|
挽回病毒造成的损失 恢复被CIH病毒破坏的C盘数据
一、修复硬盘分区表信息
被CIH病毒破坏的硬盘,其分区表已被彻底改写,用A盘启动也无法找到硬盘。所以,要恢复C分区的数
据,首先要恢复硬盘分区表,同时恢复除C以外的其他逻辑分区的数据。修复分区表的方法很多,如使用 KV300、NDD等,这里推荐使用北信源公司为对付CIH病毒而专门推出的硬盘数据挽救工具:VRVFIX,这是一
个免费软件,可以在这里下载。
使用方法如下:
1.准备一张无病毒的启动盘,注意要根据原有操作系统及分区情况制作系统引导盘 (FAT16 或 FAT32)。
2.把VRVFIX.EXE文件拷入该引导盘,要确保有足够剩余空间,并打开写保护。
3.用这张引导盘引导染毒的电脑(如果主板的BIOS已被CIH病毒破坏,可把硬盘拆下,拿到别的电脑上 进行,也可先按第17期第23版相关文章介绍的方法,把主板BIOS修复好后再处理硬盘),运行VRVFIX.EXE,
按回车键开始计算分区信息并自动恢复,当出现提示时,按回车键,直到出现“Make Partition Table ok”。
4.至此,修复完成,用引导盘重新引导系统,除C盘以外的其他逻辑分区(D、E、F...)的数据已经修 复,但仍然无法访问C分区。
二、恢复C分区上的数据
完成了以上的工作后,就可以着手恢复C分区上的数据了。C分区无法被访问,主要是因为其目录结构被
CIH病毒破坏了,要恢复C分区的目录结构,需要用到一个叫Tiramisu的工具软件,如果不是因为CIH病毒, 它可就要“养在深闺人未识”了。需要了解这个软件的朋友可以访问Ontrack公司的主页:
http://www.ontrack.com ,这里着重介绍它的具体使用方法。
针对FAT16和FAT32还有NTFS分区,Tiramisu有For FAT16版和For
FAT32版,For NTFS版,应根据染毒硬 盘的分区情况选择相对应的版本,三个版本均可以在这里下载。 1.制作一张无病毒的引导盘,把HIMEM.SYS和EMM386.EXE两个文件也拷入引导盘,然后在CONFIG.SYS中加入:
DOS=HIGH DEVICE=HIMEM.SYS DEVICE=EMM386.EXE RAM
2.把下载的Tiramisu压缩包里的所有文件解压缩到引导盘上。
3.用这张引导盘引导电脑,运行Tiramisu.exe,在“File”菜单中选择“Start recovery”菜单项,程
序开始自动从C分区上寻找目录结构,这个过程所需要的时间视硬盘数据的多少决定。
4.C分区的目录结构搜索结束后,会显示目录搜索结果,外观看起来有点像WIN95的资源管理器,从这个 “资源管理器”中可以看到:搜索到的目录结构与染毒前基本相同,只是被破坏过的目录,其目录名称被改
成了CLUS????(如CLUS0500等),但目录里的文件却丝毫无损。CIH是从根目录开始一层层破坏目录结构表 的,病毒运行时间越长破坏得越深,用Tiramisu修复后,只是改变了目录名,其结构和文件并未损坏。
5.Tiramisu的工作原理是在内存中重建一个目录结构映射表,让用户通过这个目录结构表把硬盘上的数 据备份出来,而其本身并不向硬盘写入任何数据,所以绝对安全。这一步就是要把C分区上的数据备份出来
:在“资源管理器”(目录表)中选择要备份的目录或文件,从“File”菜单中选择“Copy file(s)”菜单 项,把数据拷贝到指定的驱动器上。
相关裢接:何为计算机病毒
计算机病毒的定义
计算机病毒的分类
计算机病毒的寄生方法
例解流行病毒
邮件病毒——“Happy99”,“美丽莎”
病毒的防范和病毒防火墙的使用
杀毒软件的推荐使用
计算机病毒对系统的影响
|
