Hi Markus,
ja. ich habe die falsche Version. Heute morgen habe ich mit der Rückübersetzung begonnen weil bei mir der Virus nicht richtig funktionierte und seit heute nachmittag denke ich darüber nach ob ich Kopfschlagen an der nächsten Bordsteinkante spielen soll.
Im falschen Virus habe ich die Funktion gefunden, welche rekursiv den Verzeichnissbaum durchwandert und verschlüsselt. Die Dateinamen werden jedoch ganz anders gebildet als ich es erwartet habe. Da wird eine Erweiterung angehängt die mit folgender Funktion berechnet wird.
Code:
unsigned int GetCpuTimeCode()
{
unsigned __int64 tick;
tick = RDTSC(); // Assembler für GetTickCount;
return (16807 * (HIDWORD(tick) ^ tick) % 0x1F31D
- 2836 * (HIDWORD(tick) ^ tick) / 0x1F31D) % 0x186A0;
}
Daran habe ich dann endlich gemerkt, dass ich am falschen Virus arbeite.
Ich ringe noch um meine Fassung. Wenn ich die wiederhabe, dann lade ich mir den Virus runter den du zur Verfügung stellst. Danke!
Viele Grüße an Dich und dein Team
Noch etwas nebenbei. Die rekursive Funktion für das Durchwandern eines Verzeichnisbaums hat der Virenprogrammierer per cut und paste nochmal in seinen Virus eingefügt. Dann hat er den Aufruf der Verschlüsselungsroutine mit dem Aufruf einer Dateilöschroutine ersetzt.
Eine solche Codeverdoppelung sollte man vermeiden und stattdessen eine generische Funktion schreiben, der man dann die gewünschte Aktionsfunktion per Pointer übergibt. Der Virenprogrammierer ist also ein sehr mittelmäßiger Programmierer und hat keinen guten Stil.
ich kommentiere eigentlich niemals den Programmierstil eines anderen auf negative Weise. Aber diesmal mach Ich eine einzige Ausnahme.
