关于USBC病毒的修复问题，求助。(已解決)

watfe · 发表于 2010-3-24 11:45:44

姐姐的周末回来诉苦，说移动硬盘坏了，里面的东西都丢了，坏了的盘她都没敢动，直接把案发现场原样带回来了（这个意识很好，动了的话估计就没我啥事了）。（希捷，250G，FAT32，分三个盘100，100，30。）
我接上电脑一看，三个盘里的文件大都不见不说，剩下的还都全变成了USBCXX，唯一存留下来完好的文件就是老姐大爱的韩庚视频了。
当所有的数据全付之流水时，我姐葱白的明星的依旧存活在她的硬盘里，这顽强的生命力……我不得不感叹一下。
PS：老姐的机器是在苹果机上中的毒，USBC强大到连苹果都不能避免了？

USBC中毒表现.JPG

当然东西还是要修地~查了一下USBC得知是一种使数据地址移位的“高级”病毒，不是简简单单开着还原软件扫一遍就能把文件都找回来这么简单，此病毒源代码不明，暂没有专门的拦截和修复软件。
在网上搜到walysclw的《USBC病毒修复方法》说用winhex才是王道，附了一个详细的感染USBC的NTFS硬盘修复过程，可惜咱太白，很多术语看不懂，正在一点一点学。
学归学，如果是废盘我还可以试试，老姐的原盘我当然不敢直接动了，买了个320G的移动硬盘，用winhex的磁盘克隆，直接刻到新盘上（漫长的时间，6个小时，刻到最后我机子都休克了，除了winhex在跑其他啥也不好使了）。
刻完了，关机，重启。
新盘接上，开着winhex查找文本"USBC"，位置基本都在FAT的分区表上（是叫分区表吧，下面附图了），上面的数据蛮规律的。中毒的扇区
有的是移位了，

USBC起始.jpg

有的整个扇区除了USBC都清零了，

USBC清零1.jpg

还有FFFFFF……这个是啥？需要手动吧这几行改过来么？

菜鸟正在学，知道的请指点一下，不知道的就围观吧，菜鸟不怕被人笑话，再者自己的硬盘慢慢修不着急（反正老姐的东西没丢前，重要的部分在我这里都有备份，剩下的文件都是从网上或学校FTP上下的，再下也就是费点时间，估计又得挂着电驴跑半个月了，能不用重新下载当然皆大欢喜）。

watfe · 发表于 2010-3-24 12:45:59

关于上面的第一个USBC我现在怀疑不是移位而是覆盖了。
以下是43365扇区和43372扇区（winhex左侧显示对应扇区号）的对比，可以看出只有前32字节是不同的，也就是前两行被覆盖了。
这是不是就是FAT的分区表和备份分区表呢？

USBC覆盖1.jpg

------------------
额，貌似我理解错了，看了一点书才知道，那不是分区表的说，而是目录。

watfe · 发表于 2010-3-24 14:15:48

对winhex不熟啊，正在看winhex教程，看完这个去找FAT32的资料。
如果以上哪有不对请留言。

changfeng1229 · 发表于 2010-3-24 14:34:45

回复 1# watfe
那个FEFFFFFF是不能修改的，这个是FAT表结束的标志，如果修改了，文件会出问题的

changfeng1229 · 发表于 2010-3-24 14:36:08

回复 2# watfe
应该是两个fat表，你可以吧两个FAT表全部备份出来，在用winhex同步比较，就知道修改了哪些地方了。修改好后，在把fat表覆盖回去

watfe · 发表于 2010-3-24 14:55:22

回复 4# changfeng1229

好的，谢谢指点，我不会轻易改FFFF……了~。

watfe · 发表于 2010-3-24 15:13:08

回复 5# changfeng1229

我看看怎么把两个分区表备份出来，话说现在我还分不清哪个是FAT分区表哪个是FAT备份分区表呢，正在查书，谢谢你了。
-----
额，貌似我理解错了，看了一点书才知道，那不是分区表的说，而是目录。

redstar123 · 发表于 2010-3-24 21:01:06

把第二个分区表COPY到第一个分区表上去，修复第一个分区表吧。一般是把第一个分区表破坏了。是FAT32位的吧。

ibmps · 发表于 2010-3-25 12:30:24

这种问题，一般可以修复，不过一般FAT表丢失了一部分，可能有少量的文件打不开

watfe · 发表于 2010-3-25 17:41:06

昨天一边学着FAT的磁盘格式，一边开着各种恢复软件对备份盘进行尝试，现小结一下(仅供参考，有中USBC病毒的同仁，如盘里的东东很宝贵，请先用winhex备份一下，对备份进行操作；至于无所谓的，那大可以直接试试)。

USBC病毒描述
USBC尚未有人确认为病毒，在该乱码文件出现前，移动设备无法安全移除，直接拔掉后，再次接入移动设备，则出现USBCXX字样乱码无法删除文件(U盘，SD卡等小容量移动存储设备，甚至可能出现USBCXX文件大小大于移动设备实际存储容量的现象)，有时伴随有部分或所有文件丢失，严重者移动设备变为RAW格式，或提示设备损坏无法打开请格式化。但已知其对移动设备硬件没有影响，格式化后移动设备可正常使用。

登录/注册后可看大图

USBC病毒原理(引自walysclw的《USBC病毒修复方法》，附件中有，有技术的可以参考)
1、USBC病毒不是什么autorun类型的低级弱智病毒，猜测是挂于usbstor驱动的upper filter driver，但目前未经证实,以下暂且基于这个假设。
2、由于挂于usbstor驱动，故只能对U盘或移动硬盘等造成危害，而对主机硬盘无影响。
3、工作原理应该是中间处理了发往usbstor的写缓冲区，故只有向USBstor写时才会危害，其他操作不会影响(注:你不写文件系统不意味着系统不写)。
4、它拦截了发往usbstor的IRP写请求，从中获知写缓冲区,将写缓冲区向后移位20h字节，而后在前面的20h字节里填上
55 53 42 43 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??(??表示不定)
其中55 53 42 43是确定无疑的，其ASCII为"USBC"(引号内)，然后再将IRP写请求继续发给usbstor，可见那次写的缓冲区有多大就有多大范围的数据被移位，缓冲区最后20h字节别问我去哪了，我也不知，很可能被丢弃。

USBC恢复测试
测试硬盘:希捷，250G，FAT32，分区100G、100G、32G。
硬盘表现:自硬盘中招后，接入电脑可识别分区，里面文件如图。现针对其中一100G分区进行恢复实验。
实验方法:五花八门，多种多样。网上流传手段，软件(EasyRecoveryV6.12，易我数据恢复向导V2.1.0，SmartUndeleteV2，FinalDataV2.01，RecoverMyFilesV4.04)，Winhex专业修复软件等。

方法1:(源自网上，找不到在哪看到的了)
1.右键点中读盘符，依次选“属性”，“工具”，“开始检查”，“自动修复文件系统错误”，“扫描并恢复坏扇区”，“开始”。
2.完成后根目录里会多出一个“FOUND.000”文件夹(打开文件夹属性，令系统文件夹和隐藏文件夹可视)，把里面的内容扩展名改为你熟悉的.doc .jpg .xls，文件就回来了。
实验:
1.对两个盘进行此操作，成功一个，有一定的可行性。
2.更改扩展名后(对前几个文件扩展名改为doc jpg xls)，可打开，实验成功。
结论:
1.你的文件名都不见了
2.能找到得数据并不一定完全，有缺失可能
3.如果你的文件都是jpg或doc用此方法，配合XTools之类的软件效果会很好，照片文档的数据基本都能找回来。
4.如果你的文件夹里有几种，甚至十几种文件格式，你都想用此方法找回来，那将奇傻无比。

方法2:(源自百度百科)
1.在方法1的基础上使用RecoverMyFiles，设置对FOUND.000进行恢复吧。该人用十分钟，将800M的文件全恢复了。
实验:
1.软件自动识别扩展名，基本无误。
结论:
方法1和方法2可行性一般，存在文件名丢失现象。但此方法速度极快(仅耗时不到1分钟)，U盘，SD之类的文件，在备份后可以一试。

recover my files.JPG

方法3:
使用软件进行删除恢复操作。
软件:EasyRecoveryV6.12，SmartUndeleteV2，RecoverMyFilesV4.0等
耗时:0s 因为什么也没扫到，一片空白
结论:此类操作基本无效

smartundelete 0.JPG

方法4:
使用软件选择格式化恢复(并不是真的要把盘格式化，而是当做已被格式化的盘扫描重建目录结构)
软件:EasyRecoveryV6.12，易我数据恢复向导V2.1.0，FinalDataV2.01，RecoverMyFilesV4.04
结论:
1.EasyRecoveryV6.12
用时:<1h
效果:有效，但结果不如意
   找到部分文件，目录结构不完整
   LOSTFILE文件夹中的文件无目录结构，且大多标示为D，无法完好复原
   未进行恢复文件测试
总结:省时是EasyRecovery的一大优点，尤其是针对刚刚被删除的文件，它和SmartUndelete都可以以最快的速度将文件找回来；它拥有修复Access，Excel，Word，Powerpoint，Zip文件的能力；具有磁盘测试诊断功能。总的来说还是比较实用的

2.RecoverMyFilesV4.04
用时:1h
效果:有文件预览功能。且是边扫描边可以预览已经找的jpg rar文件，这个功能是其它几个软件没有的，但也只限于jpg rar能及时预览，其他文件同样要等到扫描完成后
   找到的目录结构散碎，文件名称基本完好
   恢复文件测试，出现意外，未测
   可以针对某一文件类型进行扫描，缩短扫描时间。
意外:无法保存扫描出的文件，不明原因，可能我用的是破解版吧
总结:因为没做恢复测试，不太好说，但总的来讲表现还是不错的。

rmf 1.JPG

3.易我数据恢复向导V2.1.0
用时:1h
效果:这个比较令我吃惊，文件夹目录结构基本完好，省去了文件重新整理归纳的麻烦；文件名也基本完好
   恢复文件测试，照片99%都没有问题，偶有无法打开的图片文件在ACDSee里可以打开，看到图片边缘有缺失
   doc xls随机抽查了十来个，没有问题。看来doc xls文档也基本没事
   视频文件基本没有问题，但是有一批FLV视频文件（约7个），其中只有一个完好。
总结:软件界面简洁，虽无文件修复功能，却胜在实用强大。如果你倒霉中了USBC，推荐用它试试

4.FinalDataV2.01
用时:3h45m
效果:耗时太长
   这个是最强大的一个，基本都扫描出来了，但是许多荒废N久或疑似文件夹的东东也被扫描出来了……
   目录结构完好，有按扩展名归纳文件的方式(但是这样看到的文件名都是一堆序号，不知道为啥)
   有文件预览功能。
   尝试导出文件后，测试文件完整性，结论和易我一样，被USBC干扰的文件依旧有问题。
总结:软件比较专业，同样值得推荐。具有修复excel、word、ppt、电子邮件功能。但耗时长，非整盘文件丢失，还是用上面几个软件比较省时

final data.JPG

方法5:
使用Winhex
评价:俩字——专业。优秀且广为流传的数据修复工具。
结论:附件中附了walysclw的案例，我就不多说了。有能力有时间的去看吧，winhex的教程在坛子里搜搜就能找到。

方法6:
该方法简单易用，省时省力:找修复专家！
对于数据极为重要的，就破点财免灾吧，毕竟有些磁盘中的文件价值是远大于那千八百的修复费的。

言尽于此，既然数据基本都恢复了，我就不用再苦苦研究怎样修复了。
这篇小白文留给同样不懂修复的小白们日后参考，感谢楼上诸位提供的帮助和建议，谢谢。

切记！磁盘发生问题后不要轻易尝试读取或写入文件；如试图自行修复数据，请先做好备份。
如果是硬件问题，最好连备份都不要做，避免二次损伤，毕竟专业的问题要留给专家去做。

2010年3月25日老姐的文件基本被打捞上岸后随笔