“Win32 PE형태를 감염시키는 경우,
PE의 40byte후인 EntryPoint를 RAW값으로 변환시키면,
프로그램이 처음시작하는 위치가 나오는데,
만약 후위형 바이러스라면, 시작위치가 정상프로그램의 제일 끝, 바이러스의 처음에 위치하게 되어있습니다.
그럼, 바이러스를 분석하여, 바이러스가 활동이 끝나고 어디로 점프하는지 확인후,
처음과 반대로 값을 수정한뒤,, 바이러스코드를 삭제시키면 완치가 되는겁니다.”
O.O
이거 다 알면 되는거야?