找回密码
 注册
搜索
热搜: 回贴
微赢网络技术论坛 门户 安全攻防 查看内容

老生常谈--被病毒破坏的数据恢复

2009-12-14 01:55| 发布者: admin| 查看: 17| 评论: 0|原作者: 夙瑶

进入信息和网络化的时代以来,计算机正在我们的工作和生活中扮演着日益重要的角色。越来越多的用户通过计算机来获取信息、处理信息,同时将自己最重要的信息以数据文件的形式保存在计算机中。但是存储在计算机上的数据并不像我们想象中的那么安全,如果说,黑客们入侵计算机网络事件是从计算机网络中向外窃取信息情报的话。那么计算机病毒则是人们向内攻击计算机网络的方法了。现时病毒通过网络传播防不胜防,稍不注意病毒就肆无忌惮的感染计算机系统。因此,对计算机病毒最好是做到防患于未然,在病毒侵入系统之前即对其进行查杀。另外,我们还需要掌握一些数据恢复的技术,在数据受到病毒感染被破坏之后,进行数据恢复,将损失降到最低程度。





  一、对重要数据进行备份

  当前数据的安全保护已经成为人们日常工作中的重中之重,这和信息已经成为计算机病毒主要的攻击对象是分不开的。有些病毒可以篡改、删除用户文件数据,导致文件无法打开,或文件丢失;有些病毒在硬盘上填写大量垃圾数据,占用硬盘资源,导致计算机运行速度减慢,性能降低;有些更具破坏力的病毒则采用了修改系统数据的方法,导致计算机无法正常启动和运行。而CIH病毒则是通过破坏硬盘数据,导致系统瘫痪,使得很多朋友都“欲哭无泪”惨透了!

  对数据进行备份是一种防范的办法,当某一数据被病毒破坏或人为损坏后,我们可以用备份的数据来恢复。这样就增强了数据的安全性,在数据被毁坏时更容易的进行恢复。用户对于硬盘的备份一般都采用两种方式,一种是用户自己将硬盘文件拷贝到其他介质上,如光盘、服务器等。另外一种方式是借助相关的软件来完成日常的数据备份工作,目前一些杀毒软件就包含了此项功能。由于这种方法不需要用户的过多参与,实现起来比较简单,所以受到了广大用户的喜爱。在这里向大家推荐使用“瑞星”杀毒软件,因为它不仅能够备份以上的硬盘数据,而且可以让用户设定自动备份的时间。打开“瑞星”主界面后,点击“设置”按钮,选择“选项”,再点击“硬盘备份(B)”按钮,即可设定备份硬盘数据的方式。以后,“瑞星”就会按照您设定的方式自动备份硬盘数据。如果没有“瑞星”,那么也可以用KV3000来备份,在DOS命令提示符下键入KV3000/B命令后,系统将向软盘输出两个无病毒的硬盘主引导信息文件,即HDPT.DAT和HFBOOT.DAT,这两个文件就是硬盘的分区表及主引导记录的信息。

  另外向大家推荐Norton Ghost软件的使用,Norton Ghost是一个极为出色的硬盘“克隆”(Clone)工具,它可以在最短的时间内给予你的硬盘数据以最强大的保护,它不但可以把一个硬盘中全部内容完全相同地复制到另一个硬盘中,还可以将一个磁盘中的全部内容复制为一个磁盘映像文件备份至另一个磁盘中,这样以后就能用镜像文件还原系统或数据,最大限度地减少安装操作系统和恢复数据的时间。之外,Norton Ghost软件支持Windows 9.x/NT的长件名,支持FAT16/32、NTFS、OS/2等多种分区,这使得它能够在Windows 9.x、Windows NT、Windows XP,Unix等操作系统下进行硬盘备份,并且备份工作还可以在不同的存储系统之间进行。克隆目标硬盘过程中具备自动分区并格式化目标硬盘的能力。所以在进行数据备份工作方面,和你使用手工备份或者是Windows自带的备份工具的方法相比,Norton Ghost将给你带来极大的便利和空前的可靠性。
二、CIH破坏的硬盘数据修复
  CIH病毒是一位台湾大学生编写的,从台湾传入大陆地区的。目前传播的主要途径主要通过Internet和电子邮件,事实上随着时间的推移,其传播主要仍将通过软盘或光盘途径。CIH病毒——属文件型病毒,使用面向Windows的VxD技术编制,主要感染Windows 95/98下的可执行文件,并且在DOS、Windows3.2及Windows NT中无效。正是因为CIH病毒独特地使用了VxD技术,使得这种病毒在Windows环境下传播,它的实时性和隐蔽性都特别强,使用一般反病毒软件很难发现这种病毒在系统中的传播。要知道CIH病毒每月26日都会发作的,它不仅仅全面破坏计算机系统硬盘上的数据,而且还会对某些计算机主板的BIOS进行改写。BIOS被改写后,系统则无法启动。CIH病毒已被认定是首例能够破坏计算机系统硬件的病毒,同时也是最具杀伤力的恶性病毒。
  当我们没有对数据进行备份、不小心感染了CIH病毒的情况下,如何才能恢复被病毒破坏的数据呢?方法是有的,我们可以尝试一下FinalData进行数据恢复。
  FinalData是一款强大的数据恢复工具软件,它能从磁盘中恢复任何格式的文件,比如文件被误删除(并从回收站中清除)、FAT表或者磁盘根区被病毒侵蚀造成文件信息全部丢失、磁盘物理故障造成FAT表或者根区不可读,以及磁盘格式造成的全部文件信息丢失之后,FinalData都能通过直接扫描目标磁盘抽取并恢复出文件数据。另外FinalData软件最大的闪光点就是在恢复数据过程中,不对磁盘进行任何写操作,避免了对被毁怀的数据带来更大的灾难。
  当CIH病毒发作时,会将乱码覆盖硬盘初始位置的2048个扇区。而这些扇区存储的就是我们硬盘的主引导记录(MBR)、系统隐藏扇区、分区表以及引导分区(通常为C盘)的文件分配表(FAT表)等重要内容。我们知道当硬盘的这些关键内容被破坏之后,计算机已经不能正常启动,想读取原先保存的数据已经成为不可能,此外由于逻辑分区信息也被破坏,即使把硬盘拆下来挂到其他正常的计算机上,也不能直接读取这块盘上的任何数据。由于被CIH覆盖的只是系统引导信息、分区信息和C盘上的文件索引信息,保存在硬盘上的实际数据并没有受到直接的破坏。如果使用FinalData则可以读取到硬盘的实际数据,因为FinalData的恢复机制是可以略过系统信息和索引信息、直接访问实际数据,然后就可以较轻松地把实际数据读取出来备份到其他硬盘。具体做法如下:由于计算机已经无法引导,需要把硬盘拆下来作为一个非引导盘挂到一个正常的、装有FinalData的计算机上。由于该硬盘的分区表已被破坏,所以从资源管理器等工具是看不到该块硬盘上的逻辑分区信息的。此时启动FinalData,通过选择物理驱动器的方式选择该硬盘,然后使用“查找格式”功能,发现目标分区,对目标分区进行扫描。将目标分区中发现的目录和文件备份到本地硬盘上,完成对该分区的数据恢复。
  我们在FinalData软件操作过程中看到的将是目录、文件等比较熟悉的内容,而非簇、扇区、二进制标志等底层信息。那为什么不能将目标盘修复到和以前一模一样,而只是把受损硬盘上的数据读取出来,备份到其他硬盘上呢?实际上FinalData在整个恢复操作过程中只是对目标磁盘进行了只读性操作,没有对其进行任何修改。这样即使在恢复过程中有误操作或者恢复不成功,也不会对硬盘造成进一步的破坏。反之,如果是通过对目标盘的直接修补的方式试图恢复数据。这类操作如果完全成功,那么丢失的数据能够马上在本地重现。但是这也是非常危险的,因为一般人不可能完全清楚硬盘受损前的分区实际大小、物理起始位置等详细信息,所以修复本身是一种尝试性的工作,当修复不成功时,不但不能恢复数据,还会对数据造成进一步的破坏,使后续的恢复工作变得更加困难。此外,目前的修复方法大部分只能恢复除C盘外的其他分区的内容(因为只有C盘的FAT表遭到了破坏)。而FinalData能够对所有分区都进行恢复,这也是FinalData进行恢复被CIH破坏的数据的最大优势所在。
三、恢复被病毒破坏的Word文件
  当单个文件被病毒破坏,而先前系统中并没有此文件存在,比如你刚刚写好的Word文件,在刚存盘后就被病毒破坏了,使用数据恢复工具恢复出来的文件就是带有病毒的文件。对于这样的文件,如何进行数据恢复呢?我们就以感染宏病毒的Word文件为例吧!要知道——宏病毒与有用的正常宏都是采用了相同的语言编写的,只是这些宏的执行效果有害,而且在编写上利用了Word允许宏自动执行这一特点,使用户在打开文件时不知不觉地就运行了这些病毒程序。早期的宏病毒破坏方式往往是更改所附着的文档内容、扰乱文档的正常打印、开启一个无法关闭的对话框或不断开启新的文件直到系统资源耗尽,Word运行出错为止等等。随着Office新版本的推出,微软不断加强宏的功能,没想到宏病毒的危害也越来越厉害了。为了使Word更易用,微软在Word中集成了许多模板,如典雅型传真、典雅型报告、典雅型通讯录模板等。这些模板不仅包含了相应类型文档的一般格式,而且还允许用户在模板内添加宏,使得用户在制作自己的特定格式文件时,减少重复劳动。在所有这些模板中,最常用的就是Normal.dot模板(通用模板),它是启动Word时载入的缺省模板。所以当Word系统遭受感染后,系统进行初始化时就会随着Normal.dot的装入而成为带毒的Word系统,继而在打开和创建任何文档时感染该文档。究竟应该如何清除病毒并恢复Word文件呢?
  首先退出Word,然后到C盘跟目录下察看有没有Autoexec.dot文件,如果有这个文件,而你又不知道它是什么时侯出现的话,证明Word文件已经被未知宏病毒感染,应该立即删除它。这时候并不说明病毒被彻底删除了,因为病毒原体还在该文件中,只是暂时不再活动,但肯定还会死灰复燃。
   为了彻底清除宏病毒,进入“文件”菜单,选择“新建”对话框,在右下方选择“通用模板”单选按钮,正常情况下,可以在“模板”处见到“空白文档”选择项。如果没有的话,说明默认空白文档模板文件Normal.dot(一般位于\Templates\目录下,指的是Office的安装目录,缺省为C:\Program Fil_es\Microsoft Office目录)已经被病毒修改了。此时应该关闭Word程序,如果你对Normal.dot文件进行了备份,可将该备份拷贝到原文件夹中覆盖染毒的Normal.dot文件;如果没有对该文件进行备份,则直接删除此文件,而后再次启动Word,选择“文件”→“新建”菜单项,在打开的“模板”对话框中的“新建”复选框中选中“模板”,完成后单击“确定”按钮在打开的空白文档中设置好其默认字体后存盘退出,此时Word自动创建了一个干净的摹本文件Normal.dot。然后再进入Word,打开原来的Normal.dot文件,,并新建另一个空文档。此时将源文件的全部内容拷贝到新建的空白文档中,关闭并删除感染宏病毒的Normal.dot文件,最后将新文本保存为原文件名存储。这样,宏病毒被彻底清除了,原文件也恢复了原样,可以放心使用了。对于其他被宏病毒感染的Word文件,除了使用杀毒工具进行病毒清除以外,还可以按照上面所讲的方法原理进行“手工”恢复。当然首先用杀毒工具查杀病毒之后再恢复文件最好,这是因为有些宏病毒禁止了Word文件的宏编辑能力。最后我们要掌握的要点是——只要在使用中不随便让Word执行来路不明的宏,你就可以一直保持它的 “纯净”了。
四、恢复被蠕虫病毒破坏的数据
  说起蠕虫病毒大家绝不会感到陌生,它是历史上最悠久,种类上最多的一种计算机病毒,它的原理是向系统中的可执行程序或其他文件中写入含毒代码,来达到瘫痪计算机并破坏数据的目的。以当前流传最广的尼姆达蠕虫为例,目前尼姆达蠕虫已经有多个变种,每个变种的破坏力和感染力有所不同,但是它们对计算机的网络或单机的数据都有一定程度上的破坏力。查看您的各个逻辑驱动器中的文件夹,如果发现大量文件夹下都存在一个.eml文件,长度为79225字节,基本上就可以确定了您已经中了现在流行极广的尼姆达病毒了。它具有使磁盘可用空间急剧变小,根本删除不掉;并且不能执行一些常用程序的特征。如何查杀尼姆达蠕虫,使被其破坏后的各种应用程序或文件恢复正常呢?
  如果用户您不幸深中此毒,大为恐慌之余,还需保持冷静,首先要做的就是关闭活动的网络连接,避免病毒从网络上再入侵您的机器。打开进程管理器,查看进程列表;关闭其中进程名称为"xxx.tmp.exe"、"MMC.EXE"、"TFTP.EXE"以及"Load.exe"的进程(其中xxx为任意文件名)。进程关闭后,进入到系统的TEMP目录,将该目录中的所有文件全部删掉;进入到系统的System目录,查看Riched20.DLL的文件大小,系统的正常文件大小应该在100K以上,而Concept病毒的副本大小为57344字节,如果有长度为57344字节的Riched20.DLL,删掉它;继续在系统的System目录下寻找名称为load.exe、长度为57344字节的文件,删掉它;在C:\、D:\、E:\三个逻辑盘的根目录下寻找Admin.DLL文件,如果在根目录下存在该文件,则删除它。其次,对于Windows 9X操作系统,用记事本打开系统目录下打开System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,则改为“shell=explorer.exe”,完成后保存退出;对于WinNT或者Win2000以及Win XP操作系统,则需要打开“控制面板”→“管理工具”→“计算机管理”中,将位于Administrator组中的guest用户帐号删除。完成以上操作以后,用系统自带的文件查找工具搜索整个机器,查找文件名为*.eml的文件,长度为79225字节的文件,并将这些文件全部删除;查找系统中所有的超文本语言文件内容(如html、htm、htt、asp、shtml、shtm等)将其中包括有字符串如“”的文件删除或清除该字符串。
  最后,我们还要使用新版的杀毒工具软件查杀整个系统,将被感染的可执行文件(EXE)中的病毒清除,被破坏的数据就得到了恢复。另外,在清除尼姆达病毒后,如果发现MS office出现运行异常的问题时,不要惊慌,这是由于尼姆达病毒用自身覆盖了System目录下的Riched20.DLL的文件,而造成Word等字处理软件不正常。解决办法很简单,只需从Windows安装光盘里找到相应的文件重新拷贝回来就可以了。对于Win98:在压缩包Win98_35.CAB中,解开找到riched20.dll拷贝到system目录、Win98se:在压缩包Win98_41.CAB中。、WinME:在压缩包Win_14.CAB中。对于Win2000:在system32\dllcache目录有备份,将它拷贝到system32目录。等等……另外,还有个很简单的恢复方法,就是通过添加删除Windows的写字板程序,也可恢复被感染的WORD等字处理软件所需的riched20.dll文件。
  以上方法也许是老生常谈了,大家可能还有更好的办法。但各种病毒和黑客软件还是依然存在的,而且发展极其迅速,尽管有了五花八门的网络防火墙和杀毒软件的保护,却也时常令人防不胜防。我们以往的“吃亏”正是由于我们太“轻敌”了!我们必须做好重要数据或文件的备份工作。在一旦数据被病毒破坏后,保证重要数据的尽快恢复,把损失降低到最小或没有损失——这才是我们的最终目的吧!
  

最新评论

QQ|小黑屋|最新主题|手机版|微赢网络技术论坛 ( 苏ICP备08020429号 )

GMT+8, 2024-11-6 03:03 , Processed in 0.608192 second(s), 12 queries , Gzip On, MemCache On.

Powered by Discuz! X3.5

© 2001-2023 Discuz! Team.

返回顶部