返回
计算机病毒与防治3-1挽救带病毒文档.ppt

计算机病毒与防治3-1挽救带病毒文档.ppt

ID:52439661

大小:859.50 KB

页数:18页

时间:2020-04-06

计算机病毒与防治3-1挽救带病毒文档.ppt_第1页
计算机病毒与防治3-1挽救带病毒文档.ppt_第2页
计算机病毒与防治3-1挽救带病毒文档.ppt_第3页
计算机病毒与防治3-1挽救带病毒文档.ppt_第4页
计算机病毒与防治3-1挽救带病毒文档.ppt_第5页
资源描述:

《计算机病毒与防治3-1挽救带病毒文档.ppt》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、计算机病毒与防治计算机病毒与防治课程小组3-1常用的病毒分析软件判断文件类型关于Ultraedit文件修复3-1常用的病毒分析软件计算机病毒与防治课程小组小结Ultraedit介绍计算机病毒与防治课程小组Ultraedit是一套功能强大的文字、Hex、ASCII码编辑器,可以取代记事本,内建英文单字检查、C++及VB指令突显,可同时编辑多个文件,而且即使开启很大的文件速度也不会慢。其并且附有HTMLTag颜色显示、搜寻替换以及无限制的还原功能,常被用其来修改EXE或DLL文件。在病毒分析中它可以用来分析和修复文件。计算机病毒与防治课程小组Ultraedit功

2、能界面UltraEdit的启动很简单,可以选择要编辑的文件,然后在右键菜单中选择“UltraEdit-32”即可,使用起来简单、方便。UltraEdit的主界面,上面是标题栏、菜单和工具栏,下部为文本编辑区,我们打开的文件就显示在文本编辑区中这里。Ultraedit功能界面计算机病毒与防治课程小组判断文件类型我们仍然可以通过Ultraedit来分析头文件的方法来判断文件类型。使用UltraEdit打开文件,并采用十六进制查看。如下图所示是一个doc文件,它的十六进制文件是以D0CF11E0开头。可以这样说,正常的office文件,如果以十六进制文件形式打开,

3、那么文件头都应该是D0CF11E0。使用Ultraedit打开word文件计算机病毒与防治课程小组判断文件类型除了通过文件头部反应出的文件类型,在用Ultraedit查看十六进行文件内容中,同样可以看到Microsoftofficeword这样的反应文件类型的内容。使用Ultraedit查看到的文件相关信息计算机病毒与防治课程小组判断文件类型使用UltraEdit打开图片文件在打开的十六进制文件中,有GIF字样,并且文件以47494638开头,由此可以判断这是一个图片文件,并且是GIF类型的图片文件。计算机病毒与防治课程小组判断文件类型文件类型后缀名文件头内

4、容WorddocD0CF11E0PowerPointpptD0CF11E0excelexlD0CF11E0JPEGjpgFFD8FFPNGpng89504E47GIFgif47494638XMLxml3C3F786D6CHTMLhtml68746D6C3EOutlookpst2142444EAdobeAcrobatpdf255044462D312EZIPArchivezip504B0304RARArchiverar52617221WindowsMediaasf3026B2758E66CF11MPEGmpg000001BAMPEGmpg000001B3计算机病

5、毒与防治课程小组文件修复在某些时候当我们打开一个word文档时可能出现无法打开的情况,碰到这种情况很多人往往束手无策,这时候就可以用UltraEdit来试着解决这个问题。文件无法打开计算机病毒与防治课程小组文件修复用UltraEdit来打开损坏的文件,这时我们可以看到这个word文件并不是以D0CF11E0开头,并且开头处有“mz”字样。查看实验文件的文件头计算机病毒与防治课程小组关于捆绑文件捆绑文件的原理很简单,就是把两个文件捆绑在一起,当其中一个文件被运行时,另外一个文件也会被同时运行。捆绑文件的检测方法很简单。对于一个完整有效的PE文件或者是EXE文件

6、,它里面都包含了几个绝对固定的特点,一是文件以MZ开头,跟着DOS头后面的PE头以PE开头。有了这两个特点,检测就变得很简单了。只需利用UltraEdit一类工具打开目标文件搜索关键字MZ或者PE,如果找到两个或者两个以上,则说明这个文件一定是被捆绑了。计算机病毒与防治课程小组文件修复在初步判断实验文件可能是捆绑文件后,接下来我们查找十六进制文件中是否含有D0CF11E0字样,判断一下该文件是否有可能是真正的office文件。我们利用UltraEdit的查找工具,在文件中查找D0CF11E0。在文件中查找关键内容计算机病毒与防治课程小组文件修复在找到

7、D0CF11E0所在的位置之后,将该位置前的所有内容剪切掉,然后将剪切后的文件另存为一个新的文件“实验文件(修正).doc”。保存修改后的文件计算机病毒与防治课程小组文件修复将保存的文件重新打开,我们可以发现文件可以正常打开了。打开修复后的文件计算机病毒与防治课程小组分离捆绑文件首先我们打开一个可执行文件RegistryMonitor,我们可以看到图所示图片,这是一个注册表监视工具。注册表监视器计算机病毒与防治课程小组分离捆绑文件接下来用UltraEdit打开文件,我们会发现该文件是以“mz”字样开头。我们可以初步判断该文件是一个捆绑文件。接下来,我们查找文

8、件中是否还有“mz”字样的内容。我们将第二个“mz”

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。