Hi Leute, ich hab mal eine Frage,
seid längerem versuche ich die Dateien, die von so nem blöden virus bei mir zu Hause infiziert wurden (Das System ist mittlerweile zu 100% clean, nur ein paar infizierte Dateien hab ich "aufgehoben" *grins*) wieder zu cleanen.
Bei den Dateien handelt es sich um Exe-Dateien. Jetzt sieht das folgendermaßen aus. Eine Exe besteht aus einem DOS-Header und einem
PE-Header. Jeder der beiden Header hat eine Checksumme. Die des alten Dos-Headers wird offenbar nicht über CRC16 oder 32 berechnet und die des neuen auch nicht. Also die des Dos-Headers ist ein WORD-Wert und die des
PE-Headers ist DWORD. Mich würde interessieren wie ich die Checksummen der beiden Header berechne. zu dem Zeitpunkt der Checksummenberechnugn kann ich ja nicht wissen wie das Checksummenfeld selbst aussieht, also kann ich eigentlich die Checksumme nicht berechnen wenn dieses Feld mit dazu benutzt wird. Also welche Teile der exe werden zur Berechnung der Dos-Checksumme und der
PE-Checksumme gebraucht? Welche Formel gilt zur berechnung? Die checksummenfelder können ja schlecht zum Zeitpunkt der Berechnung selbst verwendet werden. Wie mach ich das also?
bin für jede Hilfe dankbar. Wenn ich die Lösung hab, muss ich nurnoch den Entry-Point des Viruses ermitteln, der schneinbar in jeder Exe variabel irgendwo in den infizierten Code zu springen scheint. Wenn ich diesen Entrypunkt ermittelt hab, brauch ich nurnoch den Adresspunkt, der wieder an die ursprüngliche Stelle der Exe springt. Sofern ich den hab, kann ich den
PE-Header rekonstruieren.
Nachtrag:
Die Checkum des Dos-Exe-Headers wird wohl so berechnet, dass alle Word-Werte der Datei addiert werden. Dann werden sie abgeschnitten (auf 2 Byte Endgröße) und invertiert. Nur, woher soll ich vorher wissen wie große das WORD der Checksumme selbst ist? Wird das auch mit einberechnet? Gibt es da keinen Sourcecode für? Wie wird die
PE-Checksumme berechnet? Ich brauch Antworten Ich hab inzwischen über 30 Anfragen mit insgesamt 250 PC's die mit dem Virus infiziert sind und sämtliche kommerziellen Virenremover bauen mist und machen nurnoch mehr am System kaputt. dazu zählt auch Norton.