某个风和日丽的下午,效哥接到客户周先生的紧急求助周先生电脑中的文件“综合实训教材.docx”被恶意修改为“综合实训教材.docx.jxflasyhv”,在周先生自行将文件后缀名还原为“.docx”后,双击打开文件时提示:
周先生使用市场上某文件修复产品进行修复,然而最终仅仅修复出部分图片,效果并不理想。于是,周先生向我们紧急求助。
一
拿到文件后,我们通过Winhex工具查看该文件的二进制数据,发现首部和中间的部分数据与正常docx文件有较大差异。
该文件的二进制数据:
正常docx文件的二进制数据:
通过对以上数据进行特征分析,并结合勒索病毒的常见行为,我们判断该文件数据已被加密,在没有秘钥的情况下,无法解密出原始数据,也无法正常打开。
二
在对docx文件的内部结构进行研究后,我们发现其是由一系列xml文件和媒体文件(如图片等)通过zip格式进行压缩封装。
按照zip压缩文件格式对docx文件进行解压缩后,得到了一系列具有一定目录结构的xml文件和媒体文件,常见的目录结构如下图所示:
研究发现,文本存放于word/document.xml中,媒体文件存放于word/media/目录下。
word/document.xml如下图所示:
在word/document.xml中,文本的格式(如字体类型、大小、颜色等)和内容均存放在特定的节点或属性中,如:字体类型存放在w:rFonts节点的“w:hAnsi”和“w:ascii”属性中,文本内容存放在w:t节点中。除了文本的格式和内容,该文件中还会存放用于关联媒体文件的ID,如:图片的关联ID存放在v:imagedata节点的“r:id”属性中。
三
只要能在损坏的docx文件中找到zip文件记录,并解压缩出关键的xml文件(如word/document.xml)和媒体文件,虽然这些解压缩出的文件可能存在脏数据(根据zip文件记录的压缩数据是否受到损坏而定),但依然可以解析出部分内容数据,通过这些数据再重新创建docx文件,达到修复文件的目的。流程如下:
步骤1:通过特殊标记(0xB)在损坏docx文件中检索zip目录记录,并检查其结构是否正确;
步骤2:通过特殊标记(0xB)在损坏docx文件中检索zip文件记录,并检查其结构是否正确;
步骤3:通过zip文件记录头(或目录记录头)中记录的压缩算法,解压缩zip文件记录中的压缩数据,其结果即为前述的xml文件和媒体文件;
步骤4:解析关键的xml文件(word/document.xml和word/_rels/document.xml.rels)数据,获取文本内容及其样式,以及与媒体文件(如图片等)的关联ID;
步骤5:利用步骤4解析出的数据和步骤3解压缩出的媒体文件,重新创建docx文件,完成修复。
↓↓↓
重点来了!
现在,以上所有步骤
全!都!可!以!跳!过!
目前,上述docx文件修复方法已集成于“FRM文件修复大师”中,通过该产品能够快速实现被勒索病毒加密的docx文件修复。经测试,数百页、近十万字的Office文档,仅需3分钟即可完成修复,修复以后的文件仍可以通过Office和WPS正常打开使用。
FRM文件修复大师
FRM文件修复大师是一款可对文档、图片、视频、音频、压缩文件等多种类型的损坏文件进行修复的工具。产品既支持批量修复、导出文件,也可以对修复后的文件进行预览。
FRM文件修复大师预计于9月发布,届时我们将开放试用。
试用通道
即刻添加效哥
转载请注明:http://www.wangguoqiangq.com/sglbwh/12672.html
