The OpenNET Project / Index page

[ новости /+++ | форум | wiki | теги | ]

Восстановление информации, повреждённой вирусом Win95.CIH


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>
- TMN.SOFTWARE (2:5077/15.22) ---------------------------------- TMN.SOFTWARE -
 From : Alexey Gagarin                      2:5077/3.14     13 Mar 01  00:08:38
 Subj : Восстановление информации, повреждённой вирусом Win95.CIH
-------------------------------------------------------------------------------
Может пригодится кому...

http://www.ixbt.com/storage/cih-new.shtml

Восстановление информации, повреждённой вирусом Win95.CIH


После   публикации   статьи   с   описанием   алгоритма,  позволяющего
восстанавливать  информацию  на диске, подвергшемся воздействию вируса
Win95.CIH,  стали  приходить  письма,  авторы  которых предлагают свои
способы  решения  проблемы.  Сейчас  вам  предлагается один из них. По
утверждению  автора,  он  позволяет восстановить более 90% информации.
Данный   материал  рассчитан  на  пользователей  имеющих  маломальское
представление  о  структуре  файловых  систем  FAT12,  FAT16,  FAT32 и
умеющих   работать   с  программой  DISKEDIT.  Список  того,  что  нам
потребуется:

DISKEDIT.EXE - дисковый редактор

FDISK.EXE - программа для разбиения жестких дисков

FORMAT.COM - программа для форматирования дисков

DUB.EXE - программа для сравнения файлов (скачать можно здесь)
http://www.ixbt.com/storage/cih/dub.exe

Дополнительный жесткий диск для сохранения FAT и ROOT Список обозначений:

MBR (Master Boot Record)-главная загрузочная запись

PT (Partition Table)-таблица разделов

BR (Boot Record)-загрузочная запись

FAT (File Allocation Table)-таблица размещения файлов

ROOT  -корневой  каталог  Итак,  перейдём от слов к делу. Данный вирус
уничтожает  каждый  восьмой  сектор  всех  жестких  дисков,  начиная с
первого (из личного опыта). Из этого следует:
Во  всех  случаях теряется MBR и PT (Они располагаются в одном секторе
Cyl:0,Side:0,Sec:1)
Возможна потеря BR (Обычно в секторе Cyl:0,Side:1,Sec:1)

Частично  разрушены  FAT.  (Их  две  копии.  Первая копия начинается с
сектора Cyl:0,Side:1,Sec:33, а вторая следом за ней)
Частично  повреждено содержимое файлов лежащих в начальных секторах (в
основном  это  файлы  операционной  системы,  и интерес для нас они не
представляют). Вот они то и составляют тот процент информации, который
мы   восстановить   не   сможем.  Из  этого  следует,  что  нам  нужно
восстановить  MBR, PT, BR, FAT. Hе пугайтесь, на самом деле не все так
трудно как кажется.

Hачнём по порядку.


Восстановление  FAT  Самое  интересное  для  нас  представляет FAT. Их
обычно  две  копии,  и в обоих повреждения в разных местах. То есть из
двух  испорченных  FAT  нам  надо  собрать одну рабочую. Для этой цели
будем  использовать  программу  DUB.EXE  (Visual  File  Compare & Edit
Utility/Rumkovsky Ingar).
Запускаем   DISKEDIT  и  получаем  доступ  к  HDD  как  к  физическому
устройству  (Alt+D).  Переходим на сектор Cyl:0,Side:1,Sec:33 (Alt+P),
(Обычно здесь начинается первая копия FAT) или находим её начало через
меню   Tools->FindObject->FAT   и  запоминаем  адрес  сектора.  Делаем
повторить  поиск  Tools->FindObject->FAT это будет начало второй копии
FAT.  Из  начального  сектора  второй  копии вычитаем начальный сектор
первой  получаем  размер  FAT  в  секторах. Теперь нам известны адреса
расположения  таблиц  и их размер. Сохраняем обе FAT на другой жесткий
диск   файлами.   А  делается  это  следующим  образом.  Переходим  на
физический сектор (Alt+P) и указываем адрес начала первой таблицы, а в
количестве секторов заносим размер FAT который нам уже известен, далее
(Alt+W) to_a_File. Указываем путь, куда сохранять и название.
То  же  самое  проделываем  со  второй  копией.  Теперь остаётся самое
кропотливое  -  собрать  из двух испорченных FAT одну рабочую. Причём,
чем  больше  был  объём  диска,  тем больше будут таблицы FAT. Так что
посидеть придётся долго.
Запускаем DUB.EXE fat1 fat2
Где:
fat1 - файл с первой копией FAT
fat2  -  файл  с  второй  копией FAT Появятся два окна. В верхнем окне
первый  файл  и  в  нижнем соответственно второй. Отличающиеся байты в
окнах  помечаются желтым цветом. Суть состоит в том, что бы определить
сбойный  участок  в  нижнем  окне  и заменить его участком из верхнего
окна.   Делается   это   клавишей  (F6).  Определять  придётся  самому
визуально.  Внешне  содержимое  FAT  похоже  на  массив  чисел. Hачало
массива  состоит  из  маленьких  чисел,  которые увеличиваются по мере
приближения  к  концу  файла.  Так  что  если  то,  что  вы видите, не
соответствует этому, то нажимайте клавишу (F6). Передвижение по файлам
производится   клавишами   управления  курсором.  После  того  как  вы
добрались  до  конца  файла,  нажмите  (ESC или F10), файл сохраняется
автоматически. Таким путём мы получаем рабочую копию FAT в файле fat2.
Далее  находим  и  запоминаем  местонахождение  ROOT (существует также
множество  методов  поиска). Один из них: Переходим в начальный сектор
диска,  вызываем  команду  Tools->FindObject->Subdirectory, то, что он
покажет  и есть ROOT. Второй метод: ROOT начинается после второй копии
FAT,  так что ищите его там. Hажимаем (F4) - переход в режим просмотра
каталогов.  Смотрим  где  заканчивается ROOT, соответственно вычисляем
его  размер (из конечного сектора вычитаем начальный ). Сохраняем ROOT
на диск файлом (делается это также как и с FAT ).

Восстановление  MBR,  PT и BR Запускаем FDISK. Создаём основной раздел
такого  же  размера, какой у вас был до уничтожения вирусом (это очень
важно,  иначе  размеры FAT могут отличаться, да и ROOT может оказаться
не  в  том месте). Выходим и делаем перезагрузку. Запускаем "FORMAT /U
/S"  Таким  путём  MBR,  PT  и BR мы восстановили. Запускаем DISKEDIT,
копируем  на  место  первой  и  второй копии FAT нашу исправленную FAT
(местонахождение   FAT   должно   совпадать   с   тем,   что  было  до
форматирования).  Копируем на место нового ROOT наш старый сохранённый
ROOT  (местонахождение  ROOT  должно  совпадать  с  тем,  что  было до
форматирования).  Перезагружаемся и наслаждаемся. Всё восстановлено. В
принципе,  имея  определённый  опыт  это  всё можно проделать только с
помощью DISKEDIT и DUB.EXE, не используя программы FDISK и FORMAT.



Валентин Грицингер (selenoid@chat.ru, ICQ: 61306133)
Опубликовано - 12 марта 2001 года




---
 * Origin:  (2:5077/3.14)


<< Предыдущая ИНДЕКС Поиск в статьях src Установить закладку Перейти на закладку Следующая >>

Обсуждение [ RSS ]
  • 1, Валентин (??), 07:03, 11/01/2019 [ответить]  
  • +/
    Хорошая статья. Но замечательная программа Dup от 1991 года. Ее же сейчас найти сложновато. А нормальных аналогов нет. Приходится окна WinHex использовать или подобные проги вместо удобной Dup.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Заголовок:
    Текст:




    Спонсоры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей
    Created 1996-2022 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру