小浦东 发表于 2008-1-9 15:11:21

手工删除rmvb文件中病毒的方法

有一些rmvb文件下到电脑后,会发现它的图标颜色有一些不正常,仔细看它的后缀名是scr,它是一个可执行的程序,运行时会释放出病毒和真正的rmvb文件,并正常播放rmvb文件,这时你的电脑已被感染了病毒。要看电影又不想被病毒感染,可以手工删除病毒,方法如下:

1.下一个叫UltraEdit-32的软件,我用的是10.20b版本,这个软件很常见,我就不提供链接了,网上多的是。用这个软件打开rmvb文件。如果是正常的rmvb文件,打开后在第一行前四个的数字应是2E 52 4D 46(在它前面还有一个形如:00000000h的行标,不用管它),如果不是,那就肯定有病毒了。

2.按Ctrl+F调出查找对话框,在其中填入2E 52 4D 46,点击“下一个”开始查找,找到后记下它的行标,如行标是000bfa20h(这只是我举的例子,实际和我的是不一样的)。

3.调出系统自带的计算器,点击“查看”,选择“科学型”,点击“十六进制”,然后输入bfa20,再点击“十进制”,记下它的数值784928。

4.转到UltraEdit-32软件,按Ctrl+G出现对话框,在其中填入0x00000000,按“确定”。再按Ctrl+D调出“十六进制插入/删除”,在“选择操作”中选择“删除”,再写入784928,按“确定”。

5.保存改好的文件,退出UltraEdit-32软件

好了,病毒已被删除,这样你就可以安心的看电影了。

至于原理很简单:在病毒文件的最前面是病毒程序,在后面的就是rmvb文件了,只要将rmvb文件前的内容删除就行了。那么从哪里开始是rmvb文件呢?rmvb格式有一组标示数字是:2E 52 4D 46,它在rmvb格式的开头,播放器就以这组数字来判断它是不是rmvb格式,如果不是则在某些播放器中会出现“渲染此文件失败”的提示。我的这个方法就是找2E 52 4D 46来确定rmvb文件的位置。

补充内容:
1.不是所有的视频文件格式都是标题所写的格式,标题中写rmvb可能实际文件格式是wmv.可以通过金山毒霸(其它软件没用过)扫描的方式来看到真实的文件格式。找到真实的文件格式后,将其它此格式的文件通过UltraEdit-32打开,选取第一行的开头几个数字作为标示数字。

2.不是所有的病毒结构都是我所举例的那样,有一些文件做了手脚,无法找出标示数字, 可以通过以下两种方法实现文件分离:
   a:直接在本机上运行病毒,开始播放视频后查看文件属性,记录下文件的路径并找到文件,这个文件是从病毒中自动分离出的真正无毒视频文件。当然,这种方法有一定的危险性,做完后可用杀毒软件扫描整个系统。
   b: 在虚拟机上实现以上部骤,好处是本机不会被感染病毒,又分离出了真正的视频文 件。

3.有一些文件只有病毒,剩下的是用重复的数字进行填充使文件变大,用UltraEdit-32就
   可以看出来,还有就是用压缩软件压缩,真正的视频文件压缩不了多少,如果压缩的多 那就有问题了。

nzw1983 发表于 2008-1-9 19:41:36

内嵌的病毒很难清

xing1127 发表于 2008-3-28 08:18:06

ddddddddddddd

JACK-011 发表于 2008-4-15 03:15:19

66~~ 学习了,多谢
页: [1]
查看完整版本: 手工删除rmvb文件中病毒的方法