# 從趨勢防毒的隔離區還原或解密檔案 ###### tags: `鑑識`, `趨勢防毒`, `隔離區`, `還原`, `加解密`, `TrendMicro`, `ApexOne` 2021/09/16 因為鑑識組需要被防毒隔離的可疑程式， 因此需要還原可疑程式， 再把這些打包提供給鑑識組做逆向分析 參考資料： [:link: Restore Encrypted Virus](https://docs.trendmicro.com/all/smb/wfbs-services/server/dell/v3.6/en/docs/WebHelp/_WFBS-SVC/C14-Administering/RestoreEncryptedVirus.htm) 目錄： [ToC] ## 路徑 身分|安裝路徑|隔離區路徑 ---|---|--- 一般使用者|C:\Program Files (x86)\Trend Micro\Security Agent|<安裝路徑>\SUSPECT\Backup 伺服器|C:\Program Files (x86)\Trend Micro\Apex One|<安裝路徑>\PCCSRV\Virus 隔離區路徑可參考[這裡:link:](https://docs.trendmicro.com/en-us/enterprise/trend-micro-apex-one-2019-server-online-help/managing-the-product/managing-the-product_001/quarantine-manager.aspx) 被加密隔離的可疑檔案的格式 <原檔名>.<一組數字>.qtn 舉例: php950.tmp.109735882.qtn ## 加解密工具 ### 核心檔案 會用到的核心檔案有兩個：VSEncode.exe、VSAPI32.DLL 直接從安裝路徑來搜尋VSEncode找到路徑， 接著終端機路徑移到該路徑即可。 如果要copy到其他路徑執行， 則這兩個核心檔案要copy走 ### 注意事項 1. 執行的時候切記路徑不可有中文，不然會直接出錯 1. 如果解密後又被防毒軟體隔離或殺掉，請將該資料夾暫時加入防毒軟體的例外中 ### 使用參數 無參數：加密隔離資料夾中的文件 -d ：解密隔離資料夾中的文件 -i {設定檔路徑} ：載入設定檔。設定檔以ini或txt為副檔名，內容為 `隔離資料夾完整路徑\*.*` -debug ：在客戶端的根資料夾中創建調試日誌和輸出 /o ：如果加密或解密的文件已經存在，則覆蓋它 /f {文件名} ：加密或解密單個文件 /nr ：不恢復原始文件名 /u ：圖形介面 ## 指令還原 因為對方在還原過程遇到點問題， 直接把未解密的可疑檔案直接打包給我 因此只好用指令的方式來還原 摸索了一下有以下三個步驟 1. 建立一個要解密的資料夾，把可疑檔案放入其中 ex. `C:\My Documents\Reports` 2. 建立一個設定檔，以txt或ini為附檔名的文件檔，內容為剛剛建立的資料夾實體路徑 ex. 檔名為 `C:\ForEncryption.ini` 內容為 `C:\My Documents\Reports\*.*` 3. 開啟命令提示字元，輸入指令 `VSEncode.exe -d -i <設定檔>` 開始原地解密 ex. `VSEncode.exe -d -i C:\ForEncryption.ini` :::info :bulb: 如果解密還原過程沒成功有幾種可能 - 路徑有中文(或空白)導致失敗 - 可多加debug參數看看log，然後向廠商求救XD VSEncode.exe -d -debug -i C:\ForEncryption.ini ::: ## 圖形還原 有點小複雜， 好像指令還原比較簡單，且更有彈性。 細節有空再補 從VSEncode所在路徑執行終端機， 輸入指令 `VSEncode.exe /u` 選擇要還原的檔案