2-1-1病毒分析常用工具
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
ZIP Archive
RAR Archive Windows Media MPEG
zip
rar asf mpg
504B0304
52617221 3026B2758E66CF11 000001BA
MPEG
mpg
000001B3
计算机病毒与防治课程小组
文件修复
在某些时候当我们打开一个word文档时可能出现 无法打开的情况,碰到这种情况很多人往往束手 无策,这时候就可以用UltraEdit来试着解决这 个问题。
在找到D0CF11E0所在的位置之后,将该位置前的所有内容 剪切掉,然后将剪切后的文件另存为一个新的文件“实验
文件(修正).doc”。
保存修改后的文件
计算机病毒与防治课程小组
文件修复
将保存的文件重新打开,我们可以发现文件 可以正常打开了。
打开修复后的文件
计算机病毒与防治课程小组
分离捆绑文件
首先我们打开一个可执行文件Registry Monitor,我们可以看到 图所示图片,这是一个注册表监视工具。
Ultraedit功能界面
计算机病毒与防治课程小组
判断文件类型
我们仍然可以通过Ultraedit来分析头文件的方法来判断文件类 型。使用UltraEdit打开文件,并采用十六进制查看。如下图所 示是一个doc文件,它的十六进制文件是以D0CF11E0开头。可以 这样说,正常的office文件,如果以十六进制文件形式打开, 那么文件头都应该是D0CF11E0。
文件无法打开
计算机病毒与防治课程小组
文件修复
用UltraEdit来打开损坏的文件,这时我们可以看到这个word 文件并不是以D0CF11E0开头,并且开头处有“mz”字样 。
查看实验文件的文件头
计算机病毒与防治课程小组
关于捆绑文件
捆绑文件的原理很简单,就是把两个文件捆绑在一起,当 其中一个文件被运行时,另外一个文件也会被同时运行。 捆绑文件的检测方法很简单。对于一个完整有效的PE文件 或者是EXE文件,它里面都包含了几个绝对固定的特点,一 是文件以MZ开头,跟着DOS头后面的PE头以PE\0\0开头。有 了这两个特点,检测就变得很简单了。只需利用UltraEdit 一类工具打开目标文件搜索关键字MZ或者PE,如果找到两 个或者两个以上,则说明这个文件一定是被捆绑了。
计算机病毒与防治
Virus
重庆Hale Waihona Puke Baidu子工程职业学院
计算机病毒与防治课程小组
教学单元2-1 病毒行为分析平台
第一讲 病毒分析常用工具
关于Ultraedit 判断文件类型 文件修复 分离捆绑文件
小结
计算机病毒与防治课程小组
Ultraedit介绍
Ultraedit 是一套功能强大的文字、Hex、ASCII 码编 辑器,可以取代记事本,内建英文单字检查、C++ 及 VB 指
注册表监视器
计算机病毒与防治课程小组
分离捆绑文件
接下来用UltraEdit打开文件,我们会发现该文件是以“mz”字样 开头。我们可以初步判断该文件是一个捆绑文件。接下来,我 们查找文件中是否还有“mz”字样的内容。我们将第二个“mz”之 前的内容剪切掉,将剩下的文件内容另外保存。
查找文件中的关键内容
分离捆绑文件 小结
计算机病毒与防治课程小组
Virus
文件头内容 D0CF11E0 D0CF11E0 D0CF11E0
JPEG
PNG GIF XML HTML Outlook Adobe Acrobat
jpg
png gif xml html pst pdf
FFD8FF
89504E47 47494638 3C3F786D6C 68746D6C3E 2142444E 255044462D312E
计算机病毒与防治课程小组
文件修复
在初步判断实验文件可能是捆绑文件后,接下来我们 查找十六进制文件中是否含有D0CF11E0字样,判断一 下该文件是否有可能是真正的office文件。我们利用 UltraEdit的查找工具,在文件中查找D0CF11E0。
在文件中查找关键内容
计算机病毒与防治课程小组
文件修复
使用Ultraedit打开word文件
计算机病毒与防治课程小组
判断文件类型
除了通过文件头部反应出的文件类型,在用Ultraedit查 看十六进行文件内容中,同样可以看到Microsoft office word 这样的反应文件类型的内容。
使用Ultraedit查看到的文件相关信息
计算机病毒与防治课程小组
判断文件类型
在打开的十六进制文件中,有GIF字样,并且文件以 47494638开头,由此可以判断这是一个图片文件,并 且是GIF类型的图片文件。
使用UltraEdit打开图片文件
计算机病毒与防治课程小组
判断文件类型
文件类型 Word PowerPoint excel doc ppt exl
后缀名
令突显,可同时编辑多个文件,而且即使开启很大的文件速
度也不会慢。其并且附有 HTML Tag 颜色显示、搜寻替换以 及无限制的还原功能,常被用其来修改EXE 或 DLL 文件。 在病毒分析中它可以用来分析和修复文件。
计算机病毒与防治课程小组
Ultraedit功能界面
UltraEdit的启动很简单,可以选择要编辑的文件,然后在右键菜 单中选择 “UltraEdit-32”即可,使用起来简单、方便。 UltraEdit的主界面,上面是标题栏、菜单和工具栏,下部为文本 编辑区,我们打开的文件就显示在文本编辑区中这里。
计算机病毒与防治课程小组
分离捆绑文件
将重新保存的文件打开之后我们可以看到分离出的是一个可执行 文件TCPView,如图所示。该文件和分离之前的文件已经不是同 一个文件了。
分离出的文件
计算机病毒与防治课程小组
本讲小结
关于Ultraedit
判断文件类型
文件修复
掌握进行病毒分析的 常用工具和基本 文件修复方法