移动硬盘病毒对数据的破坏

lyw4682 · 发表于 2010-5-26 19:10:16

一个客户移动硬盘到电脑上能认到盘符，三个分区。但是都打不开，提示目录结构损坏。一般的病毒都是破坏MDR,DBR。这一次不是。从DBR定位MFT偏移一个扇区，该簇的第一个扇区被病毒填充一段代码。
如下：

数据恢复后，没有引起足够的重视。等客户来拿资料时，才发现照片是破坏的。开始以为是偏移一个扇区是不是数据不完整。经过1天的时间做镜像，修改DBR的位置来调整定位MFT.完成后，原来的目录结构都找出来了。在欣喜之余，发现照片还是破坏的。真是怪了！用winhex打开磁盘定位文件。目录项已经没有了。偶然发现前面有一段代码
搜索此代码的文件头。发现每隔128扇区写一个扇区。原来是病毒把数据破坏了。这个病毒是从头开始向后一直写。很幸运的是最后一个分区数据还没有破坏。以后要做好病毒防范。