0x01 基本分析

File: D:\virus\burpsuite視頻.zip

Size: 1243424856 bytes

Modified: Wednesday, August 10, 2016, 2:39:40 PM

MD5: C9DB51BC70DBF439D840A00CC685C03A

SHA1: 9D4F8D5EEE46136D01F9264F7A37FF8B71015A0E

CRC32: 0B071DFB

0x02 文件信息

0x03 壓縮信息獲取

0x04 diff 自制壓縮比較

0x05 解除鎖定編碼

網上可以搜索相關的軟件，比如有些WinRAR的修改版，可以解除鎖定限制。

但是並不建議使用修改過的WinRAR，還是用原版的WinRAR放心。
如果你懂技術，就會發現問題變得很簡單了，RAR文件的鎖定與否，

其實只不過改了一些標誌字節而已。
你需要下載一個十六進制編輯器，比如Ultra-Edit，WinHex等。用它打開一個RAR壓縮包，

這時發現任意一個正常的RAR最開始的幾個字節都是 52 61 72 21 1A 07 00，

接下來的5個字節，普通RAR是：CF 90 73 00 00
而鎖定的RAR是：B5 30 73 04 00 。
現在知道怎麼做了吧。用16進制編輯器打開一個被鎖定的RAR，
修改第7到第11個字節就可以了。將 B5 30 73 04 00 成 CF 90 73 00 00 。
如果還想深入瞭解爲什麼要這樣修改，每個數字代表的含義，
那麼你可以參考WinRAR安裝目錄下的TechNode.txt。
另外注意，以上均假設壓縮包沒有被分卷，固實，加密等。如果你遇到這樣的情況，

也是可以解決的，那5個字節就應該改成其它的。

0x06 動態捕獲可疑行爲

檢測文件，註冊表，文件訪問，事件記錄發現正常，未發現明顯惡意行爲。

0x07 網絡數據捕獲

正常沒發現異常地址或者CC服務器。

由此判斷文件本身並沒有惡意行爲，懷疑可能是數據格式兼容性問題或者數據部分被修改。

因此恢復文件的話，嘗試修復壓縮包試試。

0x08 嘗試壓縮包修復

1 rar cmd模式

2 Advanced zip repair

Start repair process ...

--------------------------------------------------------

File to be repaired: 'D:\virus\test\123.zip'; File size = 1,243,424,856 bytes

Output fixed file as: 'D:\virus\test\123_fixed.zip'

--------------------------------------------------------

Collect central header informations ...

--------------------------------------------------------

Write central directory structure ...

--------------------------------------------------------

Consumed time: 0 hour(s) 2 minute(s) 54 second(s) 322 millisecond(s).

--------------------------------------------------------

Repair process completes.

--------------------------------------------------------

Fail to repair file 'D:\virus\test\123.zip'!