juinee 发表于 2009-4-21 18:03:02

To:华山剑客,能否恢复

在这个论坛看了一个多星期,发觉"华山剑客"相当厉害,令在下仰慕之情有如滔滔江水之不绝,何时我才达到之种境界.Woo!Hoo!.现在有一事相求,一份表被病毒破坏,肯请帮忙修复.先谢过,达人!http://bbs.intohard.com/images/smilies/lvdouwa/52.GIF

[ 本帖最后由 juinee 于 2009-4-21 18:04 编辑 ]

nghiahieph 发表于 2009-4-21 20:03:45

hao ren hao meng

烟台硬盘数据 发表于 2009-4-21 20:06:07

大体看了一下,感觉是被某种加密工具加密的。也有点像 直接使用winhex 抓取的某部分扇区数据。

猜测而已。

[ 本帖最后由 烟台硬盘数据 于 2009-4-21 20:18 编辑 ]

lughon 发表于 2009-4-21 21:37:02

看了一下,的确是XLS表格内容,你的表在坏之前是否有密码?

虚怀若谷 发表于 2009-4-21 23:10:55

估计是有密码用officefix扫了遍提示有~~~最好还是华山出马
碎片提取

lughon 发表于 2009-4-22 08:46:45

我认为这个文件,不存在碎片,而是原来是有密码的,现在又被病毒破坏了.(关键的扇区破坏了,估计很难恢复)
楼主还有没有同样的现像的文件,在发上来一个分析一下

[ 本帖最后由 lughon 于 2009-4-22 08:50 编辑 ]

juinee 发表于 2009-4-22 09:12:55

原帖由 lughon 于 2009-4-22 08:46 发表 http://bbs.intohard.com/images/common/back.gif
我认为这个文件,不存在碎片,而是原来是有密码的,现在又被病毒破坏了.(关键的扇区破坏了,估计很难恢复)
楼主还有没有同样的现像的文件,在发上来一个分析一下
文件有密码,现在传另一份同样现象的文件上来,麻烦大家帮忙分析.

lughon 发表于 2009-4-22 09:44:39

不好恢复,病毒破坏10个扇区之多,不加密的情况,可能还有办法

juinee 发表于 2009-4-22 09:57:09

原帖由 lughon 于 2009-4-22 09:44 发表 http://bbs.intohard.com/images/common/back.gif
不好恢复,病毒破坏10个扇区之多,不加密的情况,可能还有办法
难道我真的要跳楼,华山剑客,有没有希望呀?

tclrz100e 发表于 2009-4-22 21:09:37

回复 9# 的帖子

昨天有事没时间上网,刚才看了你发的样本,先谈谈你这种现象:根据我的经验,你的文件是病毒破坏的,这个病毒(病毒的名称我忘记了,在这个论坛上,我原来好像说过这个病毒的名称)有两个特点(我自己总结的,不一定正确!!),第一个特点是,这个病毒在每月1号发作。第二个特点是,这个病毒一般破坏复合文档(WORD、EXCEL)的前1234H个字节的数据(换算成10进制就是4660个字节,大约10个扇区的数据)。对于这种情况,如果文件没有加密,大多数是可以恢复成功,如果加密的文件,一般是不可能恢复成功的,因为加密的密钥部分在前面,没有它,是不能解密成功。你这个文档好像加密了,现在想恢复的唯一方法是看原来这个加密文件的临时文件是否覆盖,如果没有,找到后有只可能可以恢复成功。
页: [1] 2 3
查看完整版本: To:华山剑客,能否恢复