1

如何 grep 文件中的零块(用零擦除的区域)?

我有一个带有宏的恶意 Word 文档。防病毒解决方案清除了此 Word 文档中的零块。我想在将来分析...文件被修改之前检测到这一点。

我试过这个:

xxd -u -p /your/maldoc | tr -d '\n' | grep -c '44656C65746564204279204B6173706572736B79'

它检测到“由 Kaspersky Lab AV 删除”,但我还想检测其他 av 解决方案和 grep 以查找零块。

提前感谢您的帮助!

4

1 回答 1

0

听起来很像您应该解决实际问题(可能您的“分析”程序因无效输入而崩溃)。您提出的方法不适用于流式传输,并且会出现误报。

也就是说,您可能只是在循环中转储块并检查它的 sha1sum 或 md5sum。

更新我试图找到一种优雅的方式来使用,例如dd在循环中处理块,但如果没有手动偏移计算,我无法让它优雅地工作。

不过,这是另一个似乎对这个方向有帮助的答案的链接:

于 2015-07-06T17:08:13.783 回答