如何在文件中grep一个零块(擦除区域)?

时间:2015-07-06 17:03:55

标签: bash shell hex hexdump xxd

如何在文件中grep一个零块(用零擦除区域)?

我有一个带有宏的恶意Word文档。防病毒解决方案在此Word文档中用零擦除了一个块。我想在将来分析之前检测到这个......文件已被修改。

我试过了:

xxd -u -p /your/maldoc | tr -d '\n' | grep -c '44656C65746564204279204B6173706572736B79'

它检测到"由卡巴斯基实验室AV"删除,但我想检测其他av解决方案和grep一块零。

提前感谢您的帮助!

1 个答案:

答案 0 :(得分:0)

听起来很像你应该解决实际问题(很可能你的"分析"程序在无效输入时崩溃)。您提出的方法不会有流量工作,并且会产生误报。

那就是说,你可能只是在循环中转储块并检查它的sha1sum或md5sum。

更新我试图找到一种优雅的方式来使用,例如dd循环处理块,但如果没有手动偏移计算,我无法优雅地工作。

这里是另一个答案的链接,但这个方向似乎很有帮助: