|
|
修復(fù)文件終結(jié)者病毒破壞的文件 感染文件找回辦法
準(zhǔn)備工作:
    1.二進(jìn)制編輯器�����,推薦兩個�����,winhex和 UltraEdit-32�����,winhex小巧靈活�����,打開文件速度快�����,修改文件很方便�����;而UltraEdit-32功能齊全�����,既是文本編輯器�����,十六進(jìn)制編輯器�����,支持各種編程語言的編輯�����,同時有各種各樣的功能�����,其中有一個很好用的功能就是文件對比功能�����,可以很快的發(fā)現(xiàn)兩個文件之間相同和不相同的部分�����。
    2.與被破壞的文件一樣的文件�����,這個容易�����,找一個在網(wǎng)上下載到的又被損壞文件,然后再去網(wǎng)上下載一個�����,這樣就得到兩個來源有相同文件�����,但有一個是被病毒損壞的�����。
現(xiàn)在開始分析文件�����,用UltraEdit-32打開準(zhǔn)備好的兩個文件�����,然后使用UltraEdit-32的文件對比功能�����,打開之后發(fā)現(xiàn)兩個文件的數(shù)據(jù)只有前0X64位是不相同的�����,其它部分都相同�����,也就是說病毒至修改了文件前0X64位的數(shù)據(jù)�����。
    至于病毒是通過什么算法修改了文件�����,我們接下來就是分析兩個文件不同部分的差異�����,還有這個病毒修改文件的算法比較簡單�����,熟悉十六進(jìn)制數(shù)的人分析這些數(shù)據(jù)�����,很快就可以發(fā)現(xiàn),不同部分是按位取反的�����。
    為了驗(yàn)證這個研究結(jié)果的正確性�����,我隨便找了一個文件�����,用winhex打開�����,以十六進(jìn)制方式編輯�����,把前文件的0X64位數(shù)據(jù)按位取反修改�����,最后發(fā)現(xiàn)文件修復(fù)好了,至此�����,我們已經(jīng)找到了這個病毒破壞我們的文件的算法�����。
|
|
加載中...
發(fā)表于 2013-9-4 23:52:54
QQ好友和群
收藏
發(fā)表于 2013-10-6 23:37:35