worm.win32.ravmon专杀方法

《worm.win32.ravmon专杀方法》由会员上传分享，免费在线阅读，更多相关内容在学术论文-天天文库。

1、Worm.Win32.RavMon专杀方法～教育资源库　　病毒标签：　　病毒名称：on　　病毒类型：蠕虫　　危害等级：中　　文件长度：3,513,806字节　　文件MD5：5D8CC0712927E07A1BAB416493F43036　　公开范围：完全公开　　感染系统：odualfinder来调入要运行的scripts寻找并运行它所需要的所有python模块和扩展模块。病毒运行后会复制原病毒体到%odualfinder来调入要运行的scripts并且寻找运行它所需要的所有python模块和扩展模块。　　纯python的模块在临时目录里被编译成.pyc（debug）和.

2、pyo（optimized）的文件。编译后的扩展模块pyd文件也能找到。　　最后生成一个与zip兼容的包，包含一个dependency目录和你的script，这个包最后提供给一个py2exe自带的python解释器。　　运行生成的程序，将建立一个重要的关联，这样在script开始运行的时候，必要的模块可以从包中的正确地import。　　由于扩展模块不能从zip包中包含或import，它们以被单读提供。放在distmyscript目录下。　　解码的过程：　　main,ain调用start函数。　　start：　　(1)获得目录名和文件名（GetModuleFileName

3、）　　(2)取出执行文件的数据（MapExistingFile）　　(3)获得script的信息（GetScriptInfo）　　(4)用_putenv设置用户的环境变量（PYTHONHOME，PYTHONPATH，PYTHONOPTIMIZE，PYTHONDEBUG等）　　(5)将scriptinfo种的信息来设置python内部变量（Py_NoSiteFlag，Py_VerboseFlag等）　　(6)Py_Initialize()　　(7)PySys_SetArgv(argc,argv)　　(8)调用BuildToc获得toc(dict对象)　　(9)调用PyRu

4、n_SimpleString执行importsys;sys.path=[r%s]　　(10)调用Load_Module调入imputil模块，调用PyRun_SimpleString执行importimputil　　(11)Py_InitModule(__main__,methods);　　(12)解出Scriptssupport.py并运行它　　(13)解出Scripts__main__.py并运行它（这里的__main__.py就是要打包的python文件，被重命名为__main__.py）　　sourcestart.c:　　1.MapExistingFile:用

5、文件映像的方法打开文件，读处理里面的内容。　　2.GetScriptInfo：从archive.h中定义的（centraldirectoryrecord）格式的数据中取出scriptinfo（optimize,verbose,tag）到全局变量p_script_info中。　　3.BuildToc：构造一个新的dict对象，在arch文件中做一个循环，取出所有的name放入dict中（PyDict_SetItem），其中调用了fixpath来解决和/的统一问题，并将dict返回（注意，name好像是不带后缀的）。　　4.extract_data：使用zlib.h中定义的

6、zstream结构，从archive结构中获得指定的长度的数据5.GetContentsFromOffset：计算位置，调用extract获得数据。　　6.GetContents：利用PyDict_GetItemString从toc中得到指定的名字的文件的位置，调用GetContentsFromOffset获得数据。　　7.Load_Module：检查p_script_info->optimize，判断文件名的后缀是.pyo还是.pyc，调用GetContents从数据中调出这个文件。　　8.get_code：指定名字，获得这个文件的内容：GetContents+

7、PyString_FromString。友情提醒：，特别！