第二种.尾部感染型

这种木马是将病毒代码贴到原本的文件尾部.然后修改该文件的执行入口点OEP指针

让OEP指向病毒代码的起始点

在病毒代码执行完毕后.会跳回原本的代码执行



解除方法：

首先找到末尾的跳转代码.取得真正入口点

删除从当前入口点到文件末尾的代码.将入口点改回



这里只考虑已经检测当前文件不处于白名单的情况



获取到代码节的首地址,在当前oep处向后扫描任意跳转,如果扫描到.且地址为代码节首地址附近.

(容错"感染时将原OEP头部部分代码破坏并自己执行后跳转到被破坏代码后面执行"的情况)

则将当前OEP到长跳代码之间的代码计算MD5上传

服务器匹配.如果匹配到解除脚本即可下发



此方法同时可用于任何修改OEP并跳回原OEP执行的感染木马