国内杀毒如何修复已经感染的办公文档？——对于回答好者，绝对人气鼓励

sikle

楼主搞定了咩有

fuzhk

咖啡好像会把整个宏移除

fuzhk

root1605 发表于 2014-7-10 13:21
国外avast厉害

avast修复宏病毒能力很差，。。

白露为霜

fuzhk 发表于 2014-7-16 20:05
avast修复宏病毒能力很差，。。

听说SEP修复能力一流…

fuzhk

root1605 发表于 2014-7-16 21:59
听说SEP修复能力一流…

美系三大都一流。放心。

雪洗铁龙

这个其实是有一些给定的算法的，具体步骤讲一下：
一、声明
1、我清楚楼主发帖的意图，工具大家都有提供，我说了也一样，说点不一样的原理方面的东西。
2、本人曾在学校信息安全维护中心混，最近转战中科院苏研所，具体主做数据恢复这一块。苦逼大三党一枚。
二、关于破坏
1、数据结构改写：比如说数据结构本身是线性的，给你改成非线性的（图、树这种），本身数据还是线性，非线性部分由垃圾信息构成；非线性的会改变成其他非线性的结构。
2、数据丢失：线性的改成非线性的就是最简单的方式。
3、以上方式均是软件破坏，硬件的簇不会受到影响，因此找回簇就可以恢复文件。
4、如果包含汇编，那恢复起来就难一点了，一般的病毒不会。
二、关于恢复
1、数据结构改写的恢复方式非常简单，智能识别之前的数据结构，比如原来是doc的，那么根据标准进行恢复就行，以此类推。
2、数据丢失的恢复就需要通过找回簇，这个可以通过磁头的算法逆推，只要知道了硬盘的型号和版本，恢复起来不成问题。
3、最头疼的就是包含硬盘擦除的，这种恢复起来特别复杂，主要通过一些不同文件对应的算法，需要知道的信息也比较多，比如文件的原格式，内容语言，原始大小，创建于感染的时间，这个时候通过推断簇可以招到一些未被擦除的簇头，这个时候在经过算法进行backpatch，有的时候可能会用到手动链接的方式。难度在于，算法有很多，但是类型也就那几类，如果病毒有意地根据某几类算法进行擦除，那么该算法失效，需要人工的方式进行部分bp，构成其他算法所需的bp条件再进行bp。
4、针对全擦除的，那样其他数据也会丢失，这个时候相关数据已经无法找回了，基本就是，找，那些受影响的了。
5、现在数据恢复的主要工作是，簇Bp算法。

疾驰

雪洗铁龙 发表于 2014-7-16 23:27
这个其实是有一些给定的算法的，具体步骤讲一下：
一、声明
1、我清楚楼主发帖的意图，工具大家都有提供 ...

业内人士给推荐一款国软，你认为处理这个最棒的。

ikochina

修复文件非蜘蛛莫属，其他的修复都是扯淡，删掉了事

Hacker29cn

sikle 发表于 2014-7-16 18:08
楼主搞定了咩有

还没有批处理~

Hacker29cn

fuzhk 发表于 2014-7-16 20:04
咖啡好像会把整个宏移除

是的,但是一般单位不要求有宏,移除也没关系