计算机病毒与防治挽救带病毒文档PPT学习教案

1、会计学1计算机病毒与防治挽救带病毒文档计算机病毒与防治挽救带病毒文档 判断文件类型 关于关于Ultraedit 文件修复 3-1常用的病毒分析软件常用的病毒分析软件计算机病毒与防治课程小组小结第1页/共18页计算机病毒与防治课程小组 Ultraedit 是一套功能强大的文字、Hex、ASCII 码编辑器，可以取代记事本，内建英文单字检查、C+ 及 VB 指令突显，可同时编辑多个文件，而且即使开启很大的文件速度也不会慢。其并且附有 HTML Tag 颜色显示、搜寻替换以及无限制的还原功能，常被用其来修改EXE 或 DLL 文件。在病毒分析中它可以用来分析和修复文件。 第2页/共18页计算机病毒与

2、防治课程小组 UltraEdit的启动很简单，可以选择要编辑的文件，然后在右键菜 单中选择 “UltraEdit-32”即可，使用起来简单、方便。 UltraEdit的主界面，上面是标题栏、菜单和工具栏，下部为文本 编辑区，我们打开的文件就显示在文本编辑区中这里。 Ultraedit功能界面 第3页/共18页计算机病毒与防治课程小组我们仍然可以通过Ultraedit来分析头文件的方法来判断文件类型。使用UltraEdit打开文件，并采用十六进制查看。如下图所示是一个doc文件，它的十六进制文件是以D0CF11E0开头。可以这样说，正常的office文件，如果以十六进制文件形式打开，那么文件头都

3、应该是D0CF11E0。 使用Ultraedit打开word文件 第4页/共18页计算机病毒与防治课程小组除了通过文件头部反应出的文件类型，在用Ultraedit查看十六进行文件内容中，同样可以看到Microsoft office word 这样的反应文件类型的内容。 使用Ultraedit查看到的文件相关信息 第5页/共18页计算机病毒与防治课程小组使用UltraEdit打开图片文件在打开的十六进制文件中，有GIF字样，并且文件以47494638开头，由此可以判断这是一个图片文件，并且是GIF类型的图片文件。第6页/共18页计算机病毒与防治课程小组文件类型后缀名文件头内容WorddocD0C

4、F11E0PowerPointpptD0CF11E0excelexlD0CF11E0JPEGjpgFFD8FFPNGpng89504E47GIFgif47494638XMLxml3C3F786D6CHTMLhtml68746D6C3EOutlookpst2142444EAdobe Acrobatpdf255044462D312EZIP Archivezip504B0304RAR Archiverar52617221Windows Mediaasf3026B2758E66CF11MPEGmpg000001BAMPEGmpg000001B3第7页/共18页计算机病毒与防治课程小组在某些时候当我们打

5、开一个word文档时可能出现无法打开的情况，碰到这种情况很多人往往束手无策，这时候就可以用UltraEdit来试着解决这个问题。 文件无法打开第8页/共18页计算机病毒与防治课程小组 用UltraEdit来打开损坏的文件，这时我们可以看到这个word文件并不是以D0CF11E0开头，并且开头处有“mz”字样 。查看实验文件的文件头 第9页/共18页计算机病毒与防治课程小组 捆绑文件的原理很简单，就是把两个文件捆绑在一起，当其中一个文件被运行时，另外一个文件也会被同时运行。捆绑文件的检测方法很简单。对于一个完整有效的PE文件或者是EXE文件，它里面都包含了几个绝对固定的特点，一是文件以MZ开头，

6、跟着DOS头后面的PE头以PE00开头。有了这两个特点，检测就变得很简单了。只需利用UltraEdit一类工具打开目标文件搜索关键字MZ或者PE，如果找到两个或者两个以上，则说明这个文件一定是被捆绑了。第10页/共18页计算机病毒与防治课程小组 在初步判断实验文件可能是捆绑文件后，接下来我们查找十六进制文件中是否含有D0CF11E0字样，判断一下该文件是否有可能是真正的office文件。我们利用UltraEdit的查找工具，在文件中查找D0CF11E0。在文件中查找关键内容 第11页/共18页计算机病毒与防治课程小组 在找到D0CF11E0所在的位置之后，将该位置前的所有内容剪切掉，然后将剪切

7、后的文件另存为一个新的文件“实验文件（修正）.doc”。保存修改后的文件 第12页/共18页计算机病毒与防治课程小组 将保存的文件重新打开，我们可以发现文件可以正常打开了。 打开修复后的文件 第13页/共18页计算机病毒与防治课程小组 首先我们打开一个可执行文件Registry Monitor，我们可以看到图所示图片，这是一个注册表监视工具。注册表监视器 第14页/共18页计算机病毒与防治课程小组 接下来用UltraEdit打开文件，我们会发现该文件是以“mz”字样开头。我们可以初步判断该文件是一个捆绑文件。接下来，我们查找文件中是否还有“mz”字样的内容。我们将第二个“mz”之前的内容剪切掉，将剩下的文件内容另外保存。查找文件中的关键内容 第