一個陽光明媚的下午，孝哥接到了顧客周老師的緊急支援電話。周老師電腦上的《綜合訓(xùn)練教材》。docx《檔案惡意》綜合訓(xùn)練教材。修改為“docx.jxflasyhv”，州老師自己將文件后綴修改為“.還原為“docx”

周老師在市場上使用文件修復(fù)產(chǎn)品進行了修復(fù)，但最終只修復(fù)了部分照片，效果不好。(莎士比亞)。

于是，周先生向我們緊急求助。

---

一

拿到文件后，我們通過Winhex工具查看該文件的二進制數(shù)據(jù)，發(fā)現(xiàn)首部和中間的部分數(shù)據(jù)與正常docx文件有較大差異。

該文件的二進制數(shù)據(jù)：

正常docx文件的二進制數(shù)據(jù)：

通過對以上數(shù)據(jù)進行特征分析，并結(jié)合勒索病毒的常見行為，我們判斷該文件數(shù)據(jù)已被加密，在沒有秘鑰的情況下，無法解密出原始數(shù)據(jù)，也無法正常打開。

---

二

在對docx文件的內(nèi)部結(jié)構(gòu)進行研究后，我們發(fā)現(xiàn)其是由一系列xml文件和媒體文件（如圖片等）通過zip格式進行壓縮封裝。

按照zip壓縮文件格式對docx文件進行解壓縮后，得到了一系列具有一定目錄結(jié)構(gòu)的xml文件和媒體文件，常見的目錄結(jié)構(gòu)如下圖所示：

研究發(fā)現(xiàn)，文本存放于word中，媒體文件存放于word/media/目錄下。

word如下圖所示：

在word中，文本的格式（如字體類型、大小、顏色等）和內(nèi)容均存放在特定的節(jié)點或?qū)傩灾?，如：字體類型存放在<w:rFonts>節(jié)點的“w:hAnsi”和“w:ascii”屬性中，文本內(nèi)容存放在<w:t>節(jié)點中。除了文本的格式和內(nèi)容，該文件中還會存放用于關(guān)聯(lián)媒體文件的ID，如：圖片的關(guān)聯(lián)ID存放在<v:imagedata>節(jié)點的“r:id”屬性中。

---

三

只要能在損壞的docx文件中找到zip文件記錄，并解壓縮出關(guān)鍵的xml文件（如word）和媒體文件，雖然這些解壓縮出的文件可能存在臟數(shù)據(jù)（根據(jù)zip文件記錄的壓縮數(shù)據(jù)是否受到損壞而定），但依然可以解析出部分內(nèi)容數(shù)據(jù)，通過這些數(shù)據(jù)再重新創(chuàng)建docx文件，達到修復(fù)文件的目的。流程如下：

步驟1：通過特殊標記（0x504B0102）在損壞docx文件中檢索zip目錄記錄，并檢查其結(jié)構(gòu)是否正確；

步驟2：通過特殊標記（0x504B0304）在損壞docx文件中檢索zip文件記錄，并檢查其結(jié)構(gòu)是否正確；

步驟3：通過zip文件記錄頭（或目錄記錄頭）中記錄的壓縮算法，解壓縮zip文件記錄中的壓縮數(shù)據(jù)，其結(jié)果即為前述的xml文件和媒體文件；

步驟4：解析關(guān)鍵的xml文件（word和word/_rels.rels）數(shù)據(jù)，獲取文本內(nèi)容及其樣式，以及與媒體文件（如圖片等）的關(guān)聯(lián)ID；

步驟5：利用步驟4解析出的數(shù)據(jù)和步驟3解壓縮出的媒體文件，重新創(chuàng)建docx文件，完成修復(fù)。

---

↓ ↓ ↓

重點來了！

現(xiàn)在，以上所有步驟

全！都！可！以！跳！過！

目前，上述docx文件修復(fù)方法已集成于“FRM5200文件修復(fù)大師”中，通過該產(chǎn)品能夠快速實現(xiàn)被勒索病毒加密的docx文件修復(fù)。經(jīng)測試，數(shù)百頁、近十萬字的Office文檔，僅需3分鐘即可完成修復(fù)，修復(fù)以后的文件仍可以通過Office 和WPS正常打開使用。

---

?FRM5200文件修復(fù)大師

FRM5200文件修復(fù)大師是一款可對文檔、圖片、視頻、音頻、壓縮文件等多種類型的損壞文件進行修復(fù)的工具。產(chǎn)品既支持批量修復(fù)、導(dǎo)出文件，也可以對修復(fù)后的文件進行預(yù)覽。

FRM5200文件修復(fù)大師預(yù)計于9月發(fā)布，屆時我們將開放試用。

---

?試用通道

即刻私信，備注：姓名+單位信息+聯(lián)系方式，可獲得優(yōu)先試用名額喲~