最近的驱动人生,由于采用了自增肥技术,导致每次生成的病毒文件,MD5不一样,导致杀软无法通过入库进行查杀,如下所示,这些文件都是驱动人生病毒变种,文件大小以及MD5都不相同。
通过逆向分析,得知该病毒自增肥的原理是在最后一个节段加入垃圾数据,使得自身MD5不唯一,但是我们发现,这些变种文件的第一个节段.data段的MD5确几乎相同,那么我们就想到,可以通过节段MD5扫描的方式来查杀这些病毒文件。
那么,我们该如何批量验证及提取这些病毒文件的区段MD5呢,我这里写了个PE节段MD5计算器,方便大家提取,以及在以后面对与驱动人生相似的病毒时,也可以快速地提取出节段MD5。
项目地址:https://github.com/G4rb3n/MD5-Calculator
运行效果如下图。
