灰鸽子远程控制软件

 找回密码
 立即注册

QQ登录

只需一步,快速开始

查看: 13774|回复: 8

修复文件终结者病毒破坏的文件 感染文件找回办法

[复制链接]
发表于 2013-9-4 23:52:54 | 显示全部楼层 |阅读模式
修复文件终结者病毒破坏的文件 感染文件找回办法

准备工作:




    1.二进制编辑器,推荐两个,winhex和 UltraEdit-32,winhex小巧灵活,打开文件速度快,修改文件很方便;而UltraEdit-32功能齐全,既是文本编辑器,十六进制编辑器,支持各种编程语言的编辑,同时有各种各样的功能,其中有一个很好用的功能就是文件对比功能,可以很快的发现两个文件之间相同和不相同的部分。

    2.与被破坏的文件一样的文件,这个容易,找一个在网上下载到的又被损坏文件,然后再去网上下载一个,这样就得到两个来源有相同文件,但有一个是被病毒损坏的。
现在开始分析文件,用UltraEdit-32打开准备好的两个文件,然后使用UltraEdit-32的文件对比功能,打开之后发现两个文件的数据只有前0X64位是不相同的,其它部分都相同,也就是说病毒至修改了文件前0X64位的数据。


    至于病毒是通过什么算法修改了文件,我们接下来就是分析两个文件不同部分的差异,还有这个病毒修改文件的算法比较简单,熟悉十六进制数的人分析这些数据,很快就可以发现,不同部分是按位取反的。
    为了验证这个研究结果的正确性,我随便找了一个文件,用winhex打开,以十六进制方式编辑,把前文件的0X64位数据按位取反修改,最后发现文件修复好了,至此,我们已经找到了这个病毒破坏我们的文件的算法。
评帖赚银币(0) 收起
回复

使用道具 举报

发表于 2013-9-8 10:37:01 | 显示全部楼层
135f5ea9db27a8549976fd692bf90b3c135f5ea9db27a8549976fd692bf90b3c
评帖赚银币(0) 收起
回复 支持 反对

使用道具 举报

发表于 2013-9-8 10:37:10 | 显示全部楼层
d24166b4c048f66bc0913c7df22a502b
评帖赚银币(0) 收起
回复 支持 反对

使用道具 举报

发表于 2013-9-8 10:37:20 | 显示全部楼层
楼主太有才了,膜拜中……
评帖赚银币(0) 收起
回复 支持 反对

使用道具 举报

发表于 2013-9-8 10:37:30 | 显示全部楼层
要下载灰鸽子!我要灰鸽子下载哇!
评帖赚银币(0) 收起
回复 支持 反对

使用道具 举报

发表于 2013-9-8 10:37:39 | 显示全部楼层
想买灰鸽子免杀版 攒钱中!
评帖赚银币(0) 收起
回复 支持 反对

使用道具 举报

发表于 2013-9-8 10:37:52 | 显示全部楼层
0b0b0f9a1a18349d4885d6f92aaf5d220b0b0f9a1a18349d4885d6f92aaf5d22
评帖赚银币(0) 收起
回复 支持 反对

使用道具 举报

发表于 2013-9-8 10:38:04 | 显示全部楼层
0b0b0f9a1a18349d4885d6f92aaf5d22
评帖赚银币(0) 收起
回复 支持 反对

使用道具 举报

发表于 2013-10-6 23:37:35 | 显示全部楼层
真心想学编程了
评帖赚银币(0) 收起
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

Archiver|手机版|小黑屋|灰鸽子远程控制软件|灰鸽子远程控制软件 ( 鲁ICP备14000061号-4 )

GMT+8, 2024-11-24 04:45 , Processed in 0.074241 second(s), 39 queries , Gzip On.

Powered by Discuz! X3.4

Copyright © 2001-2021, Tencent Cloud.

快速回复 返回顶部 返回列表