CIH病毒破坏及其修复工具与方法

  CIH病毒破坏硬盘数据后的灾难程度和KV3000可恢复程度。

  CIH破坏硬盘后,有99%的状况是,将硬盘最前面的1167个左右扇区的正常数据破坏,也有个别的不一样。

  CIH病毒将前面部分扇区写有一些固定的代码,而并不是有人说的将随机垃圾代码写上。这可以用KV3000的F6功能查看病毒写上的代码,绝大多数情况下,其0面0道1扇区开始的几个字节如下:"FC 60 8B 44 24 20 2D"。如查看到是这些代码,那就可以断定是被CIH病毒破坏的硬盘,如果其0面0道1扇区被改动过,可以翻页查看其0面0道2扇区,前面的6个字节是否如"83 EC 04 60 BE",如果是,这也断定它是被CIH病毒破坏过的硬盘。我们还可查看0面1道1扇区(BOOT区)被CIH写上的代码"FA 8B 07 50 FF 75 2C 66"或"75 13 F6 C1 04 0F 84 B1",也可查看0面1道2扇区被CIH病毒写上的代码"07 01 C0 85 C0 75 EA 8B"或"1D40 07 01 C0 B9 01 00",如果是这些代码,这也可断定它是被CIH病毒破坏过的硬盘。

  理论上讲,被CIH病毒破坏后的数据映象都在硬盘中,都可修复!个别16位分区的C盘数据需手工配合工具软件来恢复。

  1、被CIH病毒破坏后,文件分配表(FAT表)是32位的C、D、E、F盘的可修复程度?

  被CIH病毒破坏数据后,在绝大多数情况下,如果C盘原FAT表是32位的,那么,因为32位的文件分配表很长,每个文件分配表都超过了1200多个扇区,病毒只破坏硬盘前1167左右个扇区,即到C盘第一个文件分配表的一部分,而第二个文件分配表、根目录表完好无损,这样的情况下,可找回硬盘分区表和BOOT盘表,或重建这两个表,再将C盘的第二个完好的文件分配表写回第一文件分配表的区域,再用与硬盘相同的系统软盘引导机器后,SYS C:重传一次系统,即可全部恢复。完后,因硬盘中的病毒也被恢复,所以要先用杀毒软件将病毒杀干净,再重新引导系统,硬盘即可起动,数据完整无损,全部挽回。

  这种情况的修复率为100%以上,D、E、F等分区的修复率为100%。

  2、文件分配表(FAT表)是16位的C盘、D、E、F盘的可修复程度?

  因为C分区的16位的文件分配表较32位的短的多,从主引导区到数据区开始,才500多个扇区,而病毒破坏了1100多个扇区,将数据区也破坏了一小部分。这样的情况下,KV3000可找回硬盘分区表和BOOT表,或重建这两个表。C盘数据需手工配合工具软件来恢复,可修复80%以上。但是,KV3000对D、E、F等分区的修复率为100%。

  当硬盘修复成功后,应先用杀毒盘引导后,杀净C、D、E、F等盘中的病毒。

 

发表评论

邮箱地址不会被公开。 必填项已用*标注