小程子 发表于 2009-4-9 13:30:40

DBR及MFT被病毒破坏

故障硬盘:三星80G IDE 2.5小盘

故障现象:无法识别,或者可以识别但容量变成1000G600G等

处理过程:WINHEX打开后发现DBR被病毒填入其它信息,用备份DBR覆盖。打开分区提示“MFT及MFTMIRR出错”,定位到MFT所在的786432簇,发现MFT前四个文件被病毒填充,不过这个病毒比较“智能”,它不是整个修改而是修改10 30 80属性通过隔一字节写入01来破坏属性头。病毒所改的四个MFT是:$mft$mftmirr $log$volum,当然MFTMIRR也被做了同样的修改。手动改回并重新生成$mft的80运行后恢复正常,数据100%的恢复

现在的病毒已经从破坏分区表、DBR升级到文件系统了,下一步真不知道它们会做出什么“可怕”的事情喽?!遇到这么“智能”的病毒很是“荣幸”,写出来纪念一下子!

网址:瑞星数据恢复.com

[ 本帖最后由 小程子 于 2009-4-9 13:39 编辑 ]

dgtan 发表于 2009-4-9 16:22:57

遇到過類似情況...160G變成1000GB,DBR後移三個扇區...80屬性沒被修改...

chenkiki 发表于 2009-4-9 18:47:18

学习了.好好学习天天向上

dgtan 发表于 2009-4-9 19:52:32

在研究数据恢复的同时也研究一下如何防范类似病毒吧。呵呵。数据恢复为下策,预防才是上策。

qin_an 发表于 2009-4-9 21:29:09

太厉害了,学习一下.

thekingofring 发表于 2009-4-10 10:21:48

学习下,现在的病毒太厉害了

liangmao 发表于 2009-4-10 13:16:47

前几天遇到一个。。
是前四个mft 隔一个字节。高位被加1了。。
是不是和你的一样??

hanxuefei 发表于 2009-5-22 19:21:39

学习中 (38:(38:

jxdnwx 发表于 2009-6-9 20:22:03

希望能做成视频呀,文字对我们刚起步的人来说不太适合呀,有劳LZ

qiqin2736 发表于 2009-7-12 22:43:12

网络安全Q!!
页: [1] 2 3
查看完整版本: DBR及MFT被病毒破坏