| |
|
KV3000修复硬盘数据之二十九
|
|
|
|
|
|
| |
(修复CIH破坏之一)
2001年4月26日,有一位姓刘的用户抱来了一台机器,此机子的硬盘是20G,分了二个区,分类型是FAT32的格式,装的是WIN98系统,C盘和D盘的分区大小是一样的。
由于用户中了CIH病毒,当时,用户机子上没有安装病毒防火墙,也没在意。今天开机机器没有任何显示。
把这块硬盘放到别的机器上拿启动盘启动的时候,发现硬盘的两个分区都不见了。这下用户着急了,硬盘里重要的数据还没备份出来。于是就把此感染CIH病毒的硬盘放到另外一台好的机器上,把此机器的日期调到了4月27日,抱到我公司来了。
先试用第一种自动修复方法进行试修复。用KV3000的A盘启动,运行KV3000,按F10启动"重建分区表"功能,按F10键进行搜索。
搜索了三行之后显示:OK! OK! OK!
重新启动之后,C盘上的数据是乱码,D盘还是看不到。此时再试用第二种手动方法修复。运行KV3000,按F6查看此硬盘的主引导扇区。第二、三关键代码是错误的,再按F2查看此硬盘的引导扇区,发现此表的右边显示FAT16的字样,这是不对的,因大于3G的都是FAT32格式的,所以可以断定此引导扇区也是错误的。
按F6启动硬盘搜索功能,再按F2搜索硬盘扩展分区,结果显示:
Hard Disk Total Sector Total Bytes Partition Table Sector
D: 10.010G 19551042 010012133504 in 19551105
接着直接翻到第"19551105"扇区,此扇区为D盘的起始扇区,第二关键代码显示如下:
01 01C10BFE 7F813F00 00004253 2A010000
根据以上所显示的信息,可以推算出C盘的主引导扇区的第二关键代码:
8001 01000BFE 3FC03F00
00004253 2A010000 01C10FFE 7F818153 2A018153 2A010000
直接把此推算来的数据用KV3000的F5写功能,直接写入到0扇区的第二关键代码的原位置。
翻到"19551168"扇区,此扇区为D盘的引导扇区,因为D盘的空间与C盘的空间大小是一样的,所以D盘的BOOT区的硬盘进出(I/O)表和C盘的硬盘进出(I/O)表是一样的,直接把此扇区写入到C盘的BOOT区(即"63"扇区)。
再从63扇区往后翻,发现此硬盘的FAT表1已经被CIH病毒给破坏了,但此硬盘的FAT表2是好的,因为CIH不破坏FAT32位的第二个FAT表。所以按F4搜索字符串功能,搜索第二个FAT表的开头字符串"0000F8FF",这几个字节在第二FAT表前一个扇区,经过搜索,结果在"9632"扇区,发现此硬盘的FAT表2的前一扇区,再翻一页,经过检查是FAT表2,此扇区数是9633。
接着用KV3000的Ctrl+F10功能,将此FAT表2"9633"处开始写入到FAT表1,具体操作如下:
按Ctrl+F10组合键,此时屏幕上提示:
To Write Sector [ ] (写入到哪个扇区),在此写上95,
Write Sector Count [ ] (写几个扇区),在此写上1500。
把此FAT表2写入到95扇区,写1500个扇区。
写入成功后,按Ctrl+Atl+Del键,重新启动,发现C盘、D盘的数据已全部恢复,但是系统不能引导。这时,先杀C、D盘上的病毒,用DOS版的KV3000.EXE进行查杀。
杀完毒后,接着用WINDOWS98相同版本的系统盘传一下系统,具体操作如下:
拿WINDOWS98启动盘启动之后,敲入命令:"SYS C:",接着把软盘取出,重新启动计算机,终于成功的进入了WINDOWS98系统,而且C盘、D盘的数据都已完全恢复。
|
| |
|
|
|
|
|
数据恢复