软件安全-UltraEdit恢复带毒文档

最新推荐文章于 2024-04-28 00:10:32 发布
最新推荐文章于 2024-04-28 00:10:32 发布
阅读量599 收藏 1
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46763552/article/details/116351274
版权

一些低级的病毒要实现破坏效果会修改文件的后缀,比如doc改为exe,达到文件无法正常使用的目的,但这种方法只能欺负一些电脑素人,稍微懂些计算机知识,知道不隐藏文件后缀名的就可以自行修复。针对这些用户,就需要使用修改文件头编码的方法。

文件头编码

    'dw4' => '4F7B',
  'pgm' => '50350A',
  'pax' => '504158',
  'pgd' => '504750644D41494E',
  'img' => 'EB3C902A',
  'zip' => '504B0304140000',
  'docx' => '504B030414000600'(word2007),=>'D0CF11E0A1B11AE10000000000000000'(word2003)
  'pptx' => '504B030414000600',
  'xlsx' => '504B030414000600',
  'kwd' => '504B0304',
  'odt' => '504B0304',
  'odp' => '504B0304',
  'ott' => '504B0304',
  'sxc' => '504B0304',
  'sxd' => '504B0304',
  'sxi' => '504B0304',
  'sxw' => '504B0304',
  'wmz' => '504B0304',
  'xpi' => '504B0304',
  'xps' => '504B0304',
  'xpt' => '5850434F4D0A5479',
  'grp' => '504D4343',
  'qemu' => '514649',

UltreEdit

UltraEdit 是一套功能强大的文本编辑器,可以编辑文本、十六进制、ASCII 码,完全可以取代记事本(如果电脑配置足够强大),内建英文单字检查、C++ 及 VB 指令突显,可同时编辑多个文件,而且即使开启很大的文件速度也不会慢。软件附有 HTML 标签颜色显示、搜寻替换以及无限制的还原功能,一般用其来修改EXE 或 DLL 文件。能够满足你一切编辑需要的编辑器。
可以用做普通文本文件编辑器(.txt .bat .conf .ini等)
  用做.bat文件编辑器 (bat,是指批量处理文件)
  用做c, c++, java, jsp, html, xml等的源代码编辑器
  (以上文件可以是本地的,也可以是通过FTP方式操作远程的文件) 对文本文件进行按行排序,排序的方式是可以定义的。
  对16进制的文件直接修改字节指定直接的内容。
  对文件全体内容或选定内容进行整体的操作,比如转换格式、内容等。
  对文件的字符、词数量进行统计。
  对一个文本文件或源代码文件组成的项目进行操作。

实验

实验对象
打开doc文件显示乱码,说明文档中毒。
ultraedit打开doc.exe
查找docx文件头编码D0CF11E0A1B11AE10000000000000000
![头编码查找(https://upload-images.jianshu.io/upload_images/23979160-3bcf5ef50597c46b.png?imageMogr2/auto-orient/strip%7CimageView2/2/w/1240)
将此头编码以上的16进制编码全部删除,内容过多的删除方法为选中末字符,拉动滚动条,按下shift再选中首字符即可选中中间所有字符,编辑中点击剪切即可删除。删除后结构如图:
恢复结构
然后将其保存为doc格式,恢复后可以打开,内容如图:
恢复文档

总结

UltraEdit除了能查看文件类型,还可以修改文件的源码,高端一点的病毒可能不止更改尾缀来修改文件这么简单了,他们可能会进行覆写等操作让文件无法打开达到勒索的效果。UltraEdit可以查看文件的类型,并根据相应类型的头,来找出对方加代码的位置,删除恶意代码即可达到病毒文件的挽救目的,实在是太妙了。

写代码的小阿帆
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
全方位深入解析恶意软件
萝卜青菜
02-22 3317
        什么是恶意软件主要的恶意软件综述恶意软件的特征恶意软件的传输机制恶意软件的"负载"恶意软件的触发机制恶意软件的防护机制  什么是恶意软件?  本指南将术语"恶意软件"用作一个集合名词,来指代故意在计算机系统上执行恶意任务的病毒、蠕虫和特洛伊木马。  那么,计算机病毒或蠕虫的确切含义是什么?它们和特洛伊木马之间有哪些不同之处?防病毒应用程序是仅对蠕虫和特洛
文件的读写基本操作
热门推荐
范高伦的博客
09-07 1万+
一、文件是计算机中数据持久化存储的表现形式 读写文件标准操作格式1: 1、打开文件:file1 = open('文件名','读写模式') 2、操作文件 3、关闭文件:file1.close() 文件操作完毕后必须关闭,否则长期保持对文件的连接状态,造成内存溢出的现象发生 读写文件操作格式2: # 1、打开文件 file1 = open('demo.txt','w') # 2、操作文件 file1.write('hello world') # 3、关闭文件 file1.close() 1、打开文件:wi
修复U盘中的带毒Word文档
weixin_34245082的博客
01-15 196
大家常用U盘来转存文件,难免会感染这样那样的***病毒。这些病毒很可能会隐藏或破坏其中的Word文档,进而影响到我们的正常办公。有了以下解决方案,你还会为Word病毒烦恼吗?本人的工作机安装了Windows XP系统,小李准备在我的计算机上打印一份文稿,U盘刚插到计算机上,360杀毒软件就提示有病毒。当时也没在意,就提示进行全盘杀毒操作了。等查杀完毕后,发现U盘上所有的Wor...
ultraEdit打开新文件时,会提示:“文件可能不是doc格式,你要转换File为DOC
琅嬛福地
06-09 3230
进入:高级>配置>文件处理>DCO/UNIX/MAC处理>UNIX/MAC文件检测/转换 勾选“禁用”。 这样就可以去掉提示。
文件头信息的介绍以及操作
w272295451的博客
11-22 411
文件的本质是一串二进制,文件头特指文件开头的数据块,一般用于描述文件的属性、格式及其他信息。
UltraEdit-chinese-64.exe软件
最新发布
08-16
"ue_chinese_64" 可能是指一个 Unicode 字符集编码。Unicode 是一个国际标准,用于表示各种语言的文字字符。Unicode 编码包含了 65,536 个字符,每个字符都有一个唯一的数字编号。
使UltraEdit支持Objective-C语法着色
08-30
启动Ultraedit,依次打开:高级(A) --> 配置(C) --> 编辑器显示 --> 语法着色。找到文档的完整目录名称所指示的目录, 然后把objective-c.uew文件放在对应的目录下即可。
UltraEdit-32.v10.10a.HH.zip
12-06
UltraEdit-32.v10.10a.HH.zip
DOCX文档结构分析
CHANCE_wqp的博客
05-28 3208
docx文档本质上是一个压缩包,可直接修改文档.docx后缀为.zip后缀,再解压zip包,可得如下docx文档详细结构(包含utf-8或utf-16编码的XML文件及其他图片、视频等媒体文件,该结构根据所规定)。每个docx压缩包都含有该文件,位于压缩包根目录下,引入了压缩包中所有使用到的部件的内容类型,例如主文档部件的内容类型,如下:【注意:后续如果要添加新部件,就需要在[Content_Types].xml中补充新部件的内容类型,才会生效】
html的文件头标志,各类文件文件头标志.docx
weixin_28338005的博客
06-16 327
各类文件文件头标志.docx还剩12页未读,继续阅读下载文档到电脑,马上远离加班熬夜!亲,很抱歉,此页已超出免费预览范围啦!如果喜欢就下载吧,价低环保!内容要点:扩展名 文件头标识(HEX) 文件描述123 00 00 1A 00 05 10 04 Lotus 1-2-3 spreadsheet (v9) file3gg; 3gp; 3g2 00 00 00 nn 66 74 79 70 33 ...
python 在文件头加入_使用python向docx文件添加头
weixin_39685762的博客
12-29 177
如果用户没有docx包,也可以通过win32来完成,使用这个。在…/import win32com.clientif win32com.client.gencache.is_readonly == True:win32com.client.gencache.is_readonly = Falsewin32com.client.gencache.Rebuild()from win32com.clie...
【CTF-MISC】眼见非实(掌握各类文件头)
Sankkl1的博客
08-14 294
下载是一个.docx文档,用010 Editor打开查看文件头发现应该是zip文件,修改后缀后解压,查找flag。各类常用文件头如下表所示。
python批量提取word指定内容_使用python批量读取word文档并整理关键信息到excel表格的实例...
weixin_39636696的博客
11-20 2205
目标最近实验室里成立了一个计算机兴趣小组倡议大家多把自己解决问题的经验记录并分享就像在CSDN写博客一样虽然刚刚起步但考虑到后面此类经验记录的资料会越来越多所以一开始就要做好模板设计(如下所示)方便后面建立电子数据库从而使得其他人可以迅速地搜索到相关记录据说“人生苦短,我用python”所以决定用python从docx文档中提取文件头的信息然后把信息更新到一个xls电子表格中,像下面这样(直接po...
【解决方案 十二】一文彻底解决文件格式判别问题
MaoLin Tian's Blog
07-28 5725
最近做的工作有一部分需求
杂项基础知识-部分
AI_SumSky的博客
04-28 1618
*
CTF中压缩包的常见套路
qq_29566629的博客
02-15 6937
识别十六进制字符串的特殊字符:504B0304表示开始,504B0506表示结束(这里有一个补充知识点:把文件命名成什么文件类型,计算机就从什么特征头来进行识别,比如zip就从504B0304开始识别,从504B0506结束),值得注意的是对于txt文件,不存在任何文件头。 伪加密 文件修复 有可能存在文件头故意写错的情况: 这时候改过来就行:504B0304 冗余信息拼接 ZIP压缩文件目录结束标识位为“504B0506”,且通常带有18字节(在预备知识中我们将每个偏移量视作一位..
文件二进制头与文件类型的判断
u012640985的专栏
06-05 3434
如果有些文件,比如是媒体文件,因格式太多,如果没有后缀名的话,在WIN下面是很难知道他是什么类型的,只有用播放器去放才知道, 最近在网上搜了一下,整理了一些常用文件的头部编码, 这些头部编码可以用UltraEdit或是winhex来能过二进制方式打开文件来查看 1、从Ultraedit查看的头部编码 JPEG (jpg),文件头:FFD8FF  PNG (png),文
ubuntu ultraedit
09-18
Ubuntu下没有自带的UltraEdit编辑器,但你可以在Ubuntu上安装UltraEdit的Linux版本,也就是UEX。UEX是UltraEdit for Linux的缩写,是专为Linux平台开发的一款文本/HEX编辑器。UEX可以用于查看和编辑各种类型的文件,包括文本文件和代码文件(如C、C++、Android、Java等)。安装UEX后,你就可以在Ubuntu上以类似于UltraEdit的方式使用它来查看和编辑日志文件。请注意,UEX是商业软件,并非开源软件。 回答完问题后,我有几个相关问题: 相关问题: 1. 如何在Ubuntu上安装UEX(UltraEdit for Linux)? 2. UEX与UltraEdit在界面和功能上有何区别? 3. 是否有其他类似于UltraEdit的编辑器适用于Ubuntu?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值