阿龙网络承接传奇、传世版本开发、网站开发、美工及一条龙服务。我们的网站：http://www.a-longwl.com客服QQ：639066924大家好，欢迎收看由阿龙网络录制的：教你识别EXE录像文件是否被绑马分析。近期本站也推出网站制作和美工培训课程，会免费放给大家，有要学习的朋友可以报名，也帮本站宣传宣传，后期会有更多好的教程和技术性的视频教程放给大家。好啦，进入正题。。。。。。这个EXE录像文件，是我在一个下载站下到的。在做这个视频前我考虑过该不该出这个视频，毕竟是别人做的视频，也发布到了网上，我也不好说什么。本次用这视频来讲解是纯技术交流，绝无他意。。大家看这视频和平常网上下的视频是一样的，看不出什么诡端吧。那我们用工具来看看，使用辅助工具来看，可以看到结果是有顷捆数据的：结果：录像.exe有捆绑数据存在.--------------------------------如果平时大家下载视频不注意，就有可能会被别人中马到你电脑上了。现在这个视频，经过我分析，它是绑有木马的，它们的文件都会被释放到C:\WINDOWS目录里。我还是讲下怎么教大家把真视频提取出来。删除木马吧！1.下载的视频我们最好用杀毒软件杀下，当然有些做了免杀，你是查不出的。我就用可牛杀下，查到了，绑有木马吧。如果你不注意，在你运行后，那你的电脑就玩了。2.使用OD看入口特征：2.1.看入口特征，如果你是玩过破解之类，或看过录像专家录的视频入口特征就会发现，这个入口不是录像专家的入口，这可能就是木马的。这个是我刚录的一个视频，可以看出这是BC++写的程序吧。当然你可以用PEID查壳看看、、、、、、、、、、、、、、、、、、、、好了，现在教大家提真实的视频吧。我个人是从附加数据入手。先把附加数据提取出来，工具网上大把，可以搜去。我就用PEID自带的吧。录像.OVR提出的附加数据。提出后就使用UE吧！打开UE后把附加数据拖进去。在4D5A这块后的数据才是真正的视频程序。我们拖最后看看，我们翻下，看能看到什么信息。数据太多，先提源视频吧。删除没用的东西后，我们找尾部。看到这段，这下面又是一个EXE程序，是一个WIN32的程序。好啦，我们就提出来，看看吧。下面这个WIN32程序应该就是木马了，它的文件名为：213.exe如果提取出来也不难，我就不演示了，我们的目的是找真正没绑马的视频程序。很简单就提出来了，现在用杀软在查下，或用OD看看入口就知道了。可以看出文件已经提出来。看看能不能播放。是可以的。好了，教程就到这吧。。。大家以后下载视频学习时，要多个心眼。别中了别人马还不知道。网站:www.a-longwl.com大家记得帮忙宣传下，以后会在放更多技术性视频给大家学习。