本来不想写什么总疗法结了,但是有两件事是壮大不能释怀的。一般我都协会是在版上提前发出病毒正安个人的私事,没有这样[url=http://www.fantong.com/biz-1238610/]木耳[/url人的私事,没有这样做,不管这样做能发挥多大作用有效,但是至少事前,作为版主我没有尽到责任。第二,关于数据恢复,我是有过失的,我曾在以前的贴子说数据可以恢复是个概率事件,依赖于病毒破坏是否完成,因为当时我并没有看到CIH破坏的硬盘,只是简单的根据机理进行的分析。现在看起来,概率事件当然还是,但是,不知道这个观点是否有误导的作用认为概率事件就是不可恢复的。这一次,经过对收到的十几块硬盘的分析,看来病毒破坏可能是很难完成的,因为CIH的覆盖可能与95/98文件系统发生冲突,如袁哥前面说的好WINDOWS死机了。所以,写这点东西作为经验交流,也作为一个补偿。由于写太细就写不完了,所以就叫减料版吧,另外凭借记忆完成,可能有错误或步骤的颠倒。
一、基础知识
1、DOS(DOS兼容系统硬盘数据)的构成
主分区和扩展分区结构基本相似,以下以主分区为例。主引导记录(MBR):MBR占一个扇区,在CYL0、SIDE0、SEC1,由代码区和分区表构成。其中代码区可以由FDISK/MBR重建。
系统扇区:CYL0、SIDE0、SEC1-CYL0、SIDE0、SEC63,共62个扇区引导区(BOOT):CYL0、SIDE1、SEC1这是我们过去称的DOS引导区。也占一个扇区。
隐藏扇区:CYL0、SIDE0、SEC1,如果是FAT16那么占一个扇区,如果是FAT32则由此占32个扇区。
文件分配表:一般有两个FAT表,FAT12、FAT16的第一FAT表一般均在0-1-2,FAT32的第一FAT表在0-1-33。FAT表是记录文件占用扇区连接的地方,如果两个FAT表都坏了,后果不堪设想。由于FAT表的长度与当前分区的大小有关所以FAT2的地址是需要计算的。
根目录区:(ROOT)这里记录了根目录里的目录文件项等,ROOT区跟在FAT2后面。
数据区:跟在ROOT区后面,这才是数据内容。
2、主引导记录简单说明:主引导记录是硬盘引导的起点,关于代码区不多说了,其分区表,比较重要的是2个标志,在偏移1BE,处的80的标记表示系统可引导,且整个分区表只能有一个80标记。
另一个就是结尾的55AA标记。用来表示主引导记录是一个有效的记录。
其实,无论MBR还是隐含扇区还是BOOT区,都不重要,这些重建都比较容易。对数据恢复来说,能否成功的找回数据文件是重要的。另外,由于FAT表记录了文件在硬盘上占用扇区的链表,如果2个FAT表都完全损坏了。那么恢复文件, 是占用多个不连续扇区文件就相当困难了。
基本思路是,
1、FAT2没有损坏的情况,用FAT2覆盖FAT1。
2、FAT2也已经损坏的情况,我一般是只期待找回其中某些关键的文件了。我们最期待的是这些文件是连续的。如果不连续的话,也并非没有可能,但这往往还要知道文件的一些细节,包括对一些文件本身的连接结构有了解。如果FAT2没有完全破坏,是有一定用处的,另外,一般来说,FAT16的硬盘因为FAT表靠前破坏的比较严重,一般两个FAT表都坏了,小硬盘也很难恢复了。
二、一个基本恢复被CIH破坏硬盘数据的例子
一直有朋友问手工恢复的技巧,近来恢复了多块被CIH破坏的硬盘,之所以选取这一次,是因为尽管恢复成功,但其中犯了一些错误,值得注意。
委托恢复用户:某银行系统
硬盘情况:CIH发作有该单位电脑人员曾用KV300F10进行修复,但没有成功,又恢复了保存的MBR。
准备好软盘3张:
DISK1:WIN98启动盘(带DEBUG)
DISK2:DISKEDIT等工具(此盘不要写保护)
DISK3:DOS下杀CIH的工具
本来不想写什么总疗法结了,但是有两件事是壮大不能释怀的。一般我都协会是在版上提前发出病毒正安个人的私事,没有这样[url=http://www.fantong.com/biz-1238610/]木耳[/url人的私事,没有这样做,不管这样做能发挥多大作用有效,但是至少事前,作为版主我没有尽到责任。第二,关于数据恢复,我是有过失的,我曾在以前的贴子说数据可以恢复是个概率事件,依赖于病毒破坏是否完成,因为当时我并没有看到CIH破坏的硬盘,只是简单的根据机理进行的分析。现在看起来,概率事件当然还是,但是,不知道这个观点是否有误导的作用认为概率事件就是不可恢复的。这一次,经过对收到的十几块硬盘的分析,看来病毒破坏可能是很难完成的,因为CIH的覆盖可能与95/98文件系统发生冲突,如袁哥前面说的好WINDOWS死机了。所以,写这点东西作为经验交流,也作为一个补偿。由于写太细就写不完了,所以就叫减料版吧,另外凭借记忆完成,可能有错误或步骤的颠倒。
一、基础知识
1、DOS(DOS兼容系统硬盘数据)的构成
主分区和扩展分区结构基本相似,以下以主分区为例。主引导记录(MBR):MBR占一个扇区,在CYL0、SIDE0、SEC1,由代码区和分区表构成。其中代码区可以由FDISK/MBR重建。
系统扇区:CYL0、SIDE0、SEC1-CYL0、SIDE0、SEC63,共62个扇区引导区(BOOT):CYL0、SIDE1、SEC1这是我们过去称的DOS引导区。也占一个扇区。
隐藏扇区:CYL0、SIDE0、SEC1,如果是FAT16那么占一个扇区,如果是FAT32则由此占32个扇区。
文件分配表:一般有两个FAT表,FAT12、FAT16的第一FAT表一般均在0-1-2,FAT32的第一FAT表在0-1-33。FAT表是记录文件占用扇区连接的地方,如果两个FAT表都坏了,后果不堪设想。由于FAT表的长度与当前分区的大小有关所以FAT2的地址是需要计算的。
根目录区:(ROOT)这里记录了根目录里的目录文件项等,ROOT区跟在FAT2后面。
数据区:跟在ROOT区后面,这才是数据内容。
2、主引导记录简单说明:主引导记录是硬盘引导的起点,关于代码区不多说了,其分区表,比较重要的是2个标志,在偏移1BE,处的80的标记表示系统可引导,且整个分区表只能有一个80标记。
另一个就是结尾的55AA标记。用来表示主引导记录是一个有效的记录。
其实,无论MBR还是隐含扇区还是BOOT区,都不重要,这些重建都比较容易。对数据恢复来说,能否成功的找回数据文件是重要的。另外,由于FAT表记录了文件在硬盘上占用扇区的链表,如果2个FAT表都完全损坏了。那么恢复文件, 是占用多个不连续扇区文件就相当困难了。
基本思路是,
1、FAT2没有损坏的情况,用FAT2覆盖FAT1。
2、FAT2也已经损坏的情况,我一般是只期待找回其中某些关键的文件了。我们最期待的是这些文件是连续的。如果不连续的话,也并非没有可能,但这往往还要知道文件的一些细节,包括对一些文件本身的连接结构有了解。如果FAT2没有完全破坏,是有一定用处的,另外,一般来说,FAT16的硬盘因为FAT表靠前破坏的比较严重,一般两个FAT表都坏了,小硬盘也很难恢复了。
二、一个基本恢复被CIH破坏硬盘数据的例子
一直有朋友问手工恢复的技巧,近来恢复了多块被CIH破坏的硬盘,之所以选取这一次,是因为尽管恢复成功,但其中犯了一些错误,值得注意。
委托恢复用户:某银行系统
硬盘情况:CIH发作有该单位电脑人员曾用KV300F10进行修复,但没有成功,又恢复了保存的MBR。
准备好软盘3张:
DISK1:WIN98启动盘(带DEBUG)
DISK2:DISKEDIT等工具(此盘不要写保护)
DISK3:DOS下杀CIH的工具