DBR及MFT被病毒破坏

小程子 · 发表于 2009-4-9 13:30:40

故障硬盘：三星80G IDE 2.5小盘

故障现象：无法识别，或者可以识别但容量变成1000G 600G等

处理过程：winhex打开后发现DBR被病毒填入其它信息，用备份DBR覆盖。打开分区提示“MFT及MFTMIRR出错”，定位到MFT所在的786432簇，发现MFT前四个文件被病毒填充，不过这个病毒比较“智能”，它不是整个修改而是修改10 30 80属性通过隔一字节写入01来破坏属性头。病毒所改的四个MFT是：$mft $mftmirr $log $volum,当然MFTMIRR也被做了同样的修改。手动改回并重新生成$mft的80运行后恢复正常，数据100%的恢复

现在的病毒已经从破坏分区表、DBR升级到文件系统了，下一步真不知道它们会做出什么“可怕”的事情喽？！遇到这么“智能”的病毒很是“荣幸”，写出来纪念一下子！

网址：瑞星数据恢复.com

[ 本帖最后由小程子于 2009-4-9 13:39 编辑 ]