В ряде случаев перед исследователями-криминалистами встаёт задача восстановления всего того, что успел "съесть" антивирус. Если обычному пользователю это вряд-ли когда-нибудь пригодится, то для тех, кто занимается информационной безопасностью и расследованием компьютерных инцидентов такая задача имеет место быть.
Методика подробно описана на странице: Как вытащить файлы из карантина антивируса?
Нам потребуется
- Установленный Perl;
- Сценарий "DeXRay.pl" от Hexacorn;
- Любой привычный HEX-редактор (например WinHEX);
- Программа для восстановления удалённых данных (например R-Studio).
Алгоритм
Сканируем диск на предмет остаточных файлов карантинов (как правило это каталоги QB, Quarantine и прочие - в R-Studio).
Тела вредоносных программ в карантине находятся в шифрованном виде, описание, как правило, в сопутствующих индексных файлах. Там как правило имеется информация о первоначальном местоположении файла, его типу по спецификации (так, как антивирус его обозвал), дате обнаружения.
Прогоняем DeXRay-ем все восстановленные карантинные файлы. Данный Perl-сценарий декодирует множество форматов антивирусных карантинов и вытаскивает сами "тела".
Подробно - по ссылке выше. Благодарю за внимание.