恢复被CIH病毒破坏的C盘数据
#1 一、修复硬盘分区表信息
被CIH病毒破坏的硬盘,其分区表已被彻底改写,用A盘启动也无法找到硬盘。所以,要恢复C分区的数据,首先要恢复硬盘分区表,同时恢复除C以外的其他逻辑分区的数据。修复分区表的方法很多,如使用KV300、NDD等,这里推荐使用北信源公司为对付CIH病毒而专门推出的硬盘数据挽救工具:VRVFIX,这是一个免费软件,可以在北信源公司的主页下载:http;//www.vrv.com.cn。
使用方法如下:
1.准备一张无病毒的启动盘,注意要根据原有操作系统及分区情况制作系统引导盘 (FAT16 或 FAT32)。
2.把下载的VRVFIX.EXE文件拷入该引导盘,要确保还有足够剩余空间,并打开写保护。
3.用这张引导盘引导染毒的电脑(如果主板的BIOS已被CIH病毒破坏,可把硬盘拆下,拿到别的电脑上进行,也可先按第17期第23版相关文章介绍的方法,把主板BIOS修复好后再处理硬盘),运行VRVFIX.EXE,按回车键开始计算分区信息并自动恢复,当出现提示时,按回车键,直到出现“Make Partition Table ok”。
4.至此,修复完成,用引导盘重新引导系统,除C盘以外的其他逻辑分区(D、E、F...)的数据已经修复,但仍然无法访问C分区。
#1 二、恢复C分区上的数据
完成了以上的工作后,就可以着手恢复C分区上的数据了。C分区无法被访问,主要是因为其目录结构被CIH病毒破坏了,要恢复C分区的目录结构,需要用到一个叫Tiramisu的工具软件,如果不是因为CIH病毒,它可就要“养在深闺人未识”了。需要了解这个软件的朋友可以访问Ontrack公司的主页:http://www.ontrack.com,这里着重介绍它的具体使用方法。
针对FAT16和FAT32,Tiramisu有For FAT16版和For FAT32版,应根据染毒硬盘的分区情况选择相对应的版本,两个版本均可以在http://www.ontrack.com下载。
1.制作一张无病毒的引导盘,然后在CONFIG.SYS中加入:
DOS=HIGH
DEVICE=HIMEM.SYS
DEVICE=EMM386.EXE RAM
注意:别忘了把HIMEM.SYS和EMM386.EXE两个文件也拷入引导盘
2.把下载的Tiramisu压缩包里的所有文件解压缩到引导盘上。
3.用这张引导盘引导电脑,运行Tiramisu.exe,在“File”菜单中选择“Start recovery”菜单项,程序开始自动从C分区上寻找目录结构,这个过程所需要的时间由硬盘数据的多少决定,对于300MB的数据,大约需要10分钟左右。
4.C分区的目录结构搜索结束后,会显示目录搜索结果,看起来有点像WIN95的资源管理器,从这个“资源管理器”中可以看到:搜索到的目录结构与染毒前基本相同,只是被破坏过的目录,其目录名称被改成了CLUS????(如CLUS0500等),但目录里的文件却丝毫无损。CIH是从根目录开始一层层破坏目录结构表的,病毒运行时间越长破坏得越深,从笔者修复的几台电脑来看,情况最坏的被破坏到了第三层,但用Tiramisu修复后,只是改变了目录名,其结构和文件并未损坏。
5.Tiramisu的工作原理是在内存中重建一个目录结构映射表,让用户通过这个目录结构表把硬盘上的数据备份出来,而其本身并不向硬盘写入任何数据,所以绝对安全。这一步就是要把C分区上的数据备份出来:在“资源管理器”(目录表)中选择要备份的目录或文件,从“File”菜单中选择“Copy file(s)”菜单项,把数据拷贝到指定的驱动器上,可以是A驱或其它逻辑分区(D、E、F...),但千万不要直接拷贝到C分区上(对于只有一个C分区的硬盘,建议另挂一个从硬盘来备份数据)!
6.至此,C分区上的数据已成功备份出来,可以重新FORMAT了。最后,祝愿CIH的受害者们都能够找回宝贵的数据!欢迎读者来信交流:lyh123@163.net。