木馬反編譯軟體

A. 如何修改EXE文件

你這個文件很可疑啊,系統有可能有木馬,要小心。也有可能不是這個文件，它只是一個助手，還有一個在後台運行的。
那個被懷疑木馬的程序，一直在監視某些程序是否有運行，如果有就用遠程注入的方式注入這個程序，修改一些API的入口地址，讓它可以攔截或改變程序的運行狀況。
你用msconfig工具看看系統啟動時運行了哪些程序，木馬可擾唯能就在裡面，或升級病毒庫。或者你把這個文件改名字,它就注入不了。
一般來說，用遠程注入的方式注入程序都要小心，除非它是因為調試或其它可信任的原因。
=================================
從你的問題補充看,如果它真的只注入那個文件，問題應該不大。注入也是陂解的其中一種方案，有些軟體由於有自我驗證/保護或演算法太過復雜或者其它原因，使得離線的陂解有很高的難度，因此採用注入的方式（在線陂解）直接攔截跡洞程序的API調用使程序能修正其一些運作流程，讓程序運行時不受一些不必要的限制。
當然,也不是說完全沒有風險,這要視乎寫這個補丁的作者的心態,因為注入方式也很容易獲取系統的最高許可權。建議你多及時更新病毒庫和對它進行一段時期的觀察，看看對系統有無其它影響就可。
===========================================
修改EXE很不難,execope等其它都可以改，但問題是應該怎麼改，改哪個，改了是否能解決問題。
從經驗看緩州培，這種注入式懷疑種木馬的情況，是不需要改exe文件的，改了也未必能解決問題，只要找出它運行的一些規律性，把元兇揪出來就可以了。

B. 可以反編譯木馬apk嗎

您好
如果木馬APK源代碼沒有加密

是可以通過反編譯軟體進行反編譯的

如果您反編譯的目的是為了修改木馬繼續傳播，請不要傳播病毒、盜號木馬程序，惡意傳播病毒和木馬會污染互聯網環境，請您加入到維護網路安全的大軍中！

QQ木馬程序會導致您和他人的帳號和密碼泄露，從而可能使您和他人的QQ財產，如游戲、QB等受到嚴重威脅，嚴重的還會違反法律。
請您不要輕易安裝陌生人傳送給您的未知文件，有可能是病毒或者木馬。
建議您安裝騰訊電腦管家對您的電腦進行實時防護，保護您的電腦安全運行，避免給您的財產和個人隱私帶來威脅。
騰訊電腦管家企業平台：http://..com/c/guanjia/

C. 如何查看exe文件的源代碼

需要准備的工具：電腦，反編譯工具ILSpy。

1、首先在網路上搜索下載反編譯工具ILSpy，解壓後如圖，雙擊.exe文件打開解壓工具。

D. 如何查看QQ里是否被圖片帶了木馬

如何查看QQ里是否被圖姿高片帶了木馬

可以通過騰訊電腦管家檢測出來，一旦對方跡納尺給你發送文件或者圖片，管家都能進行檢測，確認該文件是否攜帶有病毒和木馬。
而且用騰訊電腦管家還能對qq等級加速，這也算是一個特殊福利吧

如何查看電腦里是否有盜號木馬？

其實，最之間的方法是將密碼分段輸入，大部分病毒木馬都是靠記錄鍵盤的鍵值來進行計算的。比如 5681270admin這個密碼 你可以先輸入中間四位數字，然後是最後面的3個字母，然後是前面的，最後是剩下的，用滑鼠移動游標進行輸入，這樣可以有效的避免盜號木馬記錄你的鍵盤鍵值。木馬的查殺可以使用 360 金山 卡巴斯基等等，建議在安全模式下用初始管理員進行查殺

1，檢測電腦是否中毒最好的方法，就是使用殺毒軟體直接茄襪進行檢測，然後根據殺毒軟體實際檢測結果來判斷，就可以知道電腦是否存在病毒了。
2，可以先任意下載一個殺毒軟體在你的電腦中
3，如騰訊電腦管家，打開其病毒查殺功能，然後選擇殺毒模式，在這里注意，一定要選擇【全盤殺毒】模式，這樣才可以對電腦整體進行檢測，找出可能潛伏在電腦中的木馬病毒
4，殺毒軟體檢測完成後，查看殺毒結果，如提示存在病毒，那麼就及時根據殺毒軟體提示進行處理，如果檢測結果為安全，那麼就表示電腦並不存在病毒

如何查看程序是否被捆綁了木馬？

除非你是計算機高手
不然恐怕只有用殺軟

如何查看電腦是否中了木馬？

360殺毒軟體上有個查殺木馬的。

如何查看注冊表是否被木馬改動?

殺毒軟體可以就

如何查看電腦是否中木馬了？急！

用360安全衛士也行的 謝謝採納！
希望採納

如何查看文件是否被捆綁木馬？

用反編譯軟體把其中地木馬代碼刪除 另外殺軟中地「清除病毒」也可以把文件中地病毒分離出來

如何查看進程是否被木馬注入?(可加分)

看來 Alone8815 很專業嘛。。。
殺軟無能為力就用 AVG FREE 最新版試一試。如果你中的馬會監控大部分主流殺軟了那就無能為力。。。
安裝啥都會被監視，安裝結束馬上被劫持~~
系統自帶的命令工具 Tasklist -M 列出所有進程調用的*.DLL模塊
第三方工具 在下也還是不清楚~~~~

E. 將加了木馬的EXE可執行文件打開進行編輯，再存為EXE格式。怎麼搞，跪求。。。

一般情況編譯好的exe文件是不能再編輯的，你可以試下反編譯軟體，你也可以試下，把擴展改成.txt，打開看看是不是亂碼，如果不是亂碼那就可以編輯，完了保存，再改成exe

麻煩採納，謝謝!

F. 如何反編譯木馬程序

木馬程序是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。

RFC1244(Request for Comments:1244)中是這樣描述木馬的：「木馬程序是一種程序，它能提供一些有用的，或是僅僅令人感興趣的功能。但是它還有用戶所不知道的其他功能，例如在你不了解的情況下拷貝文件或竊取你的密碼。」隨著互聯網的迅速發展，木馬的攻擊、危害性越來越大。木馬實質上是一個程序，必須運行後才能工作，所以會在進程表、注冊表中留下蛛絲馬跡，我們可以通過「查、堵、殺」將它「緝拿歸案」。

查

1.檢查系統進程

大部分木馬運行後會顯示在進程管理器中，所以對系統進程列表進行分析和過濾，可以發現可疑程序。特別是利用與正常進程的CPU資源佔用率和句柄數的比較，發現異常現象。

2.檢查注冊表、ini文件和服務

木馬為了能夠在開機後自動運行，往往在注冊表如下選項中添加註冊表項：

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

木馬亦可在Win.ini和System.ini的「run=」、「load=」、「shell=」後面載入，如果在這些選項後面載入程序是你不認識的，就有可能是木馬。木馬最慣用的伎倆就是把「Explorer」變成自己的程序名，只需稍稍改「Explorer」的字母「l」改為數字「1」，或者把其中的「o」改為數字「0」，這些改變如果不仔細觀察是很難被發現。

在Windwos NT/2000中，木馬會將自己作為服務添加到系統中，甚至隨機替換系統沒有啟動的服務程序來實現自動載入，檢測時要對操作系統的常規服務有所了解。

3.檢查開放埠

遠程式控制制型木馬以及輸出Shell型的木馬，大都會在系統中監聽某個埠，接收從控制端發來的命令，並執行。通過檢查系統上開啟的一些「奇怪」的埠，從而發現木馬的蹤跡。在命令行中輸入Netstat na，可以清楚地看到系統打開的埠和連接。也可從www.foundstone.com下載Fport軟體，運行該軟體後，可以知道打開埠的進程名，進程號和程序的路徑，這樣為查找「木馬」提供了方便之門。

4.監視網路通訊

對於一些利用ICMP數據通訊的木馬，被控端沒有打開任何監聽埠，無需反向連接，不會建立連接，採用第三種方法檢查開放埠的方法就行不通。可以關閉所有網路行為的進程，然後打開Sniffer軟體進行監聽，如此時仍有大量的數據，則基本可以確定後台正運行著木馬。

堵

1.堵住控制通路

如果你的網路連接處於禁用狀態後或取消撥號連接，反復啟動、打開窗口等不正常現象消失，那麼可以判斷你的電腦中了木馬。通過禁用網路連接或拔掉網線，就可以完全避免遠端計算機通過網路對你的控制。當然，亦可以通過防火牆關閉或過濾UDP、TCP、ICMP埠。

2.殺掉可疑進程

如通過Pslist查看可疑進程，用Pskill殺掉可疑進程後，如果計算機正常，說明這個可疑進程通過網路被遠端控制，從而使計算機不正常。

殺

1.手工刪除

對於一些可疑文件，不能立即刪除，有可能由於誤刪系統文件而使計算機不能正常工作。首先備份可疑文件和注冊表，接著用Ultraedit32編輯器查看文件首部信息，通過可疑文件裡面的明文字元對木馬有一個大致了解。當然高手們還可以通過W32Dasm等專用反編譯軟體對可疑文件進行靜態分析，查看文件的導入函數列表和數據段部分，初步了解程序的主要功能。最後，刪除木馬文件及注冊表中的鍵值。

2.軟體殺毒

由於木馬編寫技術的不斷進步，很多木馬有了自我保護機制。普通用戶最好通過專業的殺毒軟體如瑞星、金山毒霸等軟體進行殺毒，對於殺毒軟體，一定要及時更新，並通過病毒公告及時了解新木馬的預防和查殺絕技，或者通過下載專用的殺毒軟體進行殺毒(如近期的沖擊波病毒各大公司都開發了查殺工具)。

G. 怎麼檢查文件是否被捆綁木馬

用殺木馬軟體查殺這個文件 用右鍵點擊這個文件 之後顯示出 ......查殺 之後就開始擾芹中查殺首賣了 如果有木馬就告訴你了 問你緩山是否隔離

H. 如何破解木馬程序

您好，對於我們一般使用電腦的普通用戶而言，破解木馬程序其實是很難的，因為其中有很多個代碼，交錯復雜一環扣一環，需要具有反編譯能力的人才有可能破解的。

不過您可以使用電腦管家來講木馬程序徹底殺除，從根本上阻止其破壞電腦。

電腦管家擁有基於CPU虛擬執行技術，可以徹底根除電腦中的木馬病毒。

希望幫助到您，電腦管家竭誠為您服務，您的支持是我們的動力，望採納。

管家下載地址騰訊電腦管家官網

騰訊電腦管家企業平台：http://..com/c/guanjia/

I. 用什麼工具可以把那些插入了木馬的軟體里的木馬代碼刪除，軟體還能用！

你好：
可以非常抱歉的告訴你，世上還沒有這種軟體！
那麼你能怎麼辦呢，下面是我的個人看法：
1.如果你怕中毒，又想用這鎮頃遲款軟體，那麼虛擬御李機是你不錯的選擇。你在虛擬機運行軟體，病毒、木馬對你真實系統是沒有任何影響的。
2.如果你是高人，那麼你可以對該軟體進行反編譯，再保存成新軟體即可乎隱。我是不會。呵呵。
3.針對用殺毒軟體的方法，那就沒得搞了，它會將該文件刪除，而不是幫你將裡面的代碼刪除。就算它將裡面的病毒進行隔離，也是沒用的，軟體的MD值已經變了，不可能還能運行！
謝謝，望採納。呵呵

J. 病毒分析所需要的工具

1.Regfix 這裡面收集了金山IE修復和瑞星注冊表修復工具。
2.IceSword (冰刃) 這版本有點老了(1.04的)不過新版本應用有危險所以放穩定的.內部功能是十分強大，用於查探系統中的幕後黑手-木馬後門，並作出處理。使用了大量新穎的內核技術，使得這些後門躲無所躲。
3.HijackThis 能夠掃描注冊表和硬碟上的特定文件，找到一些惡意程序「劫持」瀏覽器，各代碼作用可參照幫助。壓縮包中放了漢化版和原版.
4.ResScope 一個類似 eXeScope 的軟體資源分析和編輯工具，功能已超過 eXeScope。
5.PEID 是最強大的一個查殼工具。增加WinNT平台下的自動脫殼器插件,可以應對現在大部分的軟體脫殼.
6.ServiWin 程序可以顯示已安裝在您的系統中的服務和驅動程序列表。允許您方便地控制服務和驅動程序的狀態，更改服務和驅動程序的啟動類型，以不同的顏色區分不同的狀態和啟動類型，並可以將列表保存為文件或網頁報告。
7.SrvInstw 可將任何程序加為Win系統服務的軟體,也可以卸載系統服務或驅動! 手動清理病毒要用到.
8.SniffPass可以捕捉本機和區域網中POP3, IMAP4, SMTP, FTP, 和 HTTP等協議的密碼。打開後按F9捕捉方式選擇winpcap...下面是你的網卡。可以用來捕捉木馬發送的密碼.
9.WSockExpert 嗅探工具.自己學怎麼用吧....
10.CapExpert 抓包工具。比上面的WSockExpert厲害，分析可疑數據，只要是馬，一定會向外或向內發送或接收數據的.可以檢查，跟蹤灰鴿子等後門效果特好，能查到對方IP...

上面是網上查來的 不知道專業查毒用什麼工具 但對非專業查毒這些工具已經夠全面了
另外我再推薦四個軟體
1.Ashampoo UnInstaller Platinum Suite(小巧而強大的系統監視及完美清理工具)
2.RegSnap(注冊表監控對比工具)
3.Iris(嗅探工具)
4.C32Asm( 反編譯)
一般你開上上面3個工具 運行病毒 就基本能知道病毒的行為了 知道它做了什麼 當然也就知道你該怎麼清除它 這應該屬於查到毒之後的殺毒范疇

然後就是怎麼定義病毒 （定義病毒的特徵碼）
這個不是很了解 不同殺毒軟體定義不同 習慣也不同 比如諾頓喜歡在PE文件頭部定義 有些殺毒軟體在病毒中間定義 但特徵碼不會很長
可能要用到下面的工具
PEID 查殼的 病毒98%都是加了殼的 當然要脫了才能分析
怎麼脫殼就是可以開一門課了
然後C32Asm 反編譯一下 然後就要用匯編知識來分析了 （我不會匯編。。。）

差不多這樣吧,希望對你有幫助