海雲數據恢復中心編寫的批處理病毒破壞文件數據恢復的通用腳本

   大家經常碰到病毒把文件批量破壞的情況,爲此,張宇大師曾經在他的blog裏發表過一篇文章,用腳本處理.腳本寫的非常好,但總覺得對於初學者而言是很困難的,爲此,我寫一個通俗版本,並考慮他的通用性.

     一種情況,是病毒把文件真實的破壞了,這種破壞有可能是不可逆的,或者雖然可逆,但那僅僅是對病毒作者而言或破解專家而言,我們不討論這種情況.   

     我們着重討論另外一種情況,病毒僅僅是把自己的執行代碼添加到文件中,對原文件並沒有做任何修改,如何批量處理的問題.以下,舉例說明.

     現在,有一種病毒,把自己添加到word裏面,並修改word的擴展名爲exe,以達到執行自己的目的.我們來看如何處理.

    1.打開winhex,將Allow multiple  program instances前面的勾去掉

      Ltems in windows context menu前面的勾加上

 

     

2. 進入到該病毒破壞的某文件夾,如圖:

 

3.執行如下腳本

ForAllObjDo
{
block1 currentpos
 find 0xD0CF11E0A1B11AE1
move -1
block2 currentpos
remove
save
EndIf
close
ExitIfNoFilesOpen
}[unlimited]

 

4.然後就ok了.