一個客戶移動硬盤到電腦上能認到盤符,三個分區。但是都打不開,提示目錄結構損壞。一般的病毒都是破壞MDR,DBR。這一次不是。從DBR定位MFT偏移一個扇區,該簇的第一個扇區被病毒填充一段代碼。![]()
如下:![]()
如下:
數據恢復後,沒有引起足夠的重視。等客戶來拿資料時,才發現照片是破壞的。開始以爲是偏移一個扇區是不是數據不完整。經過1天的時間做鏡像,修改DBR的位置來調整定位MFT.完成後,原來的目錄結構都找出來了。在欣喜之餘,發現照片還是破壞的。真是怪了!用winhex打開磁盤定位文件。目錄項已經沒有了。偶然發現前面有一段代碼![]()
搜索此代碼的文件頭。發現每隔128扇區寫一個扇區。原來是病毒把數據破壞了。這個病毒是從頭開始向後一直寫。很幸運的是最後一個分區數據還沒有破壞。以後要做好病毒防範。
搜索此代碼的文件頭。發現每隔128扇區寫一個扇區。原來是病毒把數據破壞了。這個病毒是從頭開始向後一直寫。很幸運的是最後一個分區數據還沒有破壞。以後要做好病毒防範。