计算机病毒与恶意代码 课件 2-1-1病毒分析常用工具

计算机病毒与防治重庆电子工程职业学院计算机病毒与防治课程小组教学单元2-1病毒行为分析平台

判断文件类型

关于Ultraedit

文件修复

第一讲病毒分析常用工具计算机病毒与防治课程小组小结

分离捆绑文件

Ultraedit介绍计算机病毒与防治课程小组

Ultraedit是一套功能强大的文字、Hex、ASCII码编辑器，可以取代记事本，内建英文单字检查、C++及VB指令突显，可同时编辑多个文件，而且即使开启很大的文件速度也不会慢。其并且附有HTMLTag颜色显示、搜寻替换以及无限制的还原功能，常被用其来修改EXE或DLL文件。在病毒分析中它可以用来分析和修复文件。

计算机病毒与防治课程小组Ultraedit功能界面

UltraEdit的启动很简单，可以选择要编辑的文件，然后在右键菜单中选择“UltraEdit-32”即可，使用起来简单、方便。UltraEdit的主界面，上面是标题栏、菜单和工具栏，下部为文本编辑区，我们打开的文件就显示在文本编辑区中这里。Ultraedit功能界面

计算机病毒与防治课程小组判断文件类型我们仍然可以通过Ultraedit来分析头文件的方法来判断文件类型。使用UltraEdit打开文件，并采用十六进制查看。如下图所示是一个doc文件，它的十六进制文件是以D0CF11E0开头。可以这样说，正常的office文件，如果以十六进制文件形式打开，那么文件头都应该是D0CF11E0。使用Ultraedit打开word文件

计算机病毒与防治课程小组判断文件类型除了通过文件头部反应出的文件类型，在用Ultraedit查看十六进行文件内容中，同样可以看到Microsoftofficeword这样的反应文件类型的内容。

使用Ultraedit查看到的文件相关信息计算机病毒与防治课程小组判断文件类型使用UltraEdit打开图片文件在打开的十六进制文件中，有GIF字样，并且文件以47494638开头，由此可以判断这是一个图片文件，并且是GIF类型的图片文件。计算机病毒与防治课程小组判断文件类型文件类型后缀名文件头内容WorddocD0CF11E0PowerPointpptD0CF11E0excelexlD0CF11E0JPEGjpgFFD8FFPNGpng89504E47GIFgif47494638XMLxml3C3F786D6CHTMLhtml68746D6C3EOutlookpst2142444EAdobeAcrobatpdf255044462D312EZIPArchivezip504B0304RARArchiverar52617221WindowsMediaasf3026B2758E66CF11MPEGmpg000001BAMPEGmpg000001B3计算机病毒与防治课程小组文件修复在某些时候当我们打开一个word文档时可能出现无法打开的情况，碰到这种情况很多人往往束手无策，这时候就可以用UltraEdit来试着解决这个问题。

文件无法打开计算机病毒与防治课程小组文件修复

用UltraEdit来打开损坏的文件，这时我们可以看到这个word文件并不是以D0CF11E0开头，并且开头处有“mz”字样。查看实验文件的文件头

计算机病毒与防治课程小组关于捆绑文件

捆绑文件的原理很简单，就是把两个文件捆绑在一起，当其中一个文件被运行时，另外一个文件也会被同时运行。捆绑文件的检测方法很简单。对于一个完整有效的PE文件或者是EXE文件，它里面都包含了几个绝对固定的特点，一是文件以MZ开头，跟着DOS头后面的PE头以PE\0\0开头。有了这两个特点，检测就变得很简单了。只需利用UltraEdit一类工具打开目标文件搜索关键字MZ或者PE，如果找到两个或者两个以上，则说明这个文件一定是被捆绑了。计算机病毒与防治课程小组文件修复

在初步判断实验文件可能是捆绑文件后，接下来我们查找十六进制文件中是否含有D0CF11E0字样，判断一下该文件是否有可能是真正的office文件。我们利用UltraEdit的查找工具，在文件中查找D0CF11E0。在文件中查找关键内容计算机病毒与防治课程小组文件修复

在找到D0CF11E0所在的位置之后，将该位置前的所有内容剪切掉，然后将剪切后的文件另存为一个新的文件“实验文件（修正）.doc”。保存修改后的文件计算机病毒与防治课程小组文件修复

将保存的文件重新打开，我们可以发现文件可以正常打开了。打开修复后的文件

计算机病毒与防治课程小组分离捆绑文件

首先我们打开一个可执行文件RegistryMonitor，我们可以看到图所示图片，这是一个注册表监视工具。注册表监视器

计算机病毒与防治课程小组分离捆绑文件

接下来用UltraEdit打开文件，我们会发现该文件是以“mz”字样开头。我们可以初步判断该文件是一个捆绑文件。接下来，我们查找文件中是否还有“mz”字样的内容。我们将第二个“mz”之前的内容剪切掉，将剩下的文件内容另外保存。查找文件中的关键内容

计算机病毒与防治课程小组分离捆绑文件

将重新保存的文件打开之后我们可以看到分离出的是一个可执行文件TCPView，如图所示。该文件和分离之前的文件已经不是同一个文件了。分离出的文件本讲