修復(fù)給病毒破壞的文件
前段時(shí)間,發(fā)現(xiàn)電腦讀硬盤異常,就不斷去查找異常進(jìn)程,結(jié)束了多個(gè)讀硬盤數(shù)據(jù)較多的陌生進(jìn)程,最后打開資源管理器,發(fā)現(xiàn)了大問題,自己電腦中的文件夾突然都變成了回收站。
打開后原本的文件都變成了回收站中的垃圾文件。清空回收站,再打開后,里面所有文件和文件夾都沒有了。但是從文件屬性中可以看到原來的數(shù)據(jù)還是在的。最后通過好壓瀏覽到丟失文件,文件走在原來的地方,還發(fā)現(xiàn)每個(gè)文件夾里都多了一個(gè)名文desktop.ini的文件,嘗試把它刪除,刪除后文件夾能夠正常顯示,但是屬性變成了受操作系統(tǒng)保護(hù),通過命令提示符把幾個(gè)重要的文件夾恢復(fù)正常。
找到原來的文件后,卻發(fā)現(xiàn)文件無法正常打開。無論是充滿回憶的照片,辛辛苦苦寫出來的代碼,壓縮包還是重要的文檔無法幸免。還有在歌曲列表中歌曲都不存在,打開相應(yīng)的文件夾,歌曲文件都存在。經(jīng)過對比發(fā)現(xiàn)文件名尾,也就是小數(shù)點(diǎn)前多了個(gè)空格,導(dǎo)致文件名不同了,原有的文件路徑都失效。
由于大部分文件夾包括子文件夾和文件都變成這樣,一個(gè)一個(gè)修復(fù)工作量很大,根據(jù)病毒癥狀到網(wǎng)絡(luò)上找解決方法,金山毒霸說可以解決這可問題,稱電腦感染了一種新的木馬病毒——“文檔終結(jié)者2”,該類現(xiàn)象是由于“文檔終結(jié)者2”感染電腦后,遍歷電腦中的文件夾,將文件夾轉(zhuǎn)變成為回收站,導(dǎo)致打開后直接顯示回收站中的垃圾文件,并破壞文件夾中的非PE文件(如Word、Excel等)。可見無論怎樣操作,電腦中的文件都無法正常使用。
裝了個(gè)金山毒霸,結(jié)果金山毒霸只是殺了毒,把小部分文件夾修復(fù)了,但是被破壞的文件一個(gè)都沒有修復(fù)。寶貴的數(shù)據(jù)就這樣被毀滅了?沒那么容易,肯定有方法的。嘗試打開各個(gè)不同類型的文件,只有MP3文件,ZIP格式的壓縮文件可以正常打開,文本文件可以打開,但存在亂碼。
研究一下各類型的文本文檔,得出了一個(gè)規(guī)律,所有的文本文檔前幾行亂碼,剩下的正常。可以猜到病毒只是對文件做了一些少修改,具體算法有待進(jìn)一步研究。
研究方法:找兩個(gè)相同的的文件,一個(gè)完整沒有被病毒損壞,一個(gè)被病毒破壞的,以二進(jìn)制的形式打開,研究被破壞的文件被修改部分的每一位的變化。
準(zhǔn)備工作:
1.二進(jìn)制編輯器,推薦兩個(gè),winhex和 UltraEdit-32,winhex小巧靈活,打開文件速度快,修改文件很方便;而UltraEdit-32功能齊全,既是文本編輯器,十六進(jìn)制編輯器,支持各種編程語言的`編輯,同時(shí)有各種各樣的功能,其中有一個(gè)很好用的功能就是文件對比功能,可以很快的發(fā)現(xiàn)兩個(gè)文件之間相同和不相同的部分。
2.與被破壞的文件一樣的文件,這個(gè)容易,找一個(gè)在網(wǎng)上下載到的又被損壞文件,然后再去網(wǎng)上下載一個(gè),這樣就得到兩個(gè)來源有相同文件,但有一個(gè)是被病毒損壞的。
現(xiàn)在開始分析文件,用UltraEdit-32打開準(zhǔn)備好的兩個(gè)文件,然后使用UltraEdit-32的文件對比功能,打開之后發(fā)現(xiàn)兩個(gè)文件的數(shù)據(jù)只有前0X64位是不相同的,其它部分都相同,也就是說病毒至修改了文件前0X64位的數(shù)據(jù)。
至于病毒是通過什么算法修改了文件,我們接下來就是分析兩個(gè)文件不同部分的差異,還有這個(gè)病毒修改文件的算法比較簡單,熟悉十六進(jìn)制數(shù)的人分析這些數(shù)據(jù),很快就可以發(fā)現(xiàn),不同部分是按位取反的。
為了驗(yàn)證這個(gè)研究結(jié)果的正確性,我隨便找了一個(gè)文件,用winhex打開,以十六進(jìn)制方式編輯,把前文件的0X64位數(shù)據(jù)按位取反修改,最后發(fā)現(xiàn)文件修復(fù)好了,至此,我們已經(jīng)找到了這個(gè)病毒破壞我們的文件的算法。
最后根據(jù)這個(gè)算法寫了個(gè)修復(fù)程序,寶貴數(shù)據(jù)又回來
【修復(fù)給病毒破壞的文件】相關(guān)文章:
Petya勒索病毒文件如何恢復(fù)09-04
文件夾病毒怎么處理08-12
win7刪除病毒文件的方法10-21
電腦中病毒后文件消失怎么辦11-07
給文件夾加密的方法10-07
如何給文件夾加入提示信息11-16
病毒的命名規(guī)則11-21
關(guān)于電腦的故障修復(fù)02-21
搗亂破壞的歇后語精選02-16