如何在文件中grep一个零块(用零擦除区域)?
我有一个带有宏的恶意Word文档。防病毒解决方案在此Word文档中用零擦除了一个块。我想在将来分析之前检测到这个......文件已被修改。
我试过了:
xxd -u -p /your/maldoc | tr -d '\n' | grep -c '44656C65746564204279204B6173706572736B79'
它检测到"由卡巴斯基实验室AV"删除,但我想检测其他av解决方案和grep一块零。
提前感谢您的帮助!
答案 0 :(得分:0)
听起来很像你应该解决实际问题(很可能你的"分析"程序在无效输入时崩溃)。您提出的方法不会有流量工作,并且会产生误报。
那就是说,你可能只是在循环中转储块并检查它的sha1sum或md5sum。
更新我试图找到一种优雅的方式来使用,例如dd循环处理块,但如果没有手动偏移计算,我无法优雅地工作。
这里是另一个答案的链接,但这个方向似乎很有帮助: