修復(fù)文件終結(jié)者病毒破壞的文件

2016-08-31 17:42:24 來(lái)源:三聯(lián)教程作者:3lian11 人氣: 次閱讀 217 條評(píng)論

前段時(shí)間,發(fā)現(xiàn)電腦讀硬盤(pán)異常,就不斷去查找異常進(jìn)程,結(jié)束了多個(gè)讀硬盤(pán)數(shù)據(jù)較多的陌生進(jìn)程,最后打開(kāi)資源管理器,發(fā)現(xiàn)了大問(wèn)題,自己電腦中的文件夾突然都變成了回收站。打開(kāi)后原本的文件都變成了回收站中的垃圾文件。...

  前段時(shí)間,發(fā)現(xiàn)電腦硬盤(pán)異常,就不斷去查找異常進(jìn)程,結(jié)束了多個(gè)讀硬盤(pán)數(shù)據(jù)較多的陌生進(jìn)程,最后打開(kāi)資源管理器,發(fā)現(xiàn)了大問(wèn)題,自己電腦中的文件夾突然都變成了回收站。

  打開(kāi)后原本的文件都變成了回收站中的垃圾文件。清空回收站,再打開(kāi)后,里面所有文件和文件夾都沒(méi)有了。但是從文件屬性中可以看到原來(lái)的數(shù)據(jù)還是在的。最后通過(guò)好壓瀏覽到丟失文件,文件走在原來(lái)的地方,還發(fā)現(xiàn)每個(gè)文件夾里都多了一個(gè)名文desktop.ini的文件,嘗試把它刪除,刪除后文件夾能夠正常顯示,但是屬性變成了受操作系統(tǒng)保護(hù),通過(guò)命令提示符把幾個(gè)重要的文件夾恢復(fù)正常。

  找到原來(lái)的文件后,卻發(fā)現(xiàn)文件無(wú)法正常打開(kāi)。無(wú)論是充滿(mǎn)回憶的照片,辛辛苦苦寫(xiě)出來(lái)的代碼,壓縮包還是重要的文檔無(wú)法幸免。還有在歌曲列表中歌曲都不存在,打開(kāi)相應(yīng)的文件夾,歌曲文件都存在。經(jīng)過(guò)對(duì)比發(fā)現(xiàn)文件名尾,也就是小數(shù)點(diǎn)前多了個(gè)空格,導(dǎo)致文件名不同了,原有的文件路徑都失效。

  由于大部分文件夾包括子文件夾和文件都變成這樣,一個(gè)一個(gè)修復(fù)工作量很大,根據(jù)病毒癥狀到網(wǎng)絡(luò)上找解決方法,金山毒霸說(shuō)可以解決這可問(wèn)題,稱(chēng)電腦感染了一種新的木馬病毒——“文檔終結(jié)者2”,該類(lèi)現(xiàn)象是由于“文檔終結(jié)者2”感染電腦后,遍歷電腦中的文件夾,將文件夾轉(zhuǎn)變成為回收站,導(dǎo)致打開(kāi)后直接顯示回收站中的垃圾文件,并破壞文件夾中的非PE文件(如wordexcel等)??梢?jiàn)無(wú)論怎樣操作,電腦中的文件都無(wú)法正常使用。

  裝了個(gè)金山毒霸,結(jié)果金山毒霸只是殺了毒,把小部分文件夾修復(fù)了,但是被破壞的文件一個(gè)都沒(méi)有修復(fù)。寶貴的數(shù)據(jù)就這樣被毀滅了?沒(méi)那么容易,肯定有方法的。嘗試打開(kāi)各個(gè)不同類(lèi)型的文件,只有MP3文件,ZIP格式的壓縮文件可以正常打開(kāi),文本文件可以打開(kāi),但存在亂碼。

  研究一下各類(lèi)型的文本文檔,得出了一個(gè)規(guī)律,所有的文本文檔前幾行亂碼,剩下的正常。可以猜到病毒只是對(duì)文件做了一些少修改,具體算法有待進(jìn)一步研究。

  研究方法:找兩個(gè)相同的的文件,一個(gè)完整沒(méi)有被病毒損壞,一個(gè)被病毒破壞的,以二進(jìn)制的形式打開(kāi),研究被破壞的文件被修改部分的每一位的變化。

  準(zhǔn)備工作:

  1.二進(jìn)制編輯器,推薦兩個(gè),winhex和 UltraEdit-32,winhex小巧靈活,打開(kāi)文件速度快,修改文件很方便;而UltraEdit-32功能齊全,既是文本編輯器,十六進(jìn)制編輯器,支持各種編程語(yǔ)言的編輯,同時(shí)有各種各樣的功能,其中有一個(gè)很好用的功能就是文件對(duì)比功能,可以很快的發(fā)現(xiàn)兩個(gè)文件之間相同和不相同的部分。

  2.與被破壞的文件一樣的文件,這個(gè)容易,找一個(gè)在網(wǎng)上下載到的又被損壞文件,然后再去網(wǎng)上下載一個(gè),這樣就得到兩個(gè)來(lái)源有相同文件,但有一個(gè)是被病毒損壞的。

  現(xiàn)在開(kāi)始分析文件,用UltraEdit-32打開(kāi)準(zhǔn)備好的兩個(gè)文件,然后使用UltraEdit-32的文件對(duì)比功能,打開(kāi)之后發(fā)現(xiàn)兩個(gè)文件的數(shù)據(jù)只有前0X64位是不相同的,其它部分都相同,也就是說(shuō)病毒至修改了文件前0X64位的數(shù)據(jù)。

  至于病毒是通過(guò)什么算法修改了文件,我們接下來(lái)就是分析兩個(gè)文件不同部分的差異,還有這個(gè)病毒修改文件的算法比較簡(jiǎn)單,熟悉十六進(jìn)制數(shù)的人分析這些數(shù)據(jù),很快就可以發(fā)現(xiàn),不同部分是按位取反的。

  為了驗(yàn)證這個(gè)研究結(jié)果的正確性,我隨便找了一個(gè)文件,用winhex打開(kāi),以十六進(jìn)制方式編輯,把前文件的0X64位數(shù)據(jù)按位取反修改,最后發(fā)現(xiàn)文件修復(fù)好了,至此,我們已經(jīng)找到了這個(gè)病毒破壞我們的文件的算法。

  最后根據(jù)這個(gè)算法寫(xiě)了個(gè)修復(fù)程序,寶貴數(shù)據(jù)又回來(lái)

    無(wú)相關(guān)信息