AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Zurück Delphi-PRAXiS Programmierung allgemein Win32/Win64 API (native code) Delphi Exe-Header und Checksum-berechnung

Exe-Header und Checksum-berechnung

Ein Thema von ShadowCaster · begonnen am 19. Mai 2003 · letzter Beitrag vom 21. Mai 2003
 
Vorheriger Beitrag Vorheriger Beitrag   Nächster Beitrag Nächster Beitrag
ShadowCaster

Registriert seit: 19. Mai 2003
71 Beiträge
 
Delphi 5 Enterprise
 
#1

Exe-Header und Checksum-berechnung

  Alt 19. Mai 2003, 13:08
Hi Leute, ich hab mal eine Frage,

seid längerem versuche ich die Dateien, die von so nem blöden virus bei mir zu Hause infiziert wurden (Das System ist mittlerweile zu 100% clean, nur ein paar infizierte Dateien hab ich "aufgehoben" *grins*) wieder zu cleanen.

Bei den Dateien handelt es sich um Exe-Dateien. Jetzt sieht das folgendermaßen aus. Eine Exe besteht aus einem DOS-Header und einem PE-Header. Jeder der beiden Header hat eine Checksumme. Die des alten Dos-Headers wird offenbar nicht über CRC16 oder 32 berechnet und die des neuen auch nicht. Also die des Dos-Headers ist ein WORD-Wert und die des PE-Headers ist DWORD. Mich würde interessieren wie ich die Checksummen der beiden Header berechne. zu dem Zeitpunkt der Checksummenberechnugn kann ich ja nicht wissen wie das Checksummenfeld selbst aussieht, also kann ich eigentlich die Checksumme nicht berechnen wenn dieses Feld mit dazu benutzt wird. Also welche Teile der exe werden zur Berechnung der Dos-Checksumme und der PE-Checksumme gebraucht? Welche Formel gilt zur berechnung? Die checksummenfelder können ja schlecht zum Zeitpunkt der Berechnung selbst verwendet werden. Wie mach ich das also?

bin für jede Hilfe dankbar. Wenn ich die Lösung hab, muss ich nurnoch den Entry-Point des Viruses ermitteln, der schneinbar in jeder Exe variabel irgendwo in den infizierten Code zu springen scheint. Wenn ich diesen Entrypunkt ermittelt hab, brauch ich nurnoch den Adresspunkt, der wieder an die ursprüngliche Stelle der Exe springt. Sofern ich den hab, kann ich den PE-Header rekonstruieren.


Nachtrag:

Die Checkum des Dos-Exe-Headers wird wohl so berechnet, dass alle Word-Werte der Datei addiert werden. Dann werden sie abgeschnitten (auf 2 Byte Endgröße) und invertiert. Nur, woher soll ich vorher wissen wie große das WORD der Checksumme selbst ist? Wird das auch mit einberechnet? Gibt es da keinen Sourcecode für? Wie wird die PE-Checksumme berechnet? Ich brauch Antworten Ich hab inzwischen über 30 Anfragen mit insgesamt 250 PC's die mit dem Virus infiziert sind und sämtliche kommerziellen Virenremover bauen mist und machen nurnoch mehr am System kaputt. dazu zählt auch Norton.
  Mit Zitat antworten Zitat
 

« Vorheriges Thema | Nächstes Thema »
Themen-Optionen Thema durchsuchen
Thema durchsuchen:

Erweiterte Suche
Ansicht
Baum-Darstellung Baum-Darstellung

Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.
BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus
Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 08:09 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz