 |
IT业热闻 |
|
|
|
| |
|
病毒预告 |
|
|
|
| |
|
热点文章 |
|
|
|
| | |
 |
| 遭遇CIH后数据的恢复 |
| |
| 来源:本站原创 发布时间:2006-4-13 10:27:29 点击次数: |
CIH病毒发着后开始对硬盘进行破坏,将其垃圾代码以2048个扇区为单位,覆盖主引导扇区和BOOT引导扇区,并依次改写各硬盘(包括各逻辑盘)中的数据,将硬盘中的所有数据破坏殆尽。至此,计算机就处于完全瘫痪和死循环状态。不过只要能够重建主引导扇区、重新恢复分区表,就有希望恢复硬盘中的数据。由于 CIH病毒是目前导致硬盘数据丢失的一个重要原因,各大反病毒厂商都有自己的恢复方案,大家可以去其主页查阅,在此不赘述。
当然,你也可以使用一些专门的数据恢复软件,来对数据进行最大限度的恢复,下面就让我们来看看恢复被CIH破坏硬盘的几个实例:
例一:
首先从网上找到以下3个文件:MRecover.zip、Recov30.zip、Demont.txt。MRecover.zip是一位孟加拉大学生MonirulIslamSharif写的救partition工具,能支援FAT32partiton的复原(NDD、VbRescue不能用在FAT32的partiton上),作者的主页是: http://members.xoom.com/monirdomain。
Recov30.zip是RecoverNT3.0版,可以救回FAT16、FAT32和NTFS系统下的档案,你一定要在网上找到它。然后将被CIH破坏的硬盘装到另一台有装win95/98/NT的电脑上,设成Slave(即设为从盘,通过硬盘上的相关跳线设定),这个步骤很重要,因为被CIH破坏的硬盘千万不能再写任何数据进去!接着按以下的步骤操作:
首先在MS-【DOS】模式下利用MRecover把Partition复原,再做sys a: d:(被破坏硬盘的代号),也就是说要先把partition和bootsector复原,这样RecoverNT才可以正确搜寻损毁硬盘的数据。
然后把RecoverNT3.0版安装至设定成主盘的C盘上,安装完毕以后执行RecoverNT,它会跟你说这个版本只能救回3个档案……除非你键入序号(SerialNumber),这时请将Demont.txt打开,里面就会有序号了。
然后再用RecoverNT把被CIH破坏的硬盘打开,RecoverNT会去扫描硬盘里的资料,这时你就可以把它们一一保存出来了,当然千万要注意的是不能保存在被CIH破坏的硬盘上。
例二:
首先修复硬盘分区表信息。被CIH病毒破坏的硬盘,其分区表已被彻底改写,用A盘启动也无法找到硬盘。所以,要恢复C分区的数据,首先要恢复硬盘分区表,同时也就恢复了除C以外的其他逻辑分区的数据。修复分区表的方法很多,如使用KV300、NDD、VRVFIX(可以在北信源公司的主页下载:http;//www.vrv.com.cn)等,下面介绍VRVFIX的具体使用方法:
1.准备一张无病毒的启动盘,注意要根据原有【操作系统】及分区情况制作系统引导盘(FAT16或FAT32)。
2.把下载的VRVFIX.EXE文件拷入该引导盘,要确保还有足够剩余空间,并打开写保护。
3.用这张引导盘引导染毒的电脑(当然是在BIOS未被破坏或已修复的前提下),运行VRVFIX.EXE,按回车键开始计算分区信息并自动恢复,当出现提示时,按回车键,直到出现“MakePartitionTableok”。
4.至此,修复完成,用引导盘重新引导系统,除C盘以外的其他逻辑分区(D、E、F...)的数据已经修复,但仍然无法访问C分区。
完成了以上的工作后,就可以着手恢复C分区上的数据了。C分区无法被访问,主要是因为其目录结构被CIH病毒破坏了,要恢复C分区的目录结构,需要用到一个叫Tiramisu的工具软件(立即下载)。针对FAT16和FAT32,Tiramisu有ForFAT16版和ForFAT32版,应根据染毒硬盘的分区情况选择相对应的版本。
(1)制作一张无病毒的引导盘(包含HIMEM.SYS和EMM386.EXE这两个文件),然后在CONFIG.SYS中加入:
DOS=HIGH
DEVICE=HIMEM.SYS
DEVICE=EMM386.EXERAM
把下载的Tiramisu压缩包里的所有文件解压缩到引导盘上。
(2)用这张引导盘引导电脑,运行Tiramisu.exe,在“File”菜单中选择“Startrecovery”菜单项,程序开始自动从C分区上寻找目录结构,这个过程所需要的时间由硬盘数据的多少和机器的速度决定。C分区的目录结构搜索结束后,会显示目录搜索结果,看起来有点像WIN95的资源管理器,从这个“资源管理器”中可以看到:搜索到的目录结构与染毒前基本相同,只是被破坏过的目录,其目录名称被改变。
(3)这一步就是要把C分区上的数据备份出来:在“资源管理器”(目录表)中选择要备份的目录或文件,从“File”菜单中选择“Copyfile(s)”菜单项,把数据拷贝到指定的驱动器上,可以是A驱或其它逻辑分区(D、E、F...),但千万不要直接拷贝到C分区上(对于只有一个C分区的硬盘,建议另挂一个从硬盘来备份数据)!
例三:
1、首先挽救硬盘分区表和被破坏的主引导记录
硬盘主引导扇区一般位于0柱0头1扇区,这个扇区中含有分区表。该扇区很特殊,它不在DOS的管辖范围内。当该扇区损坏时,硬盘就不能启动了;虽然硬盘不能启动,但软盘启动后如果可认C盘的话,这说明主引导记录已被破坏,解决的办法是使用FDISK/MBR命令重建主引导记录,然后再用SYS A:C:命令向C盘传送系统。然后恢复硬盘的分区表,最好的情况是有分区表的备份(如使用Norton Rescue Disk的备份盘),写回就行了。
2、挽救文件分配表
FAT表共有两份(FAT表1和FAT表2),它记录了每个磁盘文件占据的磁盘簇链。如果FAT表损坏,就可能丢失所有文件,即便对DOS很精通的人,要修复FAT表损坏的磁盘文件也不是件轻松的事情。
硬盘的FAT表与根目录随着用户写入和删除文件而不断变化,如果能经常备份FAT表和根目录,当FAT表损坏时用回写FAT表、根目录的方法,可以使硬盘恢复到上一次保存的状态。当硬盘的FAT表或根目录损坏,需要将保存的FAT表、根目录数据回写时,必须保证FAT表和根目录的起始逻辑扇区号和长度(扇区个数)正确。
3、恢复被病毒破坏的自解压文件
自解压文件在解压前会检查本身的数据完整性,假如自解压文件在生成后受CIH等病毒感染,在解压时就可能会出现校验错误。但这并不意味着自解压文件就不能用了,挽救的办法很简单:将被破坏的自解压文件的扩展名由EXE改为ZIP,即可用WINZIP打开、解压了。如果安装了新版的压缩/解压软件WINZIP,还有一更简单的方法:在资源管理器里用右键单击被破坏的自解压文件,在随后弹出的菜单中选“OpenWithWinZip”即可将该文件打开了。
CIH相关知识 :
什么是CIH病毒
CIH病毒现已被认定是首例能够破坏计算机系统硬件的病毒,同时也是最具杀伤力的恶性病毒。目前主要的传播途径是【Internet】和电子邮件。CIH病毒只感染【Windows】 95/98操作系统,从技术角度来看,CIH病毒实现了与Windows 95/98操作系统的完美结合。该病毒使用了Windows 95/98最核心的VxD(虚拟设备【驱动程序】)技术编制,因此它的实时性和隐蔽性都特别强。
到目前为止,CIH病毒的 “原体”加“变种”共有5种之多,CIH病毒“变种”不但不增长受感染文件,同时还有很强的破坏性,此病毒的3个主要变种为:CIHv1.2,4月26日发作;CIHv1.3,6月26日发作;CIHv1.4,每月26日发作。
CIH发作现象
1、攻击BIOS
CIH病毒最异乎寻常之处,是它对计算机BIOS的攻击。在CIH发作时,会试图向BIOS中写入垃圾信息,BIOS中的内容被彻底洗去,造成计算机无法启动。据测试发现CIH能够破坏市面上常见的BIOS多达数十种。因此,它会给众多的计算机用户带来摧毁性的结局。
2、覆盖硬盘
向硬盘写入垃圾内容也是CIH的破坏性之一。CIH发作时,调用IOS SendCommand直接对硬盘进行存取,将垃圾代码以2048个扇区为单位,循环写入硬盘,直到所有硬盘(含逻辑盘)的数据均被破坏为止。 | |
| | | | |
