恶意代码--大小约1.2G左右zip压缩包文件用rar解压出来为何只有1.2KB_file: 0932f3a313beed4e6dd89d6860b3ee727b6b085f 632-CSDN博客

本文链接：https://blog.csdn.net/microzone/article/details/52214068

0x01 基本分析

File: D:\virus\burpsuite视频.zip

Size: 1243424856 bytes

Modified: Wednesday, August 10, 2016, 2:39:40 PM

MD5: C9DB51BC70DBF439D840A00CC685C03A

SHA1: 9D4F8D5EEE46136D01F9264F7A37FF8B71015A0E

CRC32: 0B071DFB

0x02 文件信息

0x03 压缩信息获取

0x04 diff 自制压缩比较

0x05 解除锁定编码

网上可以搜索相关的软件，比如有些WinRAR的修改版，可以解除锁定限制。

但是并不建议使用修改过的WinRAR，还是用原版的WinRAR放心。
如果你懂技术，就会发现问题变得很简单了，RAR文件的锁定与否，

其实只不过改了一些标志字节而已。
你需要下载一个十六进制编辑器，比如Ultra-Edit，WinHex等。用它打开一个RAR压缩包，

这时发现任意一个正常的RAR最开始的几个字节都是 52 61 72 21 1A 07 00，

接下来的5个字节，普通RAR是：CF 90 73 00 00
而锁定的RAR是：B5 30 73 04 00 。
现在知道怎么做了吧。用16进制编辑器打开一个被锁定的RAR，
修改第7到第11个字节就可以了。将 B5 30 73 04 00 成 CF 90 73 00 00 。
如果还想深入了解为什么要这样修改，每个数字代表的含义，
那么你可以参考WinRAR安装目录下的TechNode.txt。
另外注意，以上均假设压缩包没有被分卷，固实，加密等。如果你遇到这样的情况，

也是可以解决的，那5个字节就应该改成其它的。

0x06 动态捕获可疑行为

检测文件，注册表，文件访问，事件记录发现正常，未发现明显恶意行为。

0x07 网络数据捕获

正常没发现异常地址或者CC服务器。

由此判断文件本身并没有恶意行为，怀疑可能是数据格式兼容性问题或者数据部分被修改。

因此恢复文件的话，尝试修复压缩包试试。

0x08 尝试压缩包修复

1 rar cmd模式

2 Advanced zip repair

Start repair process ...

--------------------------------------------------------

File to be repaired: 'D:\virus\test\123.zip'; File size = 1,243,424,856 bytes

Output fixed file as: 'D:\virus\test\123_fixed.zip'

--------------------------------------------------------

Collect central header informations ...

--------------------------------------------------------

Write central directory structure ...

--------------------------------------------------------

Consumed time: 0 hour(s) 2 minute(s) 54 second(s) 322 millisecond(s).

--------------------------------------------------------

Repair process completes.

--------------------------------------------------------

Fail to repair file 'D:\virus\test\123.zip'!