Восстановление информации, повреждённой вирусом Win95.CIH
- TMN.SOFTWARE (2:5077/15.22) ---------------------------------- TMN.SOFTWARE -
From : Alexey Gagarin 2:5077/3.14 13 Mar 01 00:08:38
Subj : Восстановление информации, повреждённой вирусом Win95.CIH
-------------------------------------------------------------------------------
Может пригодится кому...
http://www.ixbt.com/storage/cih-new.shtml
Восстановление информации, повреждённой вирусом Win95.CIH
После публикации статьи с описанием алгоритма, позволяющего
восстанавливать информацию на диске, подвергшемся воздействию вируса
Win95.CIH, стали приходить письма, авторы которых предлагают свои
способы решения проблемы. Сейчас вам предлагается один из них. По
утверждению автора, он позволяет восстановить более 90% информации.
Данный материал рассчитан на пользователей имеющих маломальское
представление о структуре файловых систем FAT12, FAT16, FAT32 и
умеющих работать с программой DISKEDIT. Список того, что нам
потребуется:
DISKEDIT.EXE - дисковый редактор
FDISK.EXE - программа для разбиения жестких дисков
FORMAT.COM - программа для форматирования дисков
DUB.EXE - программа для сравнения файлов (скачать можно здесь)
http://www.ixbt.com/storage/cih/dub.exe
Дополнительный жесткий диск для сохранения FAT и ROOT Список обозначений:
MBR (Master Boot Record)-главная загрузочная запись
ROOT -корневой каталог Итак, перейдём от слов к делу. Данный вирус
уничтожает каждый восьмой сектор всех жестких дисков, начиная с
первого (из личного опыта). Из этого следует:
Во всех случаях теряется MBR и PT (Они располагаются в одном секторе
Cyl:0,Side:0,Sec:1)
Возможна потеря BR (Обычно в секторе Cyl:0,Side:1,Sec:1)
Частично разрушены FAT. (Их две копии. Первая копия начинается с
сектора Cyl:0,Side:1,Sec:33, а вторая следом за ней)
Частично повреждено содержимое файлов лежащих в начальных секторах (в
основном это файлы операционной системы, и интерес для нас они не
представляют). Вот они то и составляют тот процент информации, который
мы восстановить не сможем. Из этого следует, что нам нужно
восстановить MBR, PT, BR, FAT. Hе пугайтесь, на самом деле не все так
трудно как кажется.
Hачнём по порядку.
Восстановление FAT Самое интересное для нас представляет FAT. Их
обычно две копии, и в обоих повреждения в разных местах. То есть из
двух испорченных FAT нам надо собрать одну рабочую. Для этой цели
будем использовать программу DUB.EXE (Visual File Compare & Edit
Utility/Rumkovsky Ingar).
Запускаем DISKEDIT и получаем доступ к HDD как к физическому
устройству (Alt+D). Переходим на сектор Cyl:0,Side:1,Sec:33 (Alt+P),
(Обычно здесь начинается первая копия FAT) или находим её начало через
меню Tools->FindObject->FAT и запоминаем адрес сектора. Делаем
повторить поиск Tools->FindObject->FAT это будет начало второй копии
FAT. Из начального сектора второй копии вычитаем начальный сектор
первой получаем размер FAT в секторах. Теперь нам известны адреса
расположения таблиц и их размер. Сохраняем обе FAT на другой жесткий
диск файлами. А делается это следующим образом. Переходим на
физический сектор (Alt+P) и указываем адрес начала первой таблицы, а в
количестве секторов заносим размер FAT который нам уже известен, далее
(Alt+W) to_a_File. Указываем путь, куда сохранять и название.
То же самое проделываем со второй копией. Теперь остаётся самое
кропотливое - собрать из двух испорченных FAT одну рабочую. Причём,
чем больше был объём диска, тем больше будут таблицы FAT. Так что
посидеть придётся долго.
Запускаем DUB.EXE fat1 fat2
Где:
fat1 - файл с первой копией FAT
fat2 - файл с второй копией FAT Появятся два окна. В верхнем окне
первый файл и в нижнем соответственно второй. Отличающиеся байты в
окнах помечаются желтым цветом. Суть состоит в том, что бы определить
сбойный участок в нижнем окне и заменить его участком из верхнего
окна. Делается это клавишей (F6). Определять придётся самому
визуально. Внешне содержимое FAT похоже на массив чисел. Hачало
массива состоит из маленьких чисел, которые увеличиваются по мере
приближения к концу файла. Так что если то, что вы видите, не
соответствует этому, то нажимайте клавишу (F6). Передвижение по файлам
производится клавишами управления курсором. После того как вы
добрались до конца файла, нажмите (ESC или F10), файл сохраняется
автоматически. Таким путём мы получаем рабочую копию FAT в файле fat2.
Далее находим и запоминаем местонахождение ROOT (существует также
множество методов поиска). Один из них: Переходим в начальный сектор
диска, вызываем команду Tools->FindObject->Subdirectory, то, что он
покажет и есть ROOT. Второй метод: ROOT начинается после второй копии
FAT, так что ищите его там. Hажимаем (F4) - переход в режим просмотра
каталогов. Смотрим где заканчивается ROOT, соответственно вычисляем
его размер (из конечного сектора вычитаем начальный ). Сохраняем ROOT
на диск файлом (делается это также как и с FAT ).
Восстановление MBR, PT и BR Запускаем FDISK. Создаём основной раздел
такого же размера, какой у вас был до уничтожения вирусом (это очень
важно, иначе размеры FAT могут отличаться, да и ROOT может оказаться
не в том месте). Выходим и делаем перезагрузку. Запускаем "FORMAT /U
/S" Таким путём MBR, PT и BR мы восстановили. Запускаем DISKEDIT,
копируем на место первой и второй копии FAT нашу исправленную FAT
(местонахождение FAT должно совпадать с тем, что было до
форматирования). Копируем на место нового ROOT наш старый сохранённый
ROOT (местонахождение ROOT должно совпадать с тем, что было до
форматирования). Перезагружаемся и наслаждаемся. Всё восстановлено. В
принципе, имея определённый опыт это всё можно проделать только с
помощью DISKEDIT и DUB.EXE, не используя программы FDISK и FORMAT.
Валентин Грицингер (selenoid@chat.ru, ICQ: 61306133)
Опубликовано - 12 марта 2001 года
Vova
