数据恢复技术剖析——勒索病毒加密文件修复

某个风和日丽的下午，效哥接到客户周先生的紧急求助电话：周先生电脑中的文件“综合实训教材.docx”被恶意修改为“综合实训教材.docx.jxflasyhv”，在周先生自行将文件后缀名还原为“.docx”后，双击打开文件时提示：

周先生使用市场上某文件修复产品进行修复，然而最终仅仅修复出部分图片，效果并不理想。于是，周先生向我们紧急求助。

01

拿到文件后，我们通过Winhex工具查看该文件的二进制数据，发现首部和中间的部分数据与正常docx文件有较大差异。

该文件的二进制数据：

正常docx文件的二进制数据：

通过对以上数据进行特征分析文档内容加密，并结合勒索病毒的常见行为，我们判断该文件数据已被加密，在没有秘钥的情况下，无法解密出原始数据，也无法正常打开。

02

在对docx文件的内部结构进行研究后，我们发现其是由一系列xml文件和媒体文件（如图片等）通过zip格式进行压缩封装。

按照zip压缩文件格式对docx文件进行解压缩后，得到了一系列具有一定目录结构的xml文件和媒体文件，常见的目录结构如下图所示：

研究发现，文本存放于word/document.xml中，媒体文件存放于word/media/目录下。

word/document.xml如下图所示：

在word/document.xml中，文本的格式（如字体类型、大小、颜色等）和内容均存放在特定的节点或属性中，如：字体类型存放在节点的“w:hAnsi”和“w:ascii”属性中，文本内容存放在节点中。除了文本的格式和内容，该文件中还会存放用于关联媒体文件的ID，如：图片的关联ID存放在节点的“r:id”属性中。

03

只要能在损坏的docx文件中找到zip文件记录，并解压缩出关键的xml文件（如word/document.xml）和媒体文件，虽然这些解压缩出的文件可能存在脏数据（根据zip文件记录的压缩数据是否受到损坏而定），但依然可以解析出部分内容数据，通过这些数据再重新创建docx文件，达到修复文件的目的。流程如下：

步骤1：通过特殊标记（0x504B0102）在损坏docx文件中检索zip目录记录，并检查其结构是否正确；

步骤2：通过特殊标记（0x504B0304）在损坏docx文件中检索zip文件记录，并检查其结构是否正确；

步骤3：通过zip文件记录头（或目录记录头）中记录的压缩算法，解压缩zip文件记录中的压缩数据，其结果即为前述的xml文件和媒体文件；

步骤4：解析关键的xml文件（word/document.xml和word/_rels/document.xml.rels）数据，获取文本内容及其样式，以及与媒体文件（如图片等）的关联ID；

步骤5：利用步骤4解析出的数据和步骤3解压缩出的媒体文件，重新创建docx文件，完成修复。

重点来了！

现在，

以上所有步骤

全！都！可！以！跳！过！

目前，上述docx文件修复方法已集成于“FRM5200文件修复大师”中，通过该产品能够快速实现被勒索病毒加密的docx文件修复。经测试，数百页、近十万字的Office文档，仅需3分钟即可完成修复，修复以后的文件仍可以通过Office 和WPS正常打开使用。

FRM5200文件修复大师是一款可对文档、图片、视频、音频、压缩文件等多种类型的损坏文件进行修复的工具。产品既支持批量修复、导出文件，也可以对修复后的文件进行预览。

FRM5200文件修复大师预计于9月发布，届时我们将开放试用。

即刻添加效哥微信xlysoftxiaoge或在公众号留言“FRM5200文件修复大师”，备注：姓名+单位信息+联系方式，可获得优先试用名额哟~

注：以上故事和文件均根据真实案例改编，人物采用化名

往期精选

（编辑：威海站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!