被病毒或黑客攻击后的数据恢复方法

 

1、故障分析

    在感染病毒或遭受黑客攻击后,可能造成硬盘的引导区损坏或使硬盘或某个分区丢失,这样的故障通常是黑客或病毒修改了硬盘的引导区或对分区表进加密或对引导区进行扇区搬移而出现的硬盘故障,硬盘出现这种故障后,通常出现missing operating system或error loading operating system或硬盘被逻辑锁锁住的故障现象。

 

2、数据恢复方法

(1)感染引导区病毒的数据恢复方法:

硬盘感染引导区型病毒后,病毒对分区表进行加密或对引导区进行扇区搬移。这时不能轻易地使用杀毒软件进行杀毒,否则杀毒后分区将丢失,无法找回自己的数据。可以在杀毒前先对主引导区和引导区进行备份,然后杀毒。如果杀毒后分区丢失,我们可以通过备份进行恢复,数据不会丢失。如果杀毒后数据丢失,可以使用kv3000的F10功能找回丢失的分区,也可以通过低级磁盘编辑工具,查找在0道中主引导区的备份,或者使用fdisk/mbr重建主引导区,再根据情况修正分区表。修正分区表的基本思路是查找以55AA为结束的扇区,再根据扇区的结构和后面是否有FAT表等情况判定是否为分区表,最后再根据C盘的位置手工填写分区表。

(2)黑客攻击遭受“逻辑锁”故障的数据恢复方法

“逻辑锁”是黑客人为地修改了硬盘分区表,制造死循环,造成系统死机。解决方法如下:

①在CMOS中把硬盘屏蔽掉,再用光盘启动系统,使用DM软件,对硬盘进行低格。

②也可以制作一张DOS启动盘,然后用DISKEDIT修改启动盘中的IO.SYS文件,把其中C2 03 06 E8 0A 00 07 72 03 替换为C2 0390 E8 0A 00 72 80 90,接着用改动过的启动盘启动被逻辑锁住的硬盘,再用Debug修改硬盘的分区表。

 

No comments yet.

发表回复