| |
|
使用KV3000修复王修复硬盘数据(POLYBOOT病毒发作后的解决方法)
|
|
|
|
|
|
|
| |
|
今天,两位先生搬着一台联想主机来到江民公司希望恢复数据。经了解,该用户是专程从河北来北京找到江民公司恢复数据的,这台机器存储着该单位近三年的火灾情况报告。用户报告:刚开机还能正常启动,但是重新启动后却出现以下提示:DISK BOOT FAILURE,INSERT SYSTEM DISK AND PRESS ENTER。使用系统软盘可以启动,而用软盘启动发现原来的两个分区C和D都不见了。
了解了上述情况,开始对机器进行进一步的检查,判断问题出现的原因。
开机后,进入BIOS检测硬盘,发现参数正常:是一块41G的硬盘,说明问题可能出在分区表上。再用软盘启动执行KV3000,用F6功能查看硬盘的分区信息,发现主引导扇区0扇区明显被覆盖过,并非正常的主引导信息,再翻到63扇区,发现有(局部)
EB58904D 5357494E 342E3100 02102000 02000000 00F80000
I
3F00FF00 3F000000 326F1C03 DC270000 00000000 02000000
II III
经分析是一份完整的I/O表,但需判别其准确性:
(1)由I处的"2000"经调位后为"0020" (十六进制),再将其转换成十进制为32,说明第一份FAT表的起始位置在63+32=95扇区,下面用F3功能,直接翻到95扇区,及翻阅其后扇区,判断它是一份FAT表,且基本正常。
(2)由III处的"DC27"经调位后为"27DC"(十六进制)将其转换成十进制为"10204",它表示一份FAT表的长度,因FAT表有两份,所以由10204*2+95=20503可知20503扇区应为目录区的起始扇区,再用F3翻到此扇区,分析其确为目录区。
(3)再由II处的"326F1C03"经同样方法计算可得C盘的总扇区数应为52195122扇区,则D盘的起始扇区就应该是52195122+63=52195185扇区。直接翻至该扇区发现确有一分区表为:
0001 010C0CFE FF8C3F00
000000A8 AE010000
经查找这个分区的I/O表及FAT表和目录区确认这就是原来的D分区(方法与以上基本相同)。
通过以上分析,基本可以判定该硬盘分区丢失的原因就是主引导记录被覆盖所致。翻阅前63个隐含扇区时,发现61扇区为:
8001 01000CFE 3F0C3F00
0000326F 1C030000 010C0FFE FF8C716F 1C033FA8 AE010000
IV
该扇区就是硬盘主引导记录0扇区的备份,因为它有很明显的两个关键字"80"和"55AA",而且如果主引导区的IV处表示的C盘的总扇区数,正好和63扇区(引导区)的II处相吻合。
常见的引导型病毒POLYBOOT发作后会将主引导区即0扇区搬家移位至61扇区,并用一个错误的引导区或是乱码来覆盖0扇区,这样就会使硬盘所有的分区及数据丢失,所以通常情况只需用KV3000的硬盘修复功能将61扇区写回到0扇区就可恢复整个硬盘分区及数据。
通过以上分析结果,把61扇区写回0扇区。方法是翻到61扇区,按下F9功能键,这时KV3000会提示是否要把该扇区写到0扇区,此时按下Y键,机器会自动重启,依然用软盘启动,查看C和D两个分区时,发现数据已经恢复。现在再执行KV3000/K命令来彻底清除引导区病毒,这时发现确有这种POLYBOOT(WYX)病毒。
整个恢复过程需要熟练掌握KV3000的修复王的使用,要准确地判断正确的主引导信息。上述这种因POLYBOOT发作所致的情况用KV3000的F10功能键也可自动进行修复。如果能掌握整个的分析过程,当然手动计算来重建0扇区的内容也可以把数据完整的找回来,这样即使没有备份也不用怕了!
修复了用户宝贵数据,为用户挽回了巨大的损失,用户非常满意。实际上KV3000救护王的硬盘修复功能是十分强大的,在实际工作中灵活运用,可以达到很好的效果。
|
|
| |
|
|
|
|
|
数据恢复