delphi 编译文件被杀掉
来源:百度知道 编辑:UC知道 时间:2024/06/09 18:55:29
我刚刚编译的文件放上服务器,就被officescan杀掉了,麦咖啡也报了,我自己装的瑞星,没报,请教高人,怎麼处理啊?
C:\Program Files\Borland\Delphi7\Lib\SysConst.dcu 这个文件只有12k,有什麼好方法吗?
网上说是delphi中毒了,怎麼办?
http://news.duba.net/contents/2009-08/20/8376.html
去这个链接看下吧,可能对你有帮助,这个号称是“Delphi梦魇”
毒霸这个是垃圾.
是病毒.
而且稍微补充一下这个XX的不足
1.主体代码用字符串数组的方式保存,随便用一些十六进制编辑软件都能看见主要代码,容易泄漏技术细节.
2.因为字符串内包含'符号会导致编译冲突.所以作者弄了一个x函数,本意是将字符串内的$替换为'符号.
结合以上两点,可以考虑用简单的xor异或加密的方式保存主体代码.而且密钥方面可以随机改变一下.
我尝试将被感染后的程序内的主体字符串代码填充为00,然后保存后,卡巴大叔不杀了,哈哈~
可以看得出,卡巴是通过特征码查杀技术,假如将那段主体代码每次随机加密保存,不知道卡叔如何对付呢?应该会用上启发式查杀,哈哈~
注意,就算恢复回原来的SysConst.dcu文件,但是那些被感染过的程序再次执行,还会再次被感染.
暂时免疫方法:恢复后,设置SysConst.dcu文件属性为只读,并且保留SysConst.bak文件或者创建SysConst.bak名字的文件夹.
1、使用杀软扫描所有的Delphi编写的可执行文件并清除病毒。(或直接删除所有Delphi编写的可执行文件,包括从网上下载的)
2、将文件%DelphiInstallPath%\Lib\SysConst.dcu删掉,然后执行步骤4或步骤5和6。
3、将文件%DelphiInstallPath%\Lib\SysConst.bak改名为SysConst.dcu,结束。
4、调用DCC32.exe编译出新的SysConst.dcu,编译命令如下:%Delphi