数据恢复基础知识(合).ppt

四、病毒破坏后的恢复 （1）引导区病毒破坏现象及数据恢复 引导区病毒的感染途径: 使用带有引导区病毒代码的软盘或光盘引导系统. 代码同时会显示Non-system disk or disk error的消息。正是这个代码中隐藏着病毒的传染模块，当出现了Non-system disk or disk error错误消息的时候，感染已经发生。 第四章：计算机病毒及其破坏后的数据恢复 感染WYX后的病毒的处理： 进入DOS状态下查杀病毒 由于WYX感染系统引导区，因此要彻底清除此病毒需要通过引导盘启动到DOS状态下进行查杀。 第四章：计算机病毒及其破坏后的数据恢复 WYX病毒对硬盘数据的破坏及恢复 可拿98系统引导盘引导后，运行 A：FDISK/MBR后，再重新原盘引导进行检测（只限win98系统）。 由于感染此病毒后会将磁盘的0扇（MBR）复制到61扇，63扇复制到60扇，后再将原位置的数据改写，导致系统启动时无法找到分区。若要通过手工修复我们可以找到60、61扇的位置将其重新分别粘回63扇和0扇中即可。 第四章：计算机病毒及其破坏后的数据恢复 2、CIH 传播途径 CIH病毒主要传播媒体是网络--因特网和局域网，光盘--主要是盗版光盘、软盘 。 CIH病毒只感染 Windows9x包括 Windows95、Windows97、Windows98以及在 Windows9x下运行的后缀为exe、com、vxd、vxe 的应用程序，并且连自解压文件均受感染。CIH病毒感染硬盘上的所有逻辑驱动器。 第四章：计算机病毒及其破坏后的数据恢复 染毒后的特征 感染CIH病毒后会出现如下症状： 系统不能正常启动，硬盘灯长亮。 应用程序不能正常运行，并莫明其妙地出现死机现象。系统不能正常关闭，当系统出现“Windows正在关机......”画面时会出现死机. 感染CIH病毒的软件体积增大，程序被破坏。 第四章：计算机病毒及其破坏后的数据恢复 感染CIH病毒后的处理方法： 如果出现 CIH病毒发作的症状，不要重新启动计算机从C盘引导系统，而应该及时进入CMOS设置程序，将系统引导盘设置为a盘然后A 盘引导系统，之后用杀毒软件引导进行病毒查杀。 第四章：计算机病毒及其破坏后的数据恢复 CIH病毒对数据的破坏及修复方法： CIH病毒对于硬盘数据的破坏主要是从磁盘的“0”扇区开始向硬盘中填入垃圾代码。对于已经被CIH病毒破坏的硬盘数据可以首先尝试通过瑞星“CIH修复工具”进行修复。 第四章：计算机病毒及其破坏后的数据恢复 3求职信 病毒传播途径 可以通过邮件、局域网共享目录等途径进行感染，并能自动获取用户地址薄中的信息乱发邮件。此病毒中的信息模仿求职信病毒，病毒内部的信息都是中文。病毒通过 163.com, 163.net, 263.net, ,,的邮件服务器发邮件，邮件的地址是该病毒自己随机生成的。邮件会附带一个.exe或.vbs的文件。.exe文件就是该病毒本身 。 第四章：计算机病毒及其破坏后的数据恢复 求职信病毒邮件特征： 邮件标题包括以下几种：????“我喜欢你！”、“您好”、“恭喜！”、“节日快乐”、“你中奖了”、“你的朋友”、“同学聚会”、“祝你生日快乐”、“你的朋友给你寄来的贺卡”等。????邮件正文包括以下几种：????“just for my father !”、“我是程序员”，“我需要一份工作！”、“我需要一份工作！”、“我喜欢你！”、“你的朋友”、“同学聚会”、“我要逃离大学”等。 第四章：计算机病毒及其破坏后的数据恢复 求职信病毒对数据的破坏 病毒附带的脚本文件病毒修改了浏览器首页，并在windows的目录下生成一个名为：Win32Dll.vbs和MSKernesl.vb两个病毒文件，并将以上两个文件的路径加入注册表的run值中，以便下次启动计算机时可以自动加载此脚本病毒。同时，病毒能够自动查找本地驱动器和网络驱动器，将所有.exe，.dll, .dat, .mp3, .doc的文件进行删除操作。 第四章：计算机病毒及其破坏后的数据恢复 4、硬盘杀手病毒 它可以在Windows95以上的所有版本的操作系统中运行，将用户计算机上的所有硬盘里的所有资料瞬间清除并且无法恢复。另外该病毒还可以利用网络漏洞和共享目录进行网络感染. 第四章：计算机病毒及其破坏后的数据恢复 硬盘杀手病毒破坏过程 “硬盘杀手”病毒运行时会首先将自己复制到系统目录下，然后修改注册表进行自启动。病毒会通过9X系统的漏洞和共享文件夹进行疯狂网络传播，即使网络共享文件夹有共享密码，病毒也能传染。如果是NT系列系统，则病毒会通过共享文件夹感染网络。病毒会获取当前时间，如果病毒已经运行两天，则病毒会在C盘下写入病毒文件，该病毒文件会改