加入收藏

网络安全

    网络安全

    当前位置: 首页-> 网络安全-> 正文

    用FinalData恢复遭CIH病毒破坏的数据

    信息来源: 发布日期:2009-01-27 浏览量:

    CIH病毒是一种能够破坏计算机系统硬件的恶性病毒。它产自台湾,最早随盗版光盘在欧美等地广泛传播,随后进一步通过Internet传播到全世界各个角落。目前传播的主要途径是通过Internet和电子邮件。CIH病毒只感染Windows 95/98操作系统。CIH病毒每月26日都会爆发。CIH病毒发作时,一方面会全面破坏计算机系统硬盘上的数据,另一方面将对某些计算机主板的BIOS进行改写。BIOS被改写后,系统则无法启动。CIH病毒已被认定是首例能够破坏计算机系统硬件的病毒,同时也是最具杀伤力的恶性病毒。

    4月26日就是CIH病毒发作的一个日子,如果用户不小心感染CIH病毒,在数据遭到破坏的情况下,可以尝试一下冠群联想公司提供的利用FinalData进行数据恢复方法。

    当CIH病毒发作之后,后果就是将以乱码覆盖硬盘初始位置的2048个扇区。而这些扇区存储的就是我们硬盘的主引导记录(MBR)、系统隐藏扇区、分区表以及引导分区(通常为C盘)的文件分配表(FAT表)等重要内容。我们知道当硬盘的这些关键内容被破坏之后,计算机是不能正常启动,所以想读取原先保存的数据是根本不可能的,此外由于逻辑分区信息也被破坏,即使把硬盘拆下来挂到其它正常的计算机上,也不能直接读取这块盘上的任何数据。

    但是由于被CIH覆盖的只是系统引导信息、分区信息和C盘上的文件索引信息,保存在硬盘上的实际数据并没有受到直接的破坏。如果使用FinalData则可以读取到硬盘的实际数据,因为FinalData的恢复机制是可以略过系统信息和索引信息、直接访问实际数据,然后就可以较轻松地把实际数据读取出来备份到其它硬盘。具体做法如下:

    1.由于计算机已经无法引导,需要把硬盘拆下来作为一个非引导盘挂到一个正常的、装有FinalData的计算机上;

    2.由于该硬盘的分区表已被破坏,所以从资源管理器等工具是看不到该块硬盘上的逻辑分区信息的。此时启动FinalData,通过选择物理驱动器的方式选择该硬盘,然后使用“查找格式”功能,发现目标分区,对目标分区进行扫描。

    3.将目标分区中发现的目录和文件备份到本地硬盘上,完成对该分区的数据恢复。

    从实际的操作过程来看,FinalData的操作方式非常简单的,操作过程中用户看到的是目录、文件等自己比较熟悉的内容,而非簇、扇区、二进制标志等底层信息。此外,用户可能会想为什么FinalData不能将目标盘修复到和以前一模一样呢,而只是把受损硬盘上的数据读取出来,备份到其它硬盘,实际上这正是FinalData非同一般的安全性的体现。FinalData在整个恢复操作过程中对目标磁盘完全是一种只读性操作,没有对其进行任何修改。这样即使在恢复过程中有误操作或者恢复不成功,至少不会对硬盘造成进一步的破坏。

    与FinalData相比,目前其它的恢复方法多是通过对目标盘的直接修补的方式试图恢复数据。这类操作如果完全成功,那么丢失的数据能够马上在本地重现。但是这种修复也是非常危险的,因为用户不可能完全清楚硬盘受损前的分区实际大小、物理起始位置等详细信息,所以修复本身是一种尝试性的工作,当修复不成功时,不但不能恢复数据,还会对数据造成进一步的破坏,使后续的恢复工作变得更加困难。此外,目前的修复方法大部分只能恢复除C盘外的其它分区的内容(因为只有C盘的FAT表遭到了破坏)。而FinalData能够对所有分区都进行恢复。这也是我们推荐使用FinalData进行恢复被CIH破坏的数据的原因之一。

    联系方式 / CONTACT US

    邮政编码:246133

    联系电话:0556-5300107

    联系地址:安徽安庆集贤北路1318号


    微信公众号

    版权所有:安庆师范大学 信息化建设与管理处