修復VBS病毒感染的html文件

原創 zhaobisheng1 2018-09-05 01:20

起因(吹會牛X):

平時只用來寫代碼的筆記本,最近打開MyEclipse居然卡的一匹???WTF,好歹也是I7/16G的啊,仔細一看,連硬盤的儲存空間都快滿了,機智的我果然想到中毒了(????一直以來只有我搞別人的啊,我還被搞了????),然後看了佔硬盤空間多的文件夾,發現是我的幾個web根目錄,再仔細一看,最大的html文件有7.62m?????打開後發現了一段段有趣的代碼,上圖:

發現幾乎所有在硬盤裏的html文件都不能避免,然後無奈的下載了一個360殺毒,掃了一下下,2000多的感染exe和dll,再搞了一下,發現360只能修復exe和dll,而對這些html文件只隔離。搜索引擎了一會,居然沒找到修復工具,我無奈(無聊)啊,好歹也是個代碼狗,超過90秒的工作都交給機器吧,只好自己寫個小工具出來把html文件修復,釋放硬盤空間了。

修復思路:

發現vbs病毒代碼的特徵: 

1.特徵碼:

<SCRIPT Language=VBScript><!--DropFileName = "svchost.exe"WriteData = "

2.大小超過200kb的html文件

於是簡要就截取了" <SCRIPT Language=VBScript> ",再每個目錄不斷遍歷超過200k的html文件,並對其讀取文件內容,尋找特徵碼,找到特徵碼之前的所有正常文本內容,刪除源文件,創建同名文件,並把正常文本內容寫入同名文件中,把修復好的html文件記錄下來,搞定。

發現硬盤太大,想出兩種方案

1.全盤遍歷,掃描電腦所有磁盤分區,然後每個分區創造一條新線程去修復本分區

2.種指定路徑。直接拖拉!

說了那麼多沒什麼用的,上代碼,上鍊接!

編譯環境:Visual Studio 2013

(參考了網上一些前輩的代碼)

#define _CRT_SECURE_NO_WARNINGS
#include <iostream>  
#include <string>  
#include <io.h>  
#include <fstream> 
#include <atlstr.h> 
#include <windows.h>  
//#pragma comment(linker, "/STACK:102400000,102400000") 
using namespace std;


int commonFileSize[2] = { 204800, 1024000 };
int maxSize = 1024 * 1024 * 20;
bool delFlag = false;

typedef struct pathData {
	char pathName[];
}PATHDATA;

int dealVirusHtml(string filename)
{
	fstream in(filename, ios::in);
	int fileSize = 0;
	long index = 0;
	char* buffer = NULL;
	if (!in) {
		cout << "Open the  " << filename << "  failure...\n";
	}
	in.seekg(0, ios::end);
	fileSize = in.tellg();
	if (fileSize < commonFileSize[0]) return 9;
	if (fileSize < maxSize) {
		buffer = (char*)malloc(sizeof(char)*fileSize + 10);//new char[fileSize+10];
	}
	else {
		fileSize = maxSize;
		buffer = (char*)malloc(sizeof(char)*maxSize + 10);//new char[maxSize+10];
	}
	in.seekg(0);
	in.read(buffer, fileSize);
	in.close();
	string content(buffer);
	index = content.find("<SCRIPT Language=VBScript><!--");

	string rs;
	if (delFlag &&index>0) {
		rs = filename + " Successful repaired and deleted !! ";
		remove(filename.data());
	}
	else {
		rs = filename + " Successful repaired!! ";
		filename = filename.substr(0, filename.find(".html")) + "_repaired" + ".html";
	}

	if (index > 0) {
		fstream out(filename, ios::out);
		content = content.substr(0, index);
		out.write(content.data(), content.length());
		out.close();
	}

	char szFilePath[MAX_PATH];
	if (GetModuleFileName(NULL, szFilePath, MAX_PATH)>0)
	{
		(*strrchr(szFilePath, '\\')) = '\0';//丟掉文件名,得到路徑   
	}
	string logPath(szFilePath);
	logPath += "\\log.txt";
	fstream log(logPath, ios::app | ios::out);

	log << rs << endl;
	log.close();

	free(buffer);
	if (buffer != NULL)	buffer = NULL;

	return 6;
}

//深度優先遞歸遍歷當前目錄下文件夾和文件及子文件夾和文件  
void DfsFolder(string path)
{
	_finddata_t file_info;
	string current_path = path + "/*.*"; //也可以用/*來匹配所有  
	int handle = _findfirst(current_path.c_str(), &file_info);
	//返回值爲-1則查找失敗  
	if (-1 == handle)
	{
		cout << "cannot match the path" << endl;
		return;
	}

	do
	{
		//判斷是否子目錄  
		if (file_info.attrib == _A_SUBDIR)
		{
			if (strcmp(file_info.name, "..") != 0 && strcmp(file_info.name, ".") != 0)
				DfsFolder(path + '/' + file_info.name);
		}
		else
		{
			string filename = file_info.name;
			if (filename.find(".html") != string::npos)
			{
				cout << "path:" << path << "/" << file_info.name << "   repairing....." << endl;
				string html(path + "/");
				html += file_info.name;
				int result = dealVirusHtml(html);
				if (result == 6) {
					cout << html << " Successful repaired!! " << endl;
				}
				else if (result == 9) {
					cout << html << " Not infected!! " << endl;
				}
			}
		}
	} while (!_findnext(handle, &file_info));  //返回0則遍歷完  
											   //關閉文件句柄  
	_findclose(handle);
}


DWORD WINAPI WorkThread(LPVOID pM)
{
	PATHDATA *data = (PATHDATA*)pM;
	DfsFolder(data->pathName);
	return 0;
}

int main(int argc, char *argv[])
{
	cout << "-------------------------------------------------------------------------" << endl;
	cout << "-------------------------------------------------------------------------" << endl;
	cout << "-------------------------------------------------------------------------" << endl;
	cout << "-------------------你要刪除原來的病毒文件嗎?-----------------------------" << endl;
	cout << "-------------------------------------------------------------------------" << endl;
	cout << "1.YES                                         2.NO" << endl;
	cout << "-------------------------------------------------------------------------" << endl;
	cout << "----------------------q.quit---------------------------------------------" << endl;
	int del = 2;
	cin >> del;
	if (del == 1) { delFlag = true; }
	int singal = 2;
	cout << "------------------------指定路徑(不指定會全盤恢復)-------------------" << endl;
	cout << "1.YES                                         2.NO" << endl;
	cin >> singal;

	if (singal == 2) {
		char rootPath[10] = { 0 };
		//獲取所有磁盤
		UINT nType;
		for (char a = 'A'; a <= 'Z'; a++)
		{
			sprintf(rootPath, "%c:\\", a);
			nType = GetDriveType(rootPath);
			if (nType != DRIVE_NO_ROOT_DIR)                  // DRIVE_NO_ROOT_DIR: 路徑無效  
			{
				//遞歸遍歷文件夾  
				//DfsFolder(rootPath);
				PATHDATA * data1 = (PATHDATA *)malloc(sizeof(PATHDATA));
				strcpy(data1->pathName, rootPath);
				CreateThread(NULL, 0, WorkThread, data1, 0, NULL);   //每個磁盤分區一個線程
			}
		}
		while (getchar() == 'q' || getchar() == 'Q') { break; };
	}
	else {
		cout << "------------請輸入要恢復的指定路徑(可以直接拖拉文件夾)?----------" << endl;
		char disk[512] = { 0 };
		cin >> disk;
		DfsFolder(disk);
	}
	getchar();
	return 0;
}






嗯,效果還不錯!!


至於exe病毒推薦兩個方案:


1.360(感覺效果一般)


2.重裝系統(反正我這麼做了)


下載鏈接:自用修復工具


發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

貪喫蛇 C++

<pre name="code" class="cpp"> 本文爲用C++寫的一個貪喫蛇的小程序。旨在融入進面向對象編程的思想。希望鞏固所學,這裏有全部的源代碼,也希望你不吝惜筆墨提出自己的看法。我將試着展示如何利用面向對象的思維從最初

Univcsdn 2020-07-08 11:45:49

codeforces 1251E1/E2 Voting

Codeforces 1251E1/E2 Voting題意思路代碼 題意 給你n個人,你需要讓這n個人全部給你投票。讓第i個人給你投票的方法有兩種:給他pi塊錢收買他,或者當前已經有mi個人爲你投票,他就會爲你免費投票。問最少花費

祤溪 2020-07-08 12:36:32

獲取某一目錄下所有文件夾名,返回vector「string」

vector<string> listFiles(const char * dir) { vector<string> FolderNames; HANDLE hFind; WIN32_FIND_DATA findData;

COSummer 2020-07-08 12:27:32

linux環境下開源庫jsoncpp使用教程

文章目錄前言Unix/Linux下配置使用1.下載jsoncpp到linux上2.生成靜態庫libjsoncpp.a3.拷貝頭文件與靜態庫到/usr/local下4.執行測試程序 前言 json是一種常用的數據格式,開源庫json

Worthy_Wang 2020-07-08 12:19:12

C++:模擬實現list容器(支持迭代器)

模擬實現list容器(支持迭代器) 要模擬實現一個list容器,主要就是相關頭插頭刪尾插尾刪的接口,這些非常常用。 另外有一個點灰常重要!!那就是list的迭代器,list的迭代器不能用原生指針去模擬實現,因爲鏈表的迭代器加一是下

ETalien_ 2020-07-08 12:19:01

C++(面試題):給40億個不重複的無符號整數,沒排過序,如何快速判斷一個數是否在這40億個數中

給40億個不重複的無符號整數,沒排過序,給你一個無符號整數,如何快速判斷這個數是否在這40億個數中? 首先看到這個題第一個想到的就是遍歷一遍,看這個數在不在。但是這樣的時間複雜度太高了O(N),數據量太大,因此該方法不行。 其次我

ETalien_ 2020-07-08 12:19:01

指針的引用(*&)

Void TEncSlice::compressSlice( TComPic* & rpcPic )函數參數傳遞的是指針的引用 函數參數傳遞有三種方法,值傳遞,址傳遞,傳遞引用; 這裏說的是傳遞指針的引用。 Void TE

yang-彧 2020-07-08 11:40:24

C++ 併發中的無鎖編程

  基礎預備:c++ automic類型以及c++內存模型 https://blog.csdn.net/qq_35865125/article/details/105611985 https://blog.csdn.net/qq_3586

蚓无爪牙之利 2020-07-08 11:23:03

數據結構——數組(3) 在有序數組中找出重複的次數最多的數

先總結有序數組,無序的後面再總結。。 1.以空間換時間法。 算法思想:目標數組array[length],是一個有序數組,比如int array[]={1,1,2,2,4,4,4,4,4,5,5,6,10};總共有13個元素,

zhangying_496 2020-07-08 10:38:18

數據結構——數組(1)數組求和&打印二維數組&判斷數組是否遞增

數組求和 方法一:直接一次for循環 int GetSum1(int *a,int n) { int sum=0; for (int i=0; i<n;i++) { sum+=a[i];

zhangying_496 2020-07-08 10:38:18

C語言實現的json解析程序

只有一個頭文件和一個源文件,僅使用C語言標準庫。 作用就是讀取json文件,然後解析爲若干個互相關聯的結構,結構如下: typedef enum json_st { djson_string = 1, djson_number,

lindorx 2020-07-08 10:35:53

大話設計模式C++版本-04-代理模式

概念 代理模式:爲其他對象提供一種代理以控制對這個對象的訪問 使用場景 想在訪問一個類時做一些控制; 直接訪問對象時會帶來的問題,比如說:要訪問的對象在遠程的機器上。 一般步驟 將被代理者和代理者的共同行爲抽象出來作爲一個類

wkd_007 2020-07-08 10:27:39

大話設計模式C++版本-07-模板方法模式

概述 模板方法模式:定義一個操作中的算法的骨架,而將一些步驟延遲到子類中。模板方法使得子類可以不改變一個算法的結構即可重定義該算法的某些特定步驟。 優點: 封裝不變部分,擴展可變部分 提取公共代碼,便於維護 行爲由父類控制,子類

wkd_007 2020-07-08 10:27:28

大話設計模式C++版本-05-工廠方法模式

概念 工廠方法模式:定義一個創建對象的接口,讓其子類自己決定實例化哪一個工廠類,工廠模式使其創建過程延遲到子類進行。 與簡單工廠模式對比 簡單工廠模式最大優點就是工廠類中包含了必要的邏輯判斷,可以根據不同條件動態實例化相關的類,

wkd_007 2020-07-08 10:27:26

免責聲明,告知

本欄內容只供學習使用,如有違反法律,與本人無關。 在下載後24小時後,請及時刪除。 對可能危及普通公衆權益與自由的漏洞或技術運用或發佈應保持謹慎。 不應違背保護信息自由流動的底線。 請尊重版權信息,購買正版。 如本博客裏有錯誤出現,請

zhangguangyi888 2020-07-08 11:39:41