私は非常に奇妙なことに遭遇しました。まず、これがコンピュータ ウイルスと関係があるかどうかわからないので、ここに投稿しました。もしそうなら、助けを求める場所に私を案内してもらえますか?
だから今:
私はここである種の奇妙な問題を抱えています.ウイルス対策とマルウェアバイトのフラグコード*の両方が、ウイルスとしてmasmとmasmの例でコンパイルされています。私はグーグルで調べて、この問題が以前に発生したことを発見したので、これをあまり真剣に受け止めず、最初は誤検知であると考えました.
しかし、この投稿の下部にあるコードをコンパイルして、他のいくつかのことをテストしました。そして、ollydbgを実行して(その間、comodoアンチウイルスは無視しました)、次のように見ました:
00401000 > -E9 FBEF6F71 JMP 71B00000 ; this is a weird jump I did not put there
00401005 90 NOP
00401006 8BC0 MOV EAX,EAX
00401008 . 8BD8 MOV EBX,EAX
0040100A . 33D9 XOR EBX,ECX
0040100C . 8BC3 MOV EAX,EBX
0040100E . 03CB ADD ECX,EBX
00401010 . 33C3 XOR EAX,EBX
00401012 . 2BC1 SUB EAX,ECX
00401014 . 8BCB MOV ECX,EBX
00401016 . 33D9 XOR EBX,ECX
以下のコードはおそらくそのジャンプにコンパイルできなかったので、コードにステップインしていました。そしてしばらくして、奇妙なコードが ntdll.dll ライブラリの API を介して列挙され始めたことに気付きました。何が起こっていますか?これが本当にウイルスである場合、どこに助けを求めればよいでしょうか?
しかし、私はまだ確信が持てません。
テストに使用していたテストコード...
*: インクルード \masm32\include\masm32rt.inc
.data
.code
Start:
nop
nop
nop
nop
nop
nop
mov eax, eax
mov ebx, eax
xor ebx, ecx
mov eax, ebx
add ecx, ebx
xor eax, ebx
sub eax, ecx
mov ecx, ebx
xor ebx, ecx
invoke ExitProcess, 0h
end Start
アップデート:
コードはディスク上ではなくメモリ内にあるため、おそらくこれを行うある種のライブラリです。
Disassembly
00401000 start:
00401000 90 nop
00401001 90 nop
00401002 90 nop
00401003 90 nop
00401004 90 nop
00401005 90 nop
そして、呼び出し終了プロセスを削除しましたが、まだそこにあります