木马反编译软件

A. 如何修改EXE文件

你这个文件很可疑啊,系统有可能有木马,要小心。也有可能不是这个文件，它只是一个助手，还有一个在后台运行的。
那个被怀疑木马的程序，一直在监视某些程序是否有运行，如果有就用远程注入的方式注入这个程序，修改一些API的入口地址，让它可以拦截或改变程序的运行状况。
你用msconfig工具看看系统启动时运行了哪些程序，木马可扰唯能就在里面，或升级病毒库。或者你把这个文件改名字,它就注入不了。
一般来说，用远程注入的方式注入程序都要小心，除非它是因为调试或其它可信任的原因。
=================================
从你的问题补充看,如果它真的只注入那个文件，问题应该不大。注入也是陂解的其中一种方案，有些软件由于有自我验证/保护或算法太过复杂或者其它原因，使得离线的陂解有很高的难度，因此采用注入的方式（在线陂解）直接拦截迹洞程序的API调用使程序能修正其一些运作流程，让程序运行时不受一些不必要的限制。
当然,也不是说完全没有风险,这要视乎写这个补丁的作者的心态,因为注入方式也很容易获取系统的最高权限。建议你多及时更新病毒库和对它进行一段时期的观察，看看对系统有无其它影响就可。
===========================================
修改EXE很不难,execope等其它都可以改，但问题是应该怎么改，改哪个，改了是否能解决问题。
从经验看缓州培，这种注入式怀疑种木马的情况，是不需要改exe文件的，改了也未必能解决问题，只要找出它运行的一些规律性，把元兇揪出来就可以了。

B. 可以反编译木马apk吗

您好
如果木马APK源代码没有加密

是可以通过反编译软件进行反编译的

如果您反编译的目的是为了修改木马继续传播，请不要传播病毒、盗号木马程序，恶意传播病毒和木马会污染互联网环境，请您加入到维护网络安全的大军中！

QQ木马程序会导致您和他人的帐号和密码泄露，从而可能使您和他人的QQ财产，如游戏、QB等受到严重威胁，严重的还会违反法律。
请您不要轻易安装陌生人传送给您的未知文件，有可能是病毒或者木马。
建议您安装腾讯电脑管家对您的电脑进行实时防护，保护您的电脑安全运行，避免给您的财产和个人隐私带来威胁。
腾讯电脑管家企业平台：http://..com/c/guanjia/

C. 如何查看exe文件的源代码

需要准备的工具：电脑，反编译工具ILSpy。

1、首先在网络上搜索下载反编译工具ILSpy，解压后如图，双击.exe文件打开解压工具。

D. 如何查看QQ里是否被图片带了木马

如何查看QQ里是否被图姿高片带了木马

可以通过腾讯电脑管家检测出来，一旦对方迹纳尺给你发送文件或者图片，管家都能进行检测，确认该文件是否携带有病毒和木马。
而且用腾讯电脑管家还能对qq等级加速，这也算是一个特殊福利吧

如何查看电脑里是否有盗号木马？

其实，最之间的方法是将密码分段输入，大部分病毒木马都是靠记录键盘的键值来进行计算的。比如 5681270admin这个密码 你可以先输入中间四位数字，然后是最后面的3个字母，然后是前面的，最后是剩下的，用鼠标移动光标进行输入，这样可以有效的避免盗号木马记录你的键盘键值。木马的查杀可以使用 360 金山 卡巴斯基等等，建议在安全模式下用初始管理员进行查杀

1，检测电脑是否中毒最好的方法，就是使用杀毒软件直接茄袜进行检测，然后根据杀毒软件实际检测结果来判断，就可以知道电脑是否存在病毒了。
2，可以先任意下载一个杀毒软件在你的电脑中
3，如腾讯电脑管家，打开其病毒查杀功能，然后选择杀毒模式，在这里注意，一定要选择【全盘杀毒】模式，这样才可以对电脑整体进行检测，找出可能潜伏在电脑中的木马病毒
4，杀毒软件检测完成后，查看杀毒结果，如提示存在病毒，那么就及时根据杀毒软件提示进行处理，如果检测结果为安全，那么就表示电脑并不存在病毒

如何查看程序是否被捆绑了木马？

除非你是计算机高手
不然恐怕只有用杀软

如何查看电脑是否中了木马？

360杀毒软件上有个查杀木马的。

如何查看注册表是否被木马改动?

杀毒软件可以就

如何查看电脑是否中木马了？急！

用360安全卫士也行的 谢谢采纳！
希望采纳

如何查看文件是否被捆绑木马？

用反编译软件把其中地木马代码删除 另外杀软中地“清除病毒”也可以把文件中地病毒分离出来

如何查看进程是否被木马注入?(可加分)

看来 Alone8815 很专业嘛。。。
杀软无能为力就用 AVG FREE 最新版试一试。如果你中的马会监控大部分主流杀软了那就无能为力。。。
安装啥都会被监视，安装结束马上被劫持~~
系统自带的命令工具 Tasklist -M 列出所有进程调用的*.DLL模块
第三方工具 在下也还是不清楚~~~~

E. 将加了木马的EXE可执行文件打开进行编辑，再存为EXE格式。怎么搞，跪求。。。

一般情况编译好的exe文件是不能再编辑的，你可以试下反编译软件，你也可以试下，把扩展改成.txt，打开看看是不是乱码，如果不是乱码那就可以编辑，完了保存，再改成exe

麻烦采纳，谢谢!

F. 如何反编译木马程序

木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。

RFC1244(Request for Comments:1244)中是这样描述木马的：“木马程序是一种程序，它能提供一些有用的，或是仅仅令人感兴趣的功能。但是它还有用户所不知道的其他功能，例如在你不了解的情况下拷贝文件或窃取你的密码。”随着互联网的迅速发展，木马的攻击、危害性越来越大。木马实质上是一个程序，必须运行后才能工作，所以会在进程表、注册表中留下蛛丝马迹，我们可以通过“查、堵、杀”将它“缉拿归案”。

查

1.检查系统进程

大部分木马运行后会显示在进程管理器中，所以对系统进程列表进行分析和过滤，可以发现可疑程序。特别是利用与正常进程的CPU资源占用率和句柄数的比较，发现异常现象。

2.检查注册表、ini文件和服务

木马为了能够在开机后自动运行，往往在注册表如下选项中添加注册表项：

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼Run

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnce

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunOnceEx

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServices

HKEY_LOCAL_MACHINE＼Software＼Microsoft＼Windows＼CurrentVersion＼RunServicesOnce

木马亦可在Win.ini和System.ini的“run=”、“load=”、“shell=”后面加载，如果在这些选项后面加载程序是你不认识的，就有可能是木马。木马最惯用的伎俩就是把“Explorer”变成自己的程序名，只需稍稍改“Explorer”的字母“l”改为数字“1”，或者把其中的“o”改为数字“0”，这些改变如果不仔细观察是很难被发现。

在Windwos NT/2000中，木马会将自己作为服务添加到系统中，甚至随机替换系统没有启动的服务程序来实现自动加载，检测时要对操作系统的常规服务有所了解。

3.检查开放端口

远程控制型木马以及输出Shell型的木马，大都会在系统中监听某个端口，接收从控制端发来的命令，并执行。通过检查系统上开启的一些“奇怪”的端口，从而发现木马的踪迹。在命令行中输入Netstat na，可以清楚地看到系统打开的端口和连接。也可从www.foundstone.com下载Fport软件，运行该软件后，可以知道打开端口的进程名，进程号和程序的路径，这样为查找“木马”提供了方便之门。

4.监视网络通讯

对于一些利用ICMP数据通讯的木马，被控端没有打开任何监听端口，无需反向连接，不会建立连接，采用第三种方法检查开放端口的方法就行不通。可以关闭所有网络行为的进程，然后打开Sniffer软件进行监听，如此时仍有大量的数据，则基本可以确定后台正运行着木马。

堵

1.堵住控制通路

如果你的网络连接处于禁用状态后或取消拨号连接，反复启动、打开窗口等不正常现象消失，那么可以判断你的电脑中了木马。通过禁用网络连接或拔掉网线，就可以完全避免远端计算机通过网络对你的控制。当然，亦可以通过防火墙关闭或过滤UDP、TCP、ICMP端口。

2.杀掉可疑进程

如通过Pslist查看可疑进程，用Pskill杀掉可疑进程后，如果计算机正常，说明这个可疑进程通过网络被远端控制，从而使计算机不正常。

杀

1.手工删除

对于一些可疑文件，不能立即删除，有可能由于误删系统文件而使计算机不能正常工作。首先备份可疑文件和注册表，接着用Ultraedit32编辑器查看文件首部信息，通过可疑文件里面的明文字符对木马有一个大致了解。当然高手们还可以通过W32Dasm等专用反编译软件对可疑文件进行静态分析，查看文件的导入函数列表和数据段部分，初步了解程序的主要功能。最后，删除木马文件及注册表中的键值。

2.软件杀毒

由于木马编写技术的不断进步，很多木马有了自我保护机制。普通用户最好通过专业的杀毒软件如瑞星、金山毒霸等软件进行杀毒，对于杀毒软件，一定要及时更新，并通过病毒公告及时了解新木马的预防和查杀绝技，或者通过下载专用的杀毒软件进行杀毒(如近期的冲击波病毒各大公司都开发了查杀工具)。

G. 怎么检查文件是否被捆绑木马

用杀木马软件查杀这个文件 用右键点击这个文件 之后显示出 ......查杀 之后就开始扰芹中查杀首卖了 如果有木马就告诉你了 问你缓山是否隔离

H. 如何破解木马程序

您好，对于我们一般使用电脑的普通用户而言，破解木马程序其实是很难的，因为其中有很多个代码，交错复杂一环扣一环，需要具有反编译能力的人才有可能破解的。

不过您可以使用电脑管家来讲木马程序彻底杀除，从根本上阻止其破坏电脑。

电脑管家拥有基于CPU虚拟执行技术，可以彻底根除电脑中的木马病毒。

希望帮助到您，电脑管家竭诚为您服务，您的支持是我们的动力，望采纳。

管家下载地址腾讯电脑管家官网

腾讯电脑管家企业平台：http://..com/c/guanjia/

I. 用什么工具可以把那些插入了木马的软件里的木马代码删除，软件还能用！

你好：
可以非常抱歉的告诉你，世上还没有这种软件！
那么你能怎么办呢，下面是我的个人看法：
1.如果你怕中毒，又想用这镇顷迟款软件，那么虚拟御李机是你不错的选择。你在虚拟机运行软件，病毒、木马对你真实系统是没有任何影响的。
2.如果你是高人，那么你可以对该软件进行反编译，再保存成新软件即可乎隐。我是不会。呵呵。
3.针对用杀毒软件的方法，那就没得搞了，它会将该文件删除，而不是帮你将里面的代码删除。就算它将里面的病毒进行隔离，也是没用的，软件的MD值已经变了，不可能还能运行！
谢谢，望采纳。呵呵

J. 病毒分析所需要的工具

1.Regfix 这里面收集了金山IE修复和瑞星注册表修复工具。
2.IceSword (冰刃) 这版本有点老了(1.04的)不过新版本应用有危险所以放稳定的.内部功能是十分强大，用于查探系统中的幕后黑手-木马后门，并作出处理。使用了大量新颖的内核技术，使得这些后门躲无所躲。
3.HijackThis 能够扫描注册表和硬盘上的特定文件，找到一些恶意程序“劫持”浏览器，各代码作用可参照帮助。压缩包中放了汉化版和原版.
4.ResScope 一个类似 eXeScope 的软件资源分析和编辑工具，功能已超过 eXeScope。
5.PEID 是最强大的一个查壳工具。增加WinNT平台下的自动脱壳器插件,可以应对现在大部分的软件脱壳.
6.ServiWin 程序可以显示已安装在您的系统中的服务和驱动程序列表。允许您方便地控制服务和驱动程序的状态，更改服务和驱动程序的启动类型，以不同的颜色区分不同的状态和启动类型，并可以将列表保存为文件或网页报告。
7.SrvInstw 可将任何程序加为Win系统服务的软件,也可以卸载系统服务或驱动! 手动清理病毒要用到.
8.SniffPass可以捕捉本机和局域网中POP3, IMAP4, SMTP, FTP, 和 HTTP等协议的密码。打开后按F9捕捉方式选择winpcap...下面是你的网卡。可以用来捕捉木马发送的密码.
9.WSockExpert 嗅探工具.自己学怎么用吧....
10.CapExpert 抓包工具。比上面的WSockExpert厉害，分析可疑数据，只要是马，一定会向外或向内发送或接收数据的.可以检查，跟踪灰鸽子等后门效果特好，能查到对方IP...

上面是网上查来的 不知道专业查毒用什么工具 但对非专业查毒这些工具已经够全面了
另外我再推荐四个软件
1.Ashampoo UnInstaller Platinum Suite(小巧而强大的系统监视及完美清理工具)
2.RegSnap(注册表监控对比工具)
3.Iris(嗅探工具)
4.C32Asm( 反编译)
一般你开上上面3个工具 运行病毒 就基本能知道病毒的行为了 知道它做了什么 当然也就知道你该怎么清除它 这应该属于查到毒之后的杀毒范畴

然后就是怎么定义病毒 （定义病毒的特征码）
这个不是很了解 不同杀毒软件定义不同 习惯也不同 比如诺顿喜欢在PE文件头部定义 有些杀毒软件在病毒中间定义 但特征码不会很长
可能要用到下面的工具
PEID 查壳的 病毒98%都是加了壳的 当然要脱了才能分析
怎么脱壳就是可以开一门课了
然后C32Asm 反编译一下 然后就要用汇编知识来分析了 （我不会汇编。。。）

差不多这样吧,希望对你有帮助