CIH病毒破壞硬盤數(shù)據(jù)后的災(zāi)難程度和KV3000可恢復(fù)程度

? ?CIH破壞硬盤后，有99%的狀況是，將硬盤最前面的1167個(gè)左右扇區(qū)的正常數(shù)據(jù)破壞，也有個(gè)別的不一樣。

? ?CIH病毒將前面部分扇區(qū)寫有一些固定的代碼，而并不是有人說的將隨機(jī)垃圾代碼寫上。這可以用KV3000的F6功能查看病毒寫上的代碼，絕大多數(shù)情況下，其0面0道1扇區(qū)開始的幾個(gè)字節(jié)如下："FC 60 8B 44 24 20 2D"。如查看到是這些代碼，那就可以斷定是被CIH病毒破壞的硬盤，如果其0面0道1扇區(qū)被改動(dòng)過，可以翻頁查看其0面0道2扇區(qū)，前面的6個(gè)字節(jié)是否如"83 EC 04 60 BE"，如果是，這也斷定它是被CIH病毒破壞過的硬盤。我們還可查看0面1道1扇區(qū)（BOOT區(qū)）被CIH寫上的代碼"FA 8B 07 50 FF 75 2C 66"或"75 13 F6 C1 04 0F 84 B1"，也可查看0面1道2扇區(qū)被CIH病毒寫上的代碼"07 01 C0 85 C0 75 EA 8B"或"1D40 07 01 C0 B9 01 00"，如果是這些代碼，這也可斷定它是被CIH病毒破壞過的硬盤。

理論上講，被CIH病毒破壞后的數(shù)據(jù)映象都在硬盤中，都可修復(fù)！個(gè)別16位分區(qū)的C盤數(shù)據(jù)需手工配合工具軟件來恢復(fù)。

? ?1、被CIH病毒破壞后，文件分配表（FAT表）是32位的C、D、E、F盤的可修復(fù)程度?

被CIH病毒破壞數(shù)據(jù)后，在絕大多數(shù)情況下，如果C盤原FAT表是32位的，那么，因?yàn)?2位的文件分配表很長，每個(gè)文件分配表都超過了1200多個(gè)扇區(qū)，病毒只破壞硬盤前1167左右個(gè)扇區(qū)，即到C盤第一個(gè)文件分配表的一部分，而第二個(gè)文件分配表、根目錄表完好無損，這樣的情況下，可找回硬盤分區(qū)表和BOOT盤表，或重建這兩個(gè)表，再將C盤的第二個(gè)完好的文件分配表寫回第一文件分配表的區(qū)域，再用與硬盤相同的系統(tǒng)軟盤引導(dǎo)機(jī)器后，SYS C:重傳一次系統(tǒng)，即可全部恢復(fù)。完后，因硬盤中的病毒也被恢復(fù)，所以要先用殺毒軟件將病毒殺干凈，再重新引導(dǎo)系統(tǒng)，硬盤即可起動(dòng)，數(shù)據(jù)完整無損，全部挽回。

這種情況的修復(fù)率為100％以上，D、E、F等分區(qū)的修復(fù)率為100％。

? ?2、文件分配表（FAT表）是16位的C盤、D、E、F盤的可修復(fù)程度?

因?yàn)镃分區(qū)的16位的文件分配表較32位的短的多，從主引導(dǎo)區(qū)到數(shù)據(jù)區(qū)開始，才500多個(gè)扇區(qū)，而病毒破壞了1100多個(gè)扇區(qū)，將數(shù)據(jù)區(qū)也破壞了一小部分。這樣的情況下，KV3000可找回硬盤分區(qū)表和BOOT表，或重建這兩個(gè)表。C盤數(shù)據(jù)需手工配合工具軟件來恢復(fù)，可修復(fù)80％以上。但是，KV3000對D、E、F等分區(qū)的修復(fù)率為100％。

當(dāng)硬盤修復(fù)成功后，應(yīng)先用殺毒盤引導(dǎo)后，殺凈C、D、E、F等盤中的病毒。

轉(zhuǎn)載于:https://blog.51cto.com/mrethan/1356911

總結(jié)

以上是生活随笔為你收集整理的CIH病毒破坏及其修复工具与方法的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。