|
|
修復(fù)文件終結(jié)者病毒破壞的文件 感染文件找回辦法
準(zhǔn)備工作:
    1.二進制編輯器,推薦兩個,winhex和 UltraEdit-32,winhex小巧靈活,打開文件速度快,修改文件很方便;而UltraEdit-32功能齊全,既是文本編輯器,十六進制編輯器,支持各種編程語言的編輯,同時有各種各樣的功能,其中有一個很好用的功能就是文件對比功能,可以很快的發(fā)現(xiàn)兩個文件之間相同和不相同的部分。
    2.與被破壞的文件一樣的文件,這個容易,找一個在網(wǎng)上下載到的又被損壞文件,然后再去網(wǎng)上下載一個,這樣就得到兩個來源有相同文件,但有一個是被病毒損壞的。
現(xiàn)在開始分析文件,用UltraEdit-32打開準(zhǔn)備好的兩個文件,然后使用UltraEdit-32的文件對比功能,打開之后發(fā)現(xiàn)兩個文件的數(shù)據(jù)只有前0X64位是不相同的,其它部分都相同,也就是說病毒至修改了文件前0X64位的數(shù)據(jù)。
    至于病毒是通過什么算法修改了文件,我們接下來就是分析兩個文件不同部分的差異,還有這個病毒修改文件的算法比較簡單,熟悉十六進制數(shù)的人分析這些數(shù)據(jù),很快就可以發(fā)現(xiàn),不同部分是按位取反的。
    為了驗證這個研究結(jié)果的正確性,我隨便找了一個文件,用winhex打開,以十六進制方式編輯,把前文件的0X64位數(shù)據(jù)按位取反修改,最后發(fā)現(xiàn)文件修復(fù)好了,至此,我們已經(jīng)找到了這個病毒破壞我們的文件的算法。
|
|
加載中...
發(fā)表于 2013-9-4 23:52:54
QQ好友和群
收藏
發(fā)表于 2013-9-8 10:37:01