【原创】【懒人工具】检索程序是否被感染Srv和TX哈勃分析系统解析信息！！

1185384801

最近，我开发了一款程序，可以检测程序是否被感染Srv病毒（很仿兔子君那个），而且原理是特别简单的，顺便写了个TX哈勃连接解析，本地离线分析PE文件（新科技！有多新？您看好了！可以轻松分析程序命令字符（即调用的API））
是不是看起来特别高科技？
来说说原理：
1、离线分析文件实际上是一个文件API字符解析，核心API分别是：CreateFileMappingA，MapViewOfFile，ImageRvaToVa，UnmapViewOfFile
CreateFileMappingA是创建一个新的文件映射内核对象
MapViewOfFile是计算机函数，功能是将一个文件映射对象映射到当前应用程序的地址空间。MapViewOfFileEx允许我们指定一个基本地址来进行映射。
ImageRvaToVa 函数的作用
ImageRvaToVa 这个函数我的理解是这样的 大家帮我看看有没有错：pe文件被内存映射文件映射到内存，然后要对其各个section
然后一顿逻辑循环……取出API判断关键API（但是加了强壳没办法分析了……）

2、既然加了强壳没办法分析了，哈勃总可以吧？

首先观察观察规律，是不是发现了“？MD5=”
果断用“网页_访问S”读出代码

没有读出什么有用的信息……
注意！！已完成前面的URL！！！
是不是有变了？？

于是实际哈勃的数据读取网页便被解析了！！果断访问，得到一串JSON！！

可以匹配了！！

至此，哈勃的信息就被解析完成！！
剩下的码上代码就是了！！
3、最后是检测Srv.exe
实际上是直接搜索“Srv.exe”的字节集（别问为什么，Srv感染文件都有这个特征！）

使用说明：
下载文件直接把可以执行文件或者DLL等文件拖入超级列表框，自动检索是否上传过哈勃
至于扫描是否包含SRV病毒，有待商榷，顾本软件提示包含SRV仅做参考（基本扫描到就包含的可能性很大）引用 @兔子君 的帖子

使用方法基本一致，但是我的功能更加强大（而且是开源！！）
好了，打了这么多字……如果你绝得本帖可以的话！欢迎好评打赏！源码回复下载！！祝大家新年快乐！！
文件分析处理（附件扫描）.zip (1.6 MB, 下载次数: 443)

2018-2-16 12:06 上传

点击文件名下载附件

miku2033

不错，支持一下

为自我奋斗

好用真好用

阮文轩哥哥

试试吧，支持一下

wangxiangzhe123

支持一下

好奇先生

真的是长见识了

sanzhi

6666666666666666666666666666666666666666666666666666666

天子雅皇

先做一个备份 以后会用的上

包子面团儿

包子面团儿 发表于 2019-4-29 22:49
看的我云里雾里又一晕这是

POSt  可能真的不太在行呢

包子面团儿

看的我云里雾里又一晕这是

1411496704

先做一个备份 以后会用的上