lyw4682 发表于 2010-5-26 19:10:16

移动硬盘病毒对数据的破坏

一个客户移动硬盘到电脑上能认到盘符,三个分区。但是都打不开,提示目录结构损坏。一般的病毒都是破坏MDR,DBR。这一次不是。从DBR定位MFT偏移一个扇区,该簇的第一个扇区被病毒填充一段代码。
如下:


数据恢复后,没有引起足够的重视。等客户来拿资料时,才发现照片是破坏的。开始以为是偏移一个扇区是不是数据不完整。经过1天的时间做镜像,修改DBR的位置来调整定位MFT.完成后,原来的目录结构都找出来了。在欣喜之余,发现照片还是破坏的。真是怪了!用winhex打开磁盘定位文件。目录项已经没有了。偶然发现前面有一段代码
搜索此代码的文件头。发现每隔128扇区写一个扇区。原来是病毒把数据破坏了。这个病毒是从头开始向后一直写。很幸运的是最后一个分区数据还没有破坏。以后要做好病毒防范。

a308883603jx 发表于 2010-5-26 20:46:21

学习学习学习

lyw4682 发表于 2010-5-27 11:26:24

win32.worm.downadup.gen是个顽固的东西。大家小心,磁盘格式化后它还在。格式化时比平时慢。

lyw4682 发表于 2010-5-27 11:41:43

图片发不上。发个链接吧。http://hi.baidu.com/%B0%EE%C5%AC ... 58535895ee3755.html
页: [1]
查看完整版本: 移动硬盘病毒对数据的破坏