🤖smilefufu@smilefufu

“右下角右下角……唔，似乎是裸奔电脑≡ω≡ 手里没有病毒的样本不好分析啊…… 话说能这样的，应该也不是破坏性病毒吧，算是恶作剧病毒吧。进程管理器里面能看到病毒进程么？不行上IceSword看？ 最好lz能回忆一下有可能是怎么中招的……”

“没注意到why_here里用了exit(0)函数……如果没用而是直接return的话，会异常退出的。 资料一时也想不起有啥=。=大概说一下吧： windows加载你的程序，设置好各种环境，加载好各种必要dll，然后开始准备调用main函数 push argv指针 ;参数2入栈 push argc ;参数1入栈 call…”

“buff[2]=(int)why_here;//此处main函数返回地址被覆盖 return 0;//CPU将跳到main函数的返回地址继续运行，但由于正确的返回地址被why_here函数地址覆盖，所以会跳到why_here函数继续执行。”

“好吧，坐等高玩哥解答…… 【 在 shen123 的大作中提到: 】 : 高玩哥给的信息实在有点少。。。估计得2天就能给你回复了”

“pk组队都不卡么……”

“有一些工具支持开机可以启动DOS，并且支持USB设备。某些修改版本的XP已经带了DOS了（开机有两个选项，一个进XP，一个进GHOST或者DOS） 到DOS下之后，插入U盘。由于不是XP，所以病毒不会自动运行。然后运行指令（假设DOS下U盘是E盘）：format e: 要是还不行，就去网上找找有没有U盘低格工具试试。这…”

“嗯，这个算是比较厉害的U盘病毒了……似乎是改写了U盘的固件（不能肯定。大牛请fixme）。使用此U盘的专用低格工具就可以格式化了。 唔，又想了一下，也不排除由于主机中了U盘病毒，导致受病毒影响无法删除和格式化U盘的可能……那就找台无毒且装了杀软（避免U盘插入时中毒）的电脑再试试。或者在纯DOS下用format指令格式化…”

“【 在 FadeToBlack 的大作中提到: 】 : 我这有个vb写的，不是最新版的 : 还有..这个病毒ida反汇编之后就看不懂了，求教一下 ida+虚拟机上OD调吧。但愿病毒没有反调试没有加壳，不然就更看不懂了”