修复文件终结者病毒破坏的文件 感染文件找回办法
修复文件终结者病毒破坏的文件 感染文件找回办法准备工作:
1.二进制编辑器,推荐两个,winhex和 UltraEdit-32,winhex小巧灵活,打开文件速度快,修改文件很方便;而UltraEdit-32功能齐全,既是文本编辑器,十六进制编辑器,支持各种编程语言的编辑,同时有各种各样的功能,其中有一个很好用的功能就是文件对比功能,可以很快的发现两个文件之间相同和不相同的部分。
2.与被破坏的文件一样的文件,这个容易,找一个在网上下载到的又被损坏文件,然后再去网上下载一个,这样就得到两个来源有相同文件,但有一个是被病毒损坏的。
现在开始分析文件,用UltraEdit-32打开准备好的两个文件,然后使用UltraEdit-32的文件对比功能,打开之后发现两个文件的数据只有前0X64位是不相同的,其它部分都相同,也就是说病毒至修改了文件前0X64位的数据。
至于病毒是通过什么算法修改了文件,我们接下来就是分析两个文件不同部分的差异,还有这个病毒修改文件的算法比较简单,熟悉十六进制数的人分析这些数据,很快就可以发现,不同部分是按位取反的。
为了验证这个研究结果的正确性,我随便找了一个文件,用winhex打开,以十六进制方式编辑,把前文件的0X64位数据按位取反修改,最后发现文件修复好了,至此,我们已经找到了这个病毒破坏我们的文件的算法。
135f5ea9db27a8549976fd692bf90b3c135f5ea9db27a8549976fd692bf90b3c d24166b4c048f66bc0913c7df22a502b 楼主太有才了,膜拜中…… 要下载灰鸽子!我要灰鸽子下载哇! 想买灰鸽子免杀版 攒钱中! 0b0b0f9a1a18349d4885d6f92aaf5d220b0b0f9a1a18349d4885d6f92aaf5d22 0b0b0f9a1a18349d4885d6f92aaf5d22 真心想学编程了
页:
[1]