跟着老师的思路,迫不及待的制造了这个小病毒。 用到的是一些小知识,很简单。 创建文件和文件夹,向文件中写入字节。 我已渐渐的爱上了编程!!!...下面附上完整代码: import java.io.File; import java.io.FileOutputStream; import java.io.IOException; /** * @author...File file1 = new File(str1); File file2 = new File(str2); file1.mkdirs();//创建新文件夹...file2.createNewFile();//创建新文件 FileOutputStream file = new FileOutputStream(...str2); for(int j=0;j<1000;j++) file.write(48);//向文件中写入码值为48的这个值(也就是写入0)
分享一个真实的场景: 同学用 go 开发项目后,打包成 exe 交给客户后,客户反馈,你的二进制包像病毒。...一个注意点,你的 ico 文件不要搞太大,最大 256,再大就不能显示了。...三、生成 syso 文件 使用刚才的 rsrc 工具将 ico 文件转换成 syso 文件,命令如下: rsrc -ico main.ico -o main.syso 解析下这行命令:-ico 是指定你的...ico 文件,-o 是输出路径。...这一步,要在项目 main 入口文件的地方执行。 四、正常打包即可 现在你只要正常打包即可,你的 exe 文件,就不再那么黑布隆冬了。
在最近的一波攻击中,faust勒索病毒已经对使用Windows系统的计算机造成了广泛的破坏。该病毒利用加密技术锁定用户的文件,只有在支付一定数额的赎金后才会解锁这些文件。...如果你的计算机中也受到了这种勒索病毒攻击,那么下面将指导你如何还原受到加密的文件。...第一步:判断文件是否被加密如果你的计算机遭到了faust勒索病毒的攻击,那么你的文件通常会有一个明显的特征——文件名末尾有一个.faust后缀的扩展名。...第三步:查找解密工具在互联网上有很多针对各种勒索病毒的解密工具,你可以试一试。还有一些网络安全公司也在提供解密工具,这些都可以可以帮助解锁faust勒索病毒加密的文件。...为了预防勒索病毒,你应该定期备份计算机中的文件,不要打开任何来路不明的文件或链接,尽量避免使用USB或其他可移动媒体,同时请保持操作系统和安全软件的更新。
前言 文件夹exe病毒是一种流传甚广的病毒,经常由于用户的安全性不高而导致感染 如果您观察到您的U盘/硬盘分区有下列情形的时候,那么您的U盘/硬盘分区就感染了文件夹exe病毒 你可以看到这张截图有“两个...打开假文件夹,它表面上看会打开真正的文件夹,但是实际上,它在后台偷偷下载了病毒文件并试图感染更多的文件夹,此病毒会隐藏真正的文件夹,创建一个虚拟的文件夹(传播途径,也就是假文件夹) 由于此病毒年代过于久远...,请注意有没有珍贵文件需要备份 运行GUI.exe或GUI.py(Python环境下) 首先我们点击“清除电脑中的文件夹exe病毒”,这会读取注册表并找出病毒的主文件名并结束病毒进程,删除病毒主文件及其依赖文件...(包括易语言支持库),这还会删除所有的假文件夹,显示隐藏的真文件夹 上述操作完成后,部分文件夹exe病毒可能需要您手动删除,删除XP图标的文件夹exe即可 然后我们点击阻止病毒继续感染按钮,这会在病毒主程序存放的目录下...:点阻止病毒继续感染按钮后请不要再次使用”清除电脑中的文件夹exe病毒”,这会导致阻止功能失效!!!
作者:Hcamael & 0x7F@知道创宇404实验室 时间:2018年12月4日 0x00 前 言 近日,互联网上爆发了一种名为 lucky 的勒索病毒,该病毒会将指定文件加密并修改后缀名为...知道创宇404实验室在了解该勒索病毒的相关细节后,迅速跟进并分析了该勒索病毒;着重分析了该病毒的加密模块,并意外发现可以利用伪随机数的特性,还原加密密钥,并成功解密了文件,Python 的解密脚本链接:...0x01 lucky 病毒简介 lucky 勒索病毒可在 Windows 和 Linux 平台上传播执行,主要功能分为「文件加密」、「传播感染」与「挖矿」。...0x02 病毒流程图 lucky 勒索病毒的整体结构依然延续 Satan 勒索病毒的结构,包括以下组件: 预装载器:fast.exe/ft32,文件短小精悍,用于加载加密模块和传播模块 加密模块:cpt.exe...,lucky 病毒会将用于文件加密的 AES 密钥使用 RSA 算法打包并添加至文件末尾。
最近,因为U盘用的比较频繁,所以经常会感染到病毒,最常见的就是原来的文件夹后面增加了扩展名,变成了可执行文件。如原文件夹为“老舍”,感染病毒后变为“老舍.exe”。大小为665.KB。...但是这种病毒不影响文件夹中文件的使用,只会影响文件夹的复制,粘贴,且它只存在在第一层目录中,后面的就没有影响。 我给出的解决办法(只针对U盘)是:下载DirFixer.exe,并运行。...这样会恢复出原来的文件夹,且exe文件夹仍然存在,删除即可。...但是,如果要根本性的清除这种病毒(电脑端)的话,我给出的建议是,使用everything这个软件,找出所有665KB大小的exe文件夹,统一删除(其中可能会遇到rundll32.exe这个文件夹删除警告...然后,在使用DirFixer.exe这个软件恢复出原文件夹。 版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。
在用户收到发送过来的文件后 , 要能够检测出这个文件是否是病毒 , 核心的软件是clamav , 可以在linux命令行执行,检测文件或目录里的病毒 下载和安装可以参考其他博文 需要注意的是要开启下配置文件中的...tmp/clamd.socket 运行时是以守护进程的方式运行着一个clamd的程序 , 检测的时候只需要调用下面命令 /usr/local/clamav-0.102.1/bin/clamdscan 文件
笔者在使用U盘时,无意之间发现U盘所有文件的后缀名均变为“.exe”,经过查询相关资料,确认这是一种病毒(文件夹EXE病毒) 一、简介:木马名称:Worm.Win32.AutoRun.soq,当把U盘插入到一台电脑后...,U盘内生成了以原文件夹名字命名的文件,且扩展名为exe,其原理是把原来的文件隐藏,重新生成同名的exe文件。...: 3.进行安装,注意取消默认绑定安装的其他软件: 4.安装完成后,注意取消所有绑定软件前面的对勾: 该网站上面有较为详细的操作方法,根据软件提示进行操作即可完美恢复U盘文件
点击上方蓝字关注我 1.病毒文件的基本信息分析 ? 1.1 病毒文件具体展示 病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件。 ?...1.2 病毒信息具体提示 打开解压病毒文件以及打开病毒文件就会被杀毒软件提示是恶意软件,它属于trojan.generic病毒。 ?...1.6 监控病毒文件行为 通过Procmon进程监控工具进行可以监控进程启动时,该病毒文件会删除自身文件,并重新创建一个新docx文件并将原来的文件内容写入到文件中。 ?...下面是病毒运行后释放出来的原始文件,第二个文件是为了分析用,不让其进行自动删除病毒文件。 ? 2.病毒文件的关键功能信息分析 ?...通过对该病毒样本的基本信息分析,可以了解到该病毒的整个流程是:启动病毒文件获取病毒文件的路径及文件相关信息,释放出原始的文件到病毒文件所在的路径,并将运行的环境信息上传到病毒服务器,接着自动删除病毒文件
Windows中病毒木马的时候,fonts目录是病毒木马最喜欢的藏匿点之一,但是你打开fonts文件后找不到病毒,这是因为fonts视图不是普通文件夹视图 image.png 如何变成普通文件夹视图?...文件夹特殊样式是靠文件夹里的desktop.ini控制的,只要删了desktop.ini即可 cmd命令行执行del c:\windows\fonts\desktop.ini再打开文件夹按类型排序查看....exe就能看到病毒木马文件了 image.png 获取字体目录里异常进程的命令如下(结果集里并不都是病毒,命令的作用是排除掉字体文件把剩下的文件列出来) wmic datafile where "drive...fon' and extension'ttc' " get Name,Path,CreationDate,LastAccessed,LastModified /value 第3条命令是把每一个匹配到的文件按列值以文件维度逐个打印...: 从services.msc服务列表里看很容易漏掉这个服务,藏匿得太像正常服务了,上面的是挖矿病毒,下面的才是正常服务 image.png image.png image.png 用杀毒软件处理完毕后
一、病毒简述之前分析了一下,分析的较为简单,这次又详细分析了一下。...文件名称00fbfaf36114d3ff9e2c43885341f1c02fade82b49d1cf451bc756d992c84b06文件格式RAR文件类型(Magic)RAR archive data...,文件夹中创建了三个文件。...四、静态分析1、病毒本体病毒本体拖入Ida,打开start,F5可以看到这里很纯洁,加载了wsc.dll,并调用run函数,我们继续调试wsc.dll中run函数。...我们动态附加病毒,跟进run函数,记录LocalAlloc函数申请空间地址,等for循环结束之后,二进制复制拷出这段内存,在010Editor中进行保存为文件,拖到Ida中,可以发现是一个dll。
公司准备接手一个移交过来的项目,项目是 Java 写的,本来这种事情比较普遍没有什么太新鲜的事情,只要把代码、文档、环境等尽可能详细的沟通清楚,也就算完事了。...我想,几个 Java 文件还报病毒,这 IDEA 半天加载不完项目,就顺手把杀软停掉了。当项目加载完成以后,我打开了刚才报毒的那个文件,那个文件是一个第三方的 js 库文件,打开以后文件是空的。...我就只能去码云上查看这个文件,一看果然是有病毒。病毒如下: <!...费了半天劲,原来是个跑不起来的病毒,这个作者这么辛苦地感染了第三方库文件,然后还给病毒加了壳,结果最后应该是复制病毒的十六进制时复制的有问题了,导致它成了一个不能运行的东西。...好吧,其实这样的事情是第二次遇到了(就是 Java 项目中存在这样被病毒感染的 js 文件或者 HTML 文件),对于 macOS 环境应该是无所谓了,但是 js 是浏览器端解析执行,用 Windows
【问题描述】 有一天,小y突然发现自己的计算机感染了一种病毒!还好,小y发现这种病毒很弱,只是会把文档中的所有字母替换成其它字母,但并不改变顺序,也不会增加和删除字母。 ...小y很聪明,他在其他没有感染病毒的机器上,生成了一个由若干单词构成的字典,字典中的单词是按照字母顺序排列的,他把这个文件拷贝到自己的机器里,故意让它感染上病毒,他想利用这个字典文件原来的有序性,找到病毒替换字母的规律...现在你的任务是:告诉你被病毒感染了的字典,要你恢复一个字母串。 【输入格式】virus.in 第一行为整数K(≤50000),表示字典中的单词个数。 ...以下K行,是被病毒感染了的字典,每行一个单词。 最后一行是需要你恢复的一串字母。 所有字母均为小写。 【输出格式】virus.out 输出仅一行,为恢复后的一串字母。
image.png 很多人说病毒清除掉后留下很多尸体文件,虽然可以删除,但是他们无处不在,一个个干掉实在是太麻烦了。...以上是一个方法,但是下面这个方法会让你更爽,因为你不但要干掉这些该死的病毒,还能从中学会一些东西,能感受的到那些该死的文件被喀嚓的快感……那么还等什么,我们开始吧!...请注意:因为执行的程序是删除,请务必确保你写的目标文件就是你要删除的病毒尸体,如果你写成别的文件而被删了,可别来找偶!...将代码保存为一个扩展名为bat或者cmd的批处理文件,然后双击执行,你就会看到那些该死的病毒尸体在屏幕上一闪而过,再也找不到踪影了!...给个具体的例子,比如你的硬盘有C、D、E、F四个盘,你中了viking(威金),病毒清除完后在每个文件夹下都留下一个_desktop.ini文件(什么,你没看到?
作者丨黑蛋一、病毒简介病毒名称:熊猫烧香文件名称:40fee2a4be91d9d46cc133328ed41a3bdf9099be5084efbc95c8d0535ecee496文件格式:EXEx86文件类型...section_name_exception,lang_chinese,timestamp_exception二、环境准备虚拟机调试器安全软件Win7x86x32dbg、OD火绒剑三、程序脱壳首先修改病毒后缀为...,然后在C盘Driver文件夹中创建一个名为spo0slv.exe的可执行文件。...5.3.2、第二个计时器一直跟进去,直到跟进一个创建线程回调函数里面:可以看到就是简单的从网络下载东西然后创建文件,最后启动。...5.3.6、第六个计时器首先跟进箭头函数,可以看到是一些网络操作,读取创建等操作:返回上一步向下看,同样是一些下载东西,创建文件,然后启动等操作:六、总结此病毒是加了一个壳,然后需要脱壳修复IAT表,
//将缓冲文件夹中的文件删除 String s = “D:\\txt\\inBuffer\\”+ fileInfo[0] +”\\” + fileID;//文件的绝对路径 File file = new...; } } ——————————————————————————– Java删除文件注意事项:1.路径上不能出现java认为的非法字符,如“(”,“)”等; 2.确保删除操作之前,文件不再被使用,即文件资源被释放...——————————————————————————– java删除文件与文件夹时,要删除的内容: 1.文件夹里的文件; 2.文件夹里面的子文件夹(有文件); 3.文件夹里面的子文件夹(空文件夹); —...—————————————————————————– 例程: package test; import java.io.File; public class DeleteFile { // 删除文件夹...} catch (Exception e) { e.printStackTrace(); } } // 删除指定文件夹下所有文件 // param path 文件夹完整绝对路径 public
waxe.exe,写入数据到文件里,文件里的数据都在只读数据段,0x0047D5A4开始,大小为0x86000。...启动新进程waxe.exe 2)、将文件Waxe.exe移动到C盘Temp目录下,并将文件属性设置为隐藏,删除C:\Windows\Waxe.exe文件。启动Temp目录下的文件,创建新进程。...到这一步为止,病毒一直在移动自己的位置,并不断启动新进程。目的是隐藏自己。在新的进程里,病毒开始执行盗号逻辑。...目前该地址文件已被标记危险网站,无法下载了。 5)、遍历进程找到名为steam.exe的进程。结合原先病毒的传播方式,大概率会找到此进程。...往里面写入了数据,并设为隐藏文件。 version.dll用做dll劫持,只要任何程序加载该dll就会调用里面的函数。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
