-
-
[旧帖] [原创]修复文件终结者病毒破坏的文件 0.00雪花
-
2013-8-4 10:33
-
修复文件终结者病毒破坏的文件
前段时间,发现电脑读硬盘异常,就不断去查找异常进程,结束了多个读硬盘数据较多的陌生进程,最后打开资源管理器,发现了大问题,自己电脑中的文件夹突然都变成了回收站。
打开后原本的文件都变成了回收站中的垃圾文件。清空回收站,再打开后,里面所有文件和文件夹都没有了。但是从文件属性中可以看到原来的数据还是在的。最后通过好压浏览到丢失文件,文件走在原来的地方,还发现每个文件夹里都多了一个名文desktop.ini的文件,尝试把它删除,删除后文件夹能够正常显示,但是属性变成了受操作系统保护,通过命令提示符把几个重要的文件夹恢复正常。
找到原来的文件后,却发现文件无法正常打开。无论是充满回忆的照片,辛辛苦苦写出来的代码,压缩包还是重要的文档无法幸免。还有在歌曲列表中歌曲都不存在,打开相应的文件夹,歌曲文件都存在。经过对比发现文件名尾,也就是小数点前多了个空格,导致文件名不同了,原有的文件路径都失效。
由于大部分文件夹包括子文件夹和文件都变成这样,一个一个修复工作量很大,根据病毒症状到网络上找解决方法,金山毒霸说可以解决这可问题,称电脑感染了一种新的木马病毒——“文档终结者2”,该类现象是由于“文档终结者2”感染电脑后,遍历电脑中的文件夹,将文件夹转变成为回收站,导致打开后直接显示回收站中的垃圾文件,并破坏文件夹中的非PE文件(如Word、Excel等)。可见无论怎样操作,电脑中的文件都无法正常使用。
装了个金山毒霸,结果金山毒霸只是杀了毒,把小部分文件夹修复了,但是被破坏的文件一个都没有修复。宝贵的数据就这样被毁灭了?没那么容易,肯定有方法的。尝试打开各个不同类型的文件,只有MP3文件,ZIP格式的压缩文件可以正常打开,文本文件可以打开,但存在乱码。
研究一下各类型的文本文档,得出了一个规律,所有的文本文档前几行乱码,剩下的正常。可以猜到病毒只是对文件做了一些少修改,具体算法有待进一步研究。
研究方法:找两个相同的的文件,一个完整没有被病毒损坏,一个被病毒破坏的,以二进制的形式打开,研究被破坏的文件被修改部分的每一位的变化。
准备工作:
1.二进制编辑器,推荐两个,winhex和 UltraEdit-32,winhex小巧灵活,打开文件速度快,修改文件很方便;而UltraEdit-32功能齐全,既是文本编辑器,十六进制编辑器,支持各种编程语言的编辑,同时有各种各样的功能,其中有一个很好用的功能就是文件对比功能,可以很快的发现两个文件之间相同和不相同的部分。
2.与被破坏的文件一样的文件,这个容易,找一个在网上下载到的又被损坏文件,然后再去网上下载一个,这样就得到两个来源有相同文件,但有一个是被病毒损坏的。
现在开始分析文件,用UltraEdit-32打开准备好的两个文件,然后使用UltraEdit-32的文件对比功能,打开之后发现两个文件的数据只有前0X64位是不相同的,其它部分都相同,也就是说病毒至修改了文件前0X64位的数据。
至于病毒是通过什么算法修改了文件,我们接下来就是分析两个文件不同部分的差异,还有这个病毒修改文件的算法比较简单,熟悉十六进制数的人分析这些数据,很快就可以发现,不同部分是按位取反的。
为了验证这个研究结果的正确性,我随便找了一个文件,用winhex打开,以十六进制方式编辑,把前文件的0X64位数据按位取反修改,最后发现文件修复好了,至此,我们已经找到了这个病毒破坏我们的文件的算法。
最后根据这个算法写了个修复程序,宝贵数据又回来
!!!!!
前段时间,发现电脑读硬盘异常,就不断去查找异常进程,结束了多个读硬盘数据较多的陌生进程,最后打开资源管理器,发现了大问题,自己电脑中的文件夹突然都变成了回收站。
打开后原本的文件都变成了回收站中的垃圾文件。清空回收站,再打开后,里面所有文件和文件夹都没有了。但是从文件属性中可以看到原来的数据还是在的。最后通过好压浏览到丢失文件,文件走在原来的地方,还发现每个文件夹里都多了一个名文desktop.ini的文件,尝试把它删除,删除后文件夹能够正常显示,但是属性变成了受操作系统保护,通过命令提示符把几个重要的文件夹恢复正常。
找到原来的文件后,却发现文件无法正常打开。无论是充满回忆的照片,辛辛苦苦写出来的代码,压缩包还是重要的文档无法幸免。还有在歌曲列表中歌曲都不存在,打开相应的文件夹,歌曲文件都存在。经过对比发现文件名尾,也就是小数点前多了个空格,导致文件名不同了,原有的文件路径都失效。
由于大部分文件夹包括子文件夹和文件都变成这样,一个一个修复工作量很大,根据病毒症状到网络上找解决方法,金山毒霸说可以解决这可问题,称电脑感染了一种新的木马病毒——“文档终结者2”,该类现象是由于“文档终结者2”感染电脑后,遍历电脑中的文件夹,将文件夹转变成为回收站,导致打开后直接显示回收站中的垃圾文件,并破坏文件夹中的非PE文件(如Word、Excel等)。可见无论怎样操作,电脑中的文件都无法正常使用。
装了个金山毒霸,结果金山毒霸只是杀了毒,把小部分文件夹修复了,但是被破坏的文件一个都没有修复。宝贵的数据就这样被毁灭了?没那么容易,肯定有方法的。尝试打开各个不同类型的文件,只有MP3文件,ZIP格式的压缩文件可以正常打开,文本文件可以打开,但存在乱码。
研究一下各类型的文本文档,得出了一个规律,所有的文本文档前几行乱码,剩下的正常。可以猜到病毒只是对文件做了一些少修改,具体算法有待进一步研究。
研究方法:找两个相同的的文件,一个完整没有被病毒损坏,一个被病毒破坏的,以二进制的形式打开,研究被破坏的文件被修改部分的每一位的变化。
准备工作:
1.二进制编辑器,推荐两个,winhex和 UltraEdit-32,winhex小巧灵活,打开文件速度快,修改文件很方便;而UltraEdit-32功能齐全,既是文本编辑器,十六进制编辑器,支持各种编程语言的编辑,同时有各种各样的功能,其中有一个很好用的功能就是文件对比功能,可以很快的发现两个文件之间相同和不相同的部分。
2.与被破坏的文件一样的文件,这个容易,找一个在网上下载到的又被损坏文件,然后再去网上下载一个,这样就得到两个来源有相同文件,但有一个是被病毒损坏的。
现在开始分析文件,用UltraEdit-32打开准备好的两个文件,然后使用UltraEdit-32的文件对比功能,打开之后发现两个文件的数据只有前0X64位是不相同的,其它部分都相同,也就是说病毒至修改了文件前0X64位的数据。
至于病毒是通过什么算法修改了文件,我们接下来就是分析两个文件不同部分的差异,还有这个病毒修改文件的算法比较简单,熟悉十六进制数的人分析这些数据,很快就可以发现,不同部分是按位取反的。
为了验证这个研究结果的正确性,我随便找了一个文件,用winhex打开,以十六进制方式编辑,把前文件的0X64位数据按位取反修改,最后发现文件修复好了,至此,我们已经找到了这个病毒破坏我们的文件的算法。
最后根据这个算法写了个修复程序,宝贵数据又回来
!!!!!
[培训]二进制漏洞攻防(第3期);满10人开班;模糊测试与工具使用二次开发;网络协议漏洞挖掘;Linux内核漏洞挖掘与利用;AOSP漏洞挖掘与利用;代码审计。
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
麻烦lz,把相关的文件也传两个上来看看嘛,就是源文件与感染后的文件,我们也对比下是啥样子的哈~~这样更明确
|
|
|
|
|
|
|
