一个阳光明媚的下午,孝哥接到了顾客周老师的紧急支援电话。周老师电脑上的《综合训练教材》。docx《档案恶意》综合训练教材。修改为“docx.jxflasyhv”,州老师自己将文件后缀修改为“.还原为“docx”
周老师在市场上使用文件修复产品进行了修复,但最终只修复了部分照片,效果不好。(莎士比亚)。
于是,周先生向我们紧急求助。一
拿到文件后,我们通过Winhex工具查看该文件的二进制数据,发现首部和中间的部分数据与正常docx文件有较大差异。
该文件的二进制数据:
正常docx文件的二进制数据:
通过对以上数据进行特征分析,并结合勒索病毒的常见行为,我们判断该文件数据已被加密,在没有秘钥的情况下,无法解密出原始数据,也无法正常打开。
二
在对docx文件的内部结构进行研究后,我们发现其是由一系列xml文件和媒体文件(如图片等)通过zip格式进行压缩封装。
按照zip压缩文件格式对docx文件进行解压缩后,得到了一系列具有一定目录结构的xml文件和媒体文件,常见的目录结构如下图所示:
研究发现,文本存放于word中,媒体文件存放于word/media/目录下。
word如下图所示:
在word中,文本的格式(如字体类型、大小、颜色等)和内容均存放在特定的节点或属性中,如:字体类型存放在<w:rFonts>节点的“w:hAnsi”和“w:ascii”属性中,文本内容存放在<w:t>节点中。除了文本的格式和内容,该文件中还会存放用于关联媒体文件的ID,如:图片的关联ID存放在<v:imagedata>节点的“r:id”属性中。
三
只要能在损坏的docx文件中找到zip文件记录,并解压缩出关键的xml文件(如word)和媒体文件,虽然这些解压缩出的文件可能存在脏数据(根据zip文件记录的压缩数据是否受到损坏而定),但依然可以解析出部分内容数据,通过这些数据再重新创建docx文件,达到修复文件的目的。流程如下:
步骤1:通过特殊标记(0x504B0102)在损坏docx文件中检索zip目录记录,并检查其结构是否正确;
步骤2:通过特殊标记(0x504B0304)在损坏docx文件中检索zip文件记录,并检查其结构是否正确;
步骤3:通过zip文件记录头(或目录记录头)中记录的压缩算法,解压缩zip文件记录中的压缩数据,其结果即为前述的xml文件和媒体文件;
步骤4:解析关键的xml文件(word和word/_rels.rels)数据,获取文本内容及其样式,以及与媒体文件(如图片等)的关联ID;
步骤5:利用步骤4解析出的数据和步骤3解压缩出的媒体文件,重新创建docx文件,完成修复。
↓ ↓ ↓
重点来了!
现在,以上所有步骤
全!都!可!以!跳!过!
目前,上述docx文件修复方法已集成于“FRM5200文件修复大师”中,通过该产品能够快速实现被勒索病毒加密的docx文件修复。经测试,数百页、近十万字的Office文档,仅需3分钟即可完成修复,修复以后的文件仍可以通过Office 和WPS正常打开使用。
☞FRM5200文件修复大师
FRM5200文件修复大师是一款可对文档、图片、视频、音频、压缩文件等多种类型的损坏文件进行修复的工具。产品既支持批量修复、导出文件,也可以对修复后的文件进行预览。
FRM5200文件修复大师预计于9月发布,届时我们将开放试用。
☞试用通道
即刻私信,备注:姓名+单位信息+联系方式,可获得优先试用名额哟~
1.《勒索病毒文件恢复看这里!数据恢复技术剖析——勒索病毒加密文件修复》援引自互联网,旨在传递更多网络信息知识,仅代表作者本人观点,与本网站无关,侵删请联系页脚下方联系方式。
2.《勒索病毒文件恢复看这里!数据恢复技术剖析——勒索病毒加密文件修复》仅供读者参考,本网站未对该内容进行证实,对其原创性、真实性、完整性、及时性不作任何保证。
3.文章转载时请保留本站内容来源地址,https://www.lu-xu.com/gl/2484740.html