To:华山剑客,能否恢复

juinee

在这个论坛看了一个多星期,发觉"华山剑客"相当厉害,令在下仰慕之情有如滔滔江水之不绝,何时我才达到之种境界.Woo!Hoo!.现在有一事相求,一份表被病毒破坏,肯请帮忙修复.先谢过,达人!

                               
登录/注册后可看大图

[ 本帖最后由 juinee 于 2009-4-21 18:04 编辑 ]

nghiahieph

hao ren hao meng

烟台硬盘数据

大体看了一下，感觉是被某种加密工具加密的。也有点像 直接使用winhex 抓取的某部分扇区数据。

猜测而已。

[ 本帖最后由 烟台硬盘数据 于 2009-4-21 20:18 编辑 ]

lughon

看了一下,的确是XLS表格内容,你的表在坏之前是否有密码?

虚怀若谷

估计是有密码用officefix扫了遍提示有~~~最好还是华山出马
碎片提取

lughon

我认为这个文件,不存在碎片，而是原来是有密码的，现在又被病毒破坏了．（关键的扇区破坏了，估计很难恢复）
楼主还有没有同样的现像的文件,在发上来一个分析一下

[ 本帖最后由 lughon 于 2009-4-22 08:50 编辑 ]

juinee

原帖由 lughon 于 2009-4-22 08:46 发表

                               
登录/注册后可看大图

我认为这个文件,不存在碎片，而是原来是有密码的，现在又被病毒破坏了．（关键的扇区破坏了，估计很难恢复）
楼主还有没有同样的现像的文件,在发上来一个分析一下

文件有密码,现在传另一份同样现象的文件上来,麻烦大家帮忙分析.

lughon

不好恢复,病毒破坏10个扇区之多,不加密的情况,可能还有办法

juinee

原帖由 lughon 于 2009-4-22 09:44 发表

                               
登录/注册后可看大图

不好恢复,病毒破坏10个扇区之多,不加密的情况,可能还有办法

难道我真的要跳楼,华山剑客,有没有希望呀?

tclrz100e

昨天有事没时间上网，刚才看了你发的样本，先谈谈你这种现象：根据我的经验，你的文件是病毒破坏的，这个病毒（病毒的名称我忘记了，在这个论坛上，我原来好像说过这个病毒的名称）有两个特点（我自己总结的，不一定正确！！），第一个特点是，这个病毒在每月1号发作。第二个特点是，这个病毒一般破坏复合文档（WORD、EXCEL）的前1234H个字节的数据（换算成10进制就是4660个字节，大约10个扇区的数据）。对于这种情况，如果文件没有加密，大多数是可以恢复成功，如果加密的文件，一般是不可能恢复成功的，因为加密的密钥部分在前面，没有它，是不能解密成功。你这个文档好像加密了，现在想恢复的唯一方法是看原来这个加密文件的临时文件是否覆盖，如果没有，找到后有只可能可以恢复成功。