您所在的位置: 主页 > 热门优惠项目 > 到店服务 > 逻辑故障恢复案例 >

移动硬盘病毒破坏后的恢复

来源:未知点击数:更新时间:2015-07-28

一 用 户 移 动 硬 盘 , 容 量 40GB , 分 为 一 个 FAT32 分 区 , 根 目 录 下 存 在 几 个 文 件 夹 , 其中 之 一 “ 崔 ”文 件 夹 , 下 设 “ 工 作 ” 、 “ 工 作 1” 、 “ 工 作 2”等 目 录 及 “ 表 格 .xls”文 件 , 并 在 其 下建 立 不 同 层 次 的 目 录 , 共 有 6 5 M B 左 右 文 件 。 在 • 次 打 开 文 件 夹 时 出 现 错 误 , “ 崔 ” 文 件 夹 变 成
未 知 文 件 图 标 , 容 量 32KB 。
初 检 后 判 断 可 能 是 病 毒 破 坏 。 恰 好 前 不 久 接 到 的 一 医 院 的 R A I D 1 阵 列 也 遇 到 同 样 症 状 : 根目 录 下 “I M G ” 文 件 夹 变 成 一 3 2 K B 不 可 识 别 文 件 。 可 见 是 同 一 病 毒 所 致 。
此 病 毒 破 坏 过 程 为 :
( 1 ) 将 根 目 录 下 某 - 文 件 夹 目 录 偏 移 0 A H 处 表 示 目 录 的 “10”改 为 表 示 文 件 的 “20H ”, 将1CH ~ 1 F H 处 的 “00 00 00 00”改 为 “00 80 00 00” , 也 就 是 大 小 改 为 32KB 。 本 案 例 中 是 对 根 目录 下 “ 崔 ”文 件 夹 进 行 破 坏 。
(2) 将 此 目 录 的 内 容 所 在 簇 号 开 始 用 随 机 数 字 锐 盖 8 个 崩 K (若 每 簇 崩 K 数 不 足 8 个 扇 区 , 尚 不知 会 如 何 进 行 破 坏 )。 本 案 例 中 , “ 崔 ”W 泌 所 在 族 号 为 “90798H” , 转 到 90798H 簇 可 见 前 两 个 H 录项 和 及 其 他 目 录 项 均 不 存 在 , 本 族 前 8 个 扇 区 全 部 被 覆 盖 。 本 簇 内 所 有 目 录 项 均 不 存 在 ,只 剩 下 “表 格 .Xls” 幸 免 于 难 , 但 因 为 根 目 录 下 “ 崔 ”的 目 录 项 同 样 被 更 改 的 原 因 致 使 无 法 访 问 。
恢复过程及结果:
( 1 ) 因 “ 崔 ”文 件 夹 的 目 录 内 容 位 于 “90798H族 ”, 那 么 由 “90798H 簇 ” 目 录 项 所 描 述 的
下 一 级 子 目 录 的 目 录 项 的 偏 移 1 A 1 B 处 就 应 该 为 “9807H” , 偏 移 14H15H 处 的 起 始 高 位 应
该 为 “0900H” , 因 此 , 搜 索 所 有 M 0 D 5 1 2 = 5 8 的 位 置 为 “9807H”的 目 录 项 , 搜 到 后 查 看
14H15H 位 的 值 , 如 为 “0900H” 者 , 记 录 下 其 第 一 个 目 录 项 , 也 就 是 目 录 项 的 偏 移 14H15H
和 1 A 1 B H 处 的 值 , 此 值 即 为 本 目 录 所 在 族 号 , 也 就 是 在 “90798H” 簇 重 建 目 录 项 时 要 写 入 目 录
项 偏 移 14H15H 和 1 A 1 B H 处 的 值 。
( 2 ) 全 部 搜 索 完 毕 后 , 转 到 “90798H” 簇 , 先 复 制 前 两 个 目 录 “•, ’ 和 “•• ”, 修 改 第 一 个 目
录 项 14H15H 处 为 “09 00” , 1 A 1 B 处 改 为 “98 07” , 指 明 本 族 为 “90798H”簇 。 然 后 修 改 第
二 个 目 录 项 的 高 位 及 低 位 全 部 为 “0 ”, 指 明 本 子 目 录 的 上 级 0 录 为 根 目 录 。
( 3 ) 复 制 正 常 的 目 录 作 为 模 板 , 并 修 改 文 件 名 为 数 字 , 修 改 各 起 始 簇 号 为 搜 到 的 各 值 , 其 他
如 时 间 位 等 可 全 部 淸 零 。
( 4 ) 将 病 毒 写 入 的 乱 码 清 空 。
( 5 ) 到 根 目 录 处 , 将 被 修 改 的 “ 崔 ”目 录 项 的 偏 移 0 B H 处 的 “20” 改 为 “10” , 表 示 文 件 夹 ;
将 其 大 小 改 回 “00”。
刷 新 后 , 所 有 文 件 重 现 。