0x01 基本分析
File: D:\virus\burpsuite視頻.zip
Size: 1243424856 bytes
Modified: Wednesday, August 10, 2016, 2:39:40 PM
MD5: C9DB51BC70DBF439D840A00CC685C03A
SHA1: 9D4F8D5EEE46136D01F9264F7A37FF8B71015A0E
CRC32: 0B071DFB
0x02 文件信息
0x03 壓縮信息獲取
0x04 diff 自制壓縮比較
0x05 解除鎖定編碼
網上可以搜索相關的軟件,比如有些WinRAR的修改版,可以解除鎖定限制。
但是並不建議使用修改過的WinRAR,還是用原版的WinRAR放心。
如果你懂技術,就會發現問題變得很簡單了,RAR文件的鎖定與否,
其實只不過改了一些標誌字節而已。
你需要下載一個十六進制編輯器,比如Ultra-Edit,WinHex等。用它打開一個RAR壓縮包,
這時發現任意一個正常的RAR最開始的幾個字節都是 52 61 72 21 1A 07 00,
接下來的5個字節,普通RAR是:CF 90 73 00 00
而鎖定的RAR是:B5 30 73 04 00 。
現在知道怎麼做了吧。用16進制編輯器打開一個被鎖定的RAR,
修改第7到第11個字節就可以了。 將 B5 30 73 04 00 成 CF 90 73 00 00 。
如果還想深入瞭解爲什麼要這樣修改,每個數字代表的含義,
那麼你可以參考WinRAR安裝目錄下的TechNode.txt。
另外注意,以上均假設壓縮包沒有被分卷,固實,加密等。如果你遇到這樣的情況,
也是可以解決的,那5個字節就應該改成其它的。
0x06 動態捕獲可疑行爲
檢測文件,註冊表,文件訪問,事件記錄發現正常,未發現明顯惡意行爲。
0x07 網絡數據捕獲
正常沒發現異常地址或者CC服務器。
由此判斷文件本身並沒有惡意行爲,懷疑可能是數據格式兼容性問題或者數據部分被修改。
因此恢復文件的話,嘗試修復壓縮包試試。
0x08 嘗試壓縮包修復
1 rar cmd模式
2 Advanced zip repair
Start repair process ...
--------------------------------------------------------
File to be repaired: 'D:\virus\test\123.zip'; File size = 1,243,424,856 bytes
Output fixed file as: 'D:\virus\test\123_fixed.zip'
--------------------------------------------------------
Collect central header informations ...
--------------------------------------------------------
Write central directory structure ...
--------------------------------------------------------
Consumed time: 0 hour(s) 2 minute(s) 54 second(s) 322 millisecond(s).
--------------------------------------------------------
Repair process completes.
--------------------------------------------------------
Fail to repair file 'D:\virus\test\123.zip'!
雖然嘗試修復失敗,但是部分數據頭被還原。
開頭pk這個是壓縮包標誌。
0x09 測試文件格式比對
正常壓縮文件:
可疑壓縮文件
0x10 kuaizip測試還原數據方法1
0x11 手動修改還原數據方式2
注意是十六進制大寫PK
本身頭兩個字節是kZ 對應十六進制 6B 5A(注意嚴格的大小寫區分)
修改成大寫PK 50 4B此時再用好壓打開,已經看不見剛纔的壓縮目錄
只剩下一個說明.html文件。
說明快壓把壓縮頭(Pack Header)按照自己的算法和格式給改了。
使用Windows自帶的寫字板打開快壓包,將標頭的'kZ'改爲'PK'再保存爲文檔格式,
後綴改成CAB,
Cmd 下面輸入iexpress
http://jingyan.baidu.com/article/d169e186af5d33436611d8a9.html
再把CAB打包成自解壓解出來,改成7z即可。後面自己學習。
0x12 總結
1該程序並沒有什麼惡意危害主機代碼和功能。
2只是進行部分數據修改,算法不同,壓縮格式破壞。
3導致不兼容常見的幾種壓縮格式如rar,zip,7z等格式。
4 壓縮包本身數據保存完整,可以提取出來(正常可見,可用)。
5 http://www.kuaizip.com下載此工具,即可正常解壓。
0x13 工具
hash
Winhex
Politedit
Editplus
Advance zip
Advance rar
Rar
Iexpress
Procemon
wireshark