EXE文件压缩双剑客

随着网络的流行，从网上下载的好东东占去了硬盘大部分空间，这其中就有不少的EXE文件。然而一般的EXE文件中都有一些多余的部分，如果能将这部分没用的东西去掉，就可节省出一部分硬盘空间。每个EXE文件经压缩后的体积大都能减少２０％～５０％左右。如果每次下载一个EXE文件，都能用EXE压缩工具压缩一下的话，省下的硬盘空间会是很可观的。如果您是个程序员，将自己编制出的EXE文件压缩后再分发，不仅能在一定程度上保护软件不被修改，还会受欢迎（文件小了嘛。从网上下载的时间更节省了）。而且，EXE文件经过压缩后能够正常运行…     

修改EXE文件的一种简便方法

EXE文件由于其构成的特殊性,使得对EXE文件的修改远不如象修改COM文件那么来得方便。笔者通过反复的实践,巧妙地解决了这个问题,从而使修改EXE如同修改COM文件一样简单。先简要谈谈EXE文件的构成。EXE文件是由LINK.EXE程序产生的,它由两部分组成:1、控制和定位信息;2.模块体(即真正的程序)本身。控制和定位信息在文件的头部称为文件头,模块体紧接其后。下面则通过一个例子来说明修改EXE文件的方法。假设要对文件zheng.exe进行修改(如修改zheng.exe中的某段程序或某些数据),首先,用copy zheng.exe zheng.dat命令将其改为非EXE文件,然后调用DEBUG.COM将zheng.exe文件的文件头写到head文件里:     

可常驻内存的EXE和COM文件的自动修改技术

对于PC-DOS操作系统下的EXE和COM文件的修改,一般使用调试工具DEBUG交互式进行。当被修改的对象是文件中大块数据区时,这种方法显得很繁琐。本文提出的自动修改技术,利用可常驻内存的程序运行后驻留内存这一特性,用高级语言程序对内存中的程序进行修改,借助DEBUG把修改过的程序自动写入磁盘文件。对于修改文件中按规律存放的大块数据区和信息区具有很好的实用价值。     

1150／Burglar病毒的分析与清除

近几个月,笔者在上机时,机器常出现死机现象,检查文件发现EXE文件无故增长1150字节,确认感染病毒,但使用KILL76.02、KV200(J)和CPAV2.0均不能查解,经分析发现为新病毒,定名为1150/Burglar病毒。分析与消毒方法如下。 1.病毒特性 参见附表,该病毒为常驻内存的文件型病毒,感染EXE文件,修改原文件的文件头,病毒体追加在EXE文件的尾部。当染毒文件运行时,病毒首先使用DOS功能调用的扩展功能F0H来判断病毒是否已驻留内存,调用返回AX寄存器,如AX=0,则表明病毒已驻留内存,病毒恢复原EXE文件的IP、CS、SS,运行被感染文件,反之,则先驻留病毒自身,再恢复执行染毒文件。     

几种倍增磁盘信息存贮量的方法

当今的磁盘存贮量已经满足不了电脑迷日益膨胀的欲望了,在此特向大家推荐两类成倍增加磁盘信息存贮量的方法: 一、压缩磁盘文件 目前常见的压缩文件工具有LHA.EXE、ARJ.EXE、PKZIP.EXE等。笔者仔细比较了这几种软件的性能,无论从数据的压缩量或压缩时间来看,LHA.EXE都优于其它几种软件,故着重介绍它的用法:     

USTC病毒的检测与清除

最近,笔者发现了一种新病毒,广泛流行于PC机上,用目前的Kill、Scan及最新的Cpav 2.1均不能测出.该病毒长度为919个字节,由于尾部有“USTC’四个字符,所以笔者紧其取名为“USTC”病毒.USTC病毒是一种文件型病毒,它只感染.EXE文件,由于病毒在感染.EXE文件的,仅仅修改了.EXE文件的文件头中保存的该.EXE文件载入内存执行定位时SP的值,没有修改IP的值,所以受感染的文件一般增长919至934个字节.该病毒修改了DOS功能调用INT 21H,其病毒INT 21H的入口在XXXX:0156处.在带有USTC病毒的内存中断向量表0000:0084处,可看到此病毒入口地址.当带有USTC病毒的文件运行时,程序首先执行病毒体部分,病毒直接读出中断向量表0000:0188处(INT62H的中断向量地址)的值,通过判断该值是否为55AAH来确定采统是否已感染病毒.如果不是55AAH,病毒便认为系统没有受到感染,于是就启动感染模块.     

对自解压缩失败的处理一法

在对文件压缩过程中,大多数用户都喜欢采用自解压缩的方法.但是在大多数情况下,由于存在着压缩文件的长度超过用户微机的内存值;或者由于自解压缩文件包是.EXE型文件,容易被病毒感染,以及对文件实行了多重压缩等等,这样,在自解压过程中,造成失败.一般提示为“Program toobig in memory”错误.对于这种错误,在《电脑》95年第9期上李小权的《巧用压缩软件》一文提出了     

用ZIP软件使一张软盘存放4M软件的方法

ZIP软件是一种压缩磁盘文件的工具,它可以把EXE、COM、DBF、PCB等各种文件类型的软件压至原来所占磁盘空间的一半以下,甚至原来的1/3。因此,使用这种软件可以达到在一张软盘上存放3M乃至4M软件的目的。 ZIP软件主要有两个文件,一个是压缩软件PKZIP.EXE,另一个是解压缩软件UNZIP.EXE。在任何有硬盘的电脑上都可以使用这种软件,一个软件用ZIP.EXE进行压缩后,这个经     

用WS修改YX1.COM建立所需预选字表

WS等字编辑工具一般只能编辑键盘输入的字符,即ASCII值33～127和161～254所对应的ASCII字符。COM、EXE文件包含的一些字符字编辑工具难以处理,如值为12的ASCII码为清屏、值为10的ASCII码为换行、值为9的ASCII码为声响,无法显示,也就无从修改;COM、EXE文件也包含显示说明字串部分,则是可以显示、编辑的。我们保留COM、EXE文件中字编辑工具难以处理的部分,将显示说明字串部分用WS修改后再并入原COM、EXE文件,就完成对显示说明字串部分的修改。 2.13H汉字系统具有预选字表功能,将一些常用汉字或字符组成一个预选字表文件YX1.COM,启动时一起     

由一例病毒分析看Novell网的漏洞

近几个月来在我们的Novell网上发现有些.EXE文件长度增加,少数程序不能执行,DOS报告是EXE文件出错。经分析,原因是染上了病毒,由于该病毒末尾有CRACK NOVELL字符,又利用Novell的一个漏洞对Novell网安全性构成威胁,故暂命名为Crack Novell病毒,该病毒用SCAN CPAV KILL KV300 AV95等均查不出。 该病毒只感染EXE文件,链接于文件尾部,驻留内存后在运行文件时感染。文件被感染后,文件头中的文件长度,文件字符累加和及初始IP CS值被改,文件增长1024～1039不等。由于病毒无表现模块,若不注意,较难发现。 此病毒的特点在于对Novell网安全性的破坏。病毒通过修改MCB链驻留内存高端后拦截了INT 2IH的4BH子功能     

Gene病毒的检测与清除

Gene病毒攻击EXE文件。因其病毒代码区中有如下学符:‘Gene’。病毒代码长556H,附在EXE文件的尾部,并使之增大556H(1360)+X字节,其中X=16—(原文件长度 MOD 16)。其感染标志是文件尾部的两字节为0AAAAH。 当运行带毒程序时,病毒首先判断自身是否已驻留内存,有则转去执行原程序,否则即修改MCB的(03)单元及PSP段的(02)单元内容驻留内存,而用PCTOOL、CHKDSK检查内存容量,不会发     

Gene病毒的检测与清除

Gene病毒攻击EXE文件。因其病毒代码区中有如下学符:‘Gene’。病毒代码长556H,附在EXE文件的尾部,并使之增大556H(1360)+X字节,其中X=16-(原文件长度 MOD 16)。其感染标志是文件尾部的两字节为0AAAAH。 当运行带毒程序时,病毒首先判断自身是否已驻留内存,有则转去执行原程序,否则即修改MCB的(03)单元及PSP段的(02)单元内容驻留内存,而用PCTOOL、CHKDSK检查內存容量,不会发     

病毒名称：EXE图标修改器变种AB（Harm.Win32.VB.ab）

病毒类型：破坏性病毒 病毒危害级别： 病毒分析：这是一个破坏性的病毒,该病毒由VB编写,病毒执行后会把系统所有后缀为EXE的文件图标修改。修改图标是通过修改注册表EXE文件的图标关联实现的,病毒的目录下存在文件xm.ico,那么EXE的图标就修改为相应的图标。     

1091病毒的检测与删除

最近,我们单位出现一种新病毒,用CPAV和SCAN都不能发现它,我对它进行了分析,成功的杀灭了该病毒.因该病毒长度为443H字节,故称其为1091病毒.病毒修改COM文件头的11字节为远跳转指令,使病毒代码首先得到执行,并把原文件头的11字节存入病毒偏移11FH处,对EXE文件,则修改文件头的SS,SP,CS,IP使其指向病毒体,并把原文件头的11字节存入病毒偏移11FH处.病毒代码一运行,首先检测内存有没有驻留该病毒,如没有则把DOS可用内存减少2K字节,并把自身驻留于内存高端,同时修改24H,21H号中断,使其指向病毒内部代码.因此每当运行DIR命令时,病毒开始传播.     

Gene病毒

最近,笔者发现一种新病毒,用目前的kill软件及Scan软件均不能测出.因病毒发作时屏幕会显示“Gene!”,故笔者取名为Gene病毒.Gene病毒是一种文件型病毒,它只感染.EXE文件,受感染的.EXE文件一般增长1366至1398个字节.该病毒修改了功能调用nit 21H,其病毒int 21H的入口在XXXX:O2EC处,在带有Gene病毒的内存中断向量表0000:0084中,可看到这个病毒的入口地址.     

1150病毒及解毒程序

1150病毒是一种最近发现的新型病毒,用公安部的KILL76.3或超级巡警KV200 J版皆不能找出和清除这个病毒。病毒的特征是封锁计算机的上部内存,使上部内存区UPPER MEMORY为零,WINDOW不能运行。虽然该病毒只感染EXE文件,但是它的感染力很强。在硬盘上不论哪一个分区,哪一个子目录的DOS格式的EXE文件,不论运行与否,都可能被它找到并感染。特别是EMM386.EXE     

修改DEBUG直接调试EXE文件

EXE文件不能直接被DEBUG修改,需将其更名(不带扩展名EXE)后才能调试,调试完成再改回原名,所以操作较为繁琐.上述原因在于:DEBUG调试文件要判断其扩展名是否为EXE.因此,只要消除DEBUG对文件扩展名EXE的判别功能,即可实现直接调试.EXE文件.具体作法如下:     

DOS命令的加密方法及其应用

大多数文章中介绍加密DOS命令的方法,都是通过修改.COM和.EXE文件的源程序来实现对外部命令的加密,而对DOS内部命令的加密方法却没有任何介绍;即使是高版本的DOS系统也只对外部文件和数据进行了加密处理。如果能实现DOS内部命令、外部命令或者将所有命令均进行加密,对于保     

EXE可执行文件内存加载过程控制及其应用

本文通过对EXE文件内存加载过程的分析及控制,提出一种实用的EXE文件加锁方法,并附程序清单。     

在FOXBASE＋等大型软件下调用WPS等高耗内存软件

在实际工作中,我们常碰到这样一些情况:在运行FOXBASE+等大型软件时,需要调用其他一些高耗内存软件,比如WPS等.这时在屏幕上往往会出现提示:Program too big to fit in memory如何解决这个问题呢?有的朋友想出了一些办法,比如用PCTOOLS将FOXBASE+的系统主文件MFOXPLUS.EXE内容加以改动,在MFOXPLUS.EXE中找到FOX-GRAPH.EXE程序的入口,将FOXGRAPH.EXE改为WPS.EXE,来解决内存不够的问题.