荔园在线
荔园之美,在春之萌芽,在夏之绽放,在秋之收获,在冬之沉淀
[回到开始]
[上一篇][下一篇]
发信人: pleasant (哈哈~~~~~~~~~), 信区: Virus
标 题: 遭遇CIH后数据的恢复
发信站: 荔园晨风BBS站 (Sat Apr 28 12:54:40 2001), 转信
CIH病毒发着后开始对硬盘进行破坏,将其垃圾代码以2048个扇区为单位,覆盖主
引导扇区和BOOT引导扇区,并依次改写各硬盘(包括各逻辑盘)中的数据,将硬盘
中的所有数据破坏殆尽。至此,计算机就处于完全瘫痪和死循环状态。不过只要能
够重建主引导扇区、重新恢复分区表,就有希望恢复硬盘中的数据。由于 CIH病毒
是目前导致硬盘数据丢失的一个重要原因,各大反病毒厂商都有自己的恢复方案,
大家可以去其主页查阅,在此不赘述。
当然,你也可以使用一些专门的数据恢复软件,来对数据进行最大限度的恢复
,下面就让我们来看看恢复被CIH破坏硬盘的几个实例:
例一:
首先从网上找到以下3个文件:MRecover.zip、Recov30.zip、Demont.txt。
MRecover.zip是一位孟加拉大学生MonirulIslamSharif写的救partition工具,能
支援FAT32partiton的复原(NDD、VbRescue不能用在FAT32的partiton上),作者的
主页是:http://members.xoom.com/monirdomain。
Recov30.zip是RecoverNT3.0版,可以救回FAT16、FAT32和NTFS系统下的档案
,你一定要在网上找到它。然后将被CIH破坏的硬盘装到另一台有装win95/98/NT的
电脑上,设成Slave(即设为从盘,通过硬盘上的相关跳线设定),这个步骤很重
要,因为被CIH破坏的硬盘千万不能再写任何数据进去!接着按以下的步骤操作:
首先在MS-【DOS】模式下利用MRecover把Partition复原,再做sys a: d:(被
破坏硬盘的代号),也就是说要先把partition和bootsector复原,这样RecoverNT
才可以正确搜寻损毁硬盘的数据。
然后把RecoverNT3.0版安装至设定成主盘的C盘上,安装完毕以后执行
RecoverNT,它会跟你说这个版本只能救回3个档案……除非你键入序号
(SerialNumber),这时请将Demont.txt打开,里面就会有序号了。
然后再用RecoverNT把被CIH破坏的硬盘打开,RecoverNT会去扫描硬盘里的资
料,这时你就可以把它们一一保存出来了,当然千万要注意的是不能保存在被CIH
破坏的硬盘上。
例二:
首先修复硬盘分区表信息。被CIH病毒破坏的硬盘,其分区表已被彻底改写,
用A盘启动也无法找到硬盘。所以,要恢复C分区的数据,首先要恢复硬盘分区表,
同时也就恢复了除C以外的其他逻辑分区的数据。修复分区表的方法很多,如使用
KV300、NDD、VRVFIX(可以在北信源公司的主页下载:http;//www.vrv.com.cn)
等,下面介绍VRVFIX的具体使用方法:
1.准备一张无病毒的启动盘,注意要根据原有【操作系统】及分区情况制作系
统引导盘(FAT16或FAT32)。
2.把下载的VRVFIX.EXE文件拷入该引导盘,要确保还有足够剩余空间,并打开
写保护。
3.用这张引导盘引导染毒的电脑(当然是在BIOS未被破坏或已修复的前提下)
,运行VRVFIX.EXE,按回车键开始计算分区信息并自动恢复,当出现提示时,按回
车键,直到出现“MakePartitionTableok”。
4.至此,修复完成,用引导盘重新引导系统,除C盘以外的其他逻辑分区(D、
E、F...)的数据已经修复,但仍然无法访问C分区。
完成了以上的工作后,就可以着手恢复C分区上的数据了。C分区无法被访问,
主要是因为其目录结构被CIH病毒破坏了,要恢复C分区的目录结构,需要用到一个
叫Tiramisu的工具软件(立即下载)。针对FAT16和FAT32,Tiramisu有ForFAT16版和
ForFAT32版,应根据染毒硬盘的分区情况选择相对应的版本。
(1)制作一张无病毒的引导盘(包含HIMEM.SYS和EMM386.EXE这两个文件),然
后在CONFIG.SYS中加入:
DOS=HIGH
DEVICE=HIMEM.SYS
DEVICE=EMM386.EXERAM
把下载的Tiramisu压缩包里的所有文件解压缩到引导盘上。
(2)用这张引导盘引导电脑,运行Tiramisu.exe,在“File”菜单中选择“
Startrecovery”菜单项,程序开始自动从C分区上寻找目录结构,这个过程所需要
的时间由硬盘数据的多少和机器的速度决定。C分区的目录结构搜索结束后,会显
示目录搜索结果,看起来有点像WIN95的资源管理器,从这个“资源管理器”中可
以看到:搜索到的目录结构与染毒前基本相同,只是被破坏过的目录,其目录名称
被改变。
(3)这一步就是要把C分区上的数据备份出来:在“资源管理器”(目录表)中
选择要备份的目录或文件,从“File”菜单中选择“Copyfile(s)”菜单项,把数
据拷贝到指定的驱动器上,可以是A驱或其它逻辑分区(D、E、F...),但千万不
要直接拷贝到C分区上(对于只有一个C分区的硬盘,建议另挂一个从硬盘来备份数
据)!
例三:
1、首先挽救硬盘分区表和被破坏的主引导记录
硬盘主引导扇区一般位于0柱0头1扇区,这个扇区中含有分区表。该扇区很特
殊,它不在DOS的管辖范围内。当该扇区损坏时,硬盘就不能启动了;虽然硬盘不能
启动,但软盘启动后如果可认C盘的话,这说明主引导记录已被破坏,解决的办法
是使用FDISK/MBR命令重建主引导记录,然后再用SYS A:C:命令向C盘传送系统。然
后恢复硬盘的分区表,最好的情况是有分区表的备份(如使用Norton Rescue
Disk的备份盘),写回就行了。
2、挽救文件分配表
FAT表共有两份(FAT表1和FAT表2),它记录了每个磁盘文件占据的磁盘簇链
。如果FAT表损坏,就可能丢失所有文件,即便对DOS很精通的人,要修复FAT表损
坏的磁盘文件也不是件轻松的事情。
硬盘的FAT表与根目录随着用户写入和删除文件而不断变化,如果能经常备份
FAT表和根目录,当FAT表损坏时用回写FAT表、根目录的方法,可以使硬盘恢复到
上一次保存的状态。当硬盘的FAT表或根目录损坏,需要将保存的FAT表、根目录数
据回写时,必须保证FAT表和根目录的起始逻辑扇区号和长度(扇区个数)正确。
3、恢复被病毒破坏的自解压文件
自解压文件在解压前会检查本身的数据完整性,假如自解压文件在生成后受
CIH等病毒感染,在解压时就可能会出现校验错误。但这并不意味着自解压文件就
不能用了,挽救的办法很简单:将被破坏的自解压文件的扩展名由EXE改为ZIP,即
可用WINZIP打开、解压了。如果安装了新版的压缩/解压软件WINZIP,还有一更简
单的方法:在资源管理器里用右键单击被破坏的自解压文件,在随后弹出的菜单中
选“OpenWithWinZip”即可将该文件打开了。
--
※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.34.202]
[回到开始]
[上一篇][下一篇]
荔园在线首页 友情链接:深圳大学 深大招生 荔园晨风BBS S-Term软件 网络书店