CIH病毒破壞硬盤數據後的災難程度和KV3000可恢復程度
CIH破壞硬盤後,有99%的狀況是,將硬盤最前面的1167個左右扇區的正常數據破壞,也有個別的不一樣。
CIH病毒將前面部分扇區寫有一些固定的代碼,而並不是有人說的將隨機垃圾代碼寫上。這可以用KV3000的F6功能查看病毒寫上的代碼,絕大多數情況下,其0面0道1扇區開始的幾個字節如下:"FC 60 8B 44 24 20 2D"。如查看到是這些代碼,那就可以斷定是被CIH病毒破壞的硬盤,如果其0面0道1扇區被改動過,可以翻頁查看其0面0道2扇區,前面的6個字節是否如"83 EC 04 60 BE",如果是,這也斷定它是被CIH病毒破壞過的硬盤。我們還可查看0面1道1扇區(BOOT區)被CIH寫上的代碼"FA 8B 07 50 FF 75 2C 66"或"75 13 F6 C1 04 0F 84 B1",也可查看0面1道2扇區被CIH病毒寫上的代碼"07 01 C0 85 C0 75 EA 8B"或"1D40 07 01 C0 B9 01 00",如果是這些代碼,這也可斷定它是被CIH病毒破壞過的硬盤。
理論上講,被CIH病毒破壞後的數據映象都在硬盤中,都可修復!個別16位分區的C盤數據需手工配合工具軟件來恢復。
1、被CIH病毒破壞後,文件分配表(FAT表)是32位的C、D、E、F盤的可修復程度?
被CIH病毒破壞數據後,在絕大多數情況下,如果C盤原FAT表是32位的,那麼,因爲32位的文件分配表很長,每個文件分配表都超過了1200多個扇區,病毒只破壞硬盤前1167左右個扇區,即到C盤第一個文件分配表的一部分,而第二個文件分配表、根目錄表完好無損,這樣的情況下,可找回硬盤分區表和BOOT盤表,或重建這兩個表,再將C盤的第二個完好的文件分配表寫回第一文件分配表的區域,再用與硬盤相同的系統軟盤引導機器後,SYS C:重傳一次系統,即可全部恢復。完後,因硬盤中的病毒也被恢復,所以要先用殺毒軟件將病毒殺乾淨,再重新引導系統,硬盤即可起動,數據完整無損,全部挽回。
這種情況的修復率爲100%以上,D、E、F等分區的修復率爲100%。
2、文件分配表(FAT表)是16位的C盤、D、E、F盤的可修復程度?
因爲C分區的16位的文件分配表較32位的短的多,從主引導區到數據區開始,才500多個扇區,而病毒破壞了1100多個扇區,將數據區也破壞了一小部分。這樣的情況下,KV3000可找回硬盤分區表和BOOT表,或重建這兩個表。C盤數據需手工配合工具軟件來恢復,可修復80%以上。但是,KV3000對D、E、F等分區的修復率爲100%。
當硬盤修復成功後,應先用殺毒盤引導後,殺淨C、D、E、F等盤中的病毒。