|
|
修復文件終結者病毒破壞的文件 感染文件找回辦法
準備工作:
    1.二進制編輯器,推薦兩個,winhex和 UltraEdit-32,winhex小巧靈活,打開文件速度快,修改文件很方便;而UltraEdit-32功能齊全,既是文本編輯器,十六進制編輯器,支持各種編程語言的編輯,同時有各種各樣的功能,其中有一個很好用的功能就是文件對比功能,可以很快的發現兩個文件之間相同和不相同的部分。
    2.與被破壞的文件一樣的文件,這個容易,找一個在網上下載到的又被損壞文件,然后再去網上下載一個,這樣就得到兩個來源有相同文件,但有一個是被病毒損壞的。
現在開始分析文件,用UltraEdit-32打開準備好的兩個文件,然后使用UltraEdit-32的文件對比功能,打開之后發現兩個文件的數據只有前0X64位是不相同的,其它部分都相同,也就是說病毒至修改了文件前0X64位的數據。
    至于病毒是通過什么算法修改了文件,我們接下來就是分析兩個文件不同部分的差異,還有這個病毒修改文件的算法比較簡單,熟悉十六進制數的人分析這些數據,很快就可以發現,不同部分是按位取反的。
    為了驗證這個研究結果的正確性,我隨便找了一個文件,用winhex打開,以十六進制方式編輯,把前文件的0X64位數據按位取反修改,最后發現文件修復好了,至此,我們已經找到了這個病毒破壞我們的文件的算法。
|
|
加載中...
發表于 2013-9-4 23:52:54
QQ好友和群
收藏
發表于 2013-9-8 10:37:01