|
|
修復文件終結者病毒破壞的文件 感染文件找回辦法
準備工作:
    1.二進制編輯器�����,推薦兩個�����,winhex和 UltraEdit-32�����,winhex小巧靈活�����,打開文件速度快�����,修改文件很方便�����;而UltraEdit-32功能齊全�����,既是文本編輯器�����,十六進制編輯器����,支持各種編程語言的編輯����,同時有各種各樣的功能,其中有一個很好用的功能就是文件對比功能����,可以很快的發(fā)現(xiàn)兩個文件之間相同和不相同的部分����。
    2.與被破壞的文件一樣的文件����,這個容易,找一個在網(wǎng)上下載到的又被損壞文件����,然后再去網(wǎng)上下載一個,這樣就得到兩個來源有相同文件����,但有一個是被病毒損壞的。
現(xiàn)在開始分析文件����,用UltraEdit-32打開準備好的兩個文件,然后使用UltraEdit-32的文件對比功能����,打開之后發(fā)現(xiàn)兩個文件的數(shù)據(jù)只有前0X64位是不相同的,其它部分都相同����,也就是說病毒至修改了文件前0X64位的數(shù)據(jù)����。
    至于病毒是通過什么算法修改了文件����,我們接下來就是分析兩個文件不同部分的差異����,還有這個病毒修改文件的算法比較簡單,熟悉十六進制數(shù)的人分析這些數(shù)據(jù)����,很快就可以發(fā)現(xiàn),不同部分是按位取反的����。
    為了驗證這個研究結果的正確性,我隨便找了一個文件����,用winhex打開,以十六進制方式編輯����,把前文件的0X64位數(shù)據(jù)按位取反修改����,最后發(fā)現(xiàn)文件修復好了����,至此,我們已經(jīng)找到了這個病毒破壞我們的文件的算法����。
|
|
加載中...
發(fā)表于 2013-9-4 23:52:54
QQ好友和群
收藏
發(fā)表于 2013-9-8 10:37:01