对于被病毒破坏文件的恢复总结

小程子 · 发表于 2009-4-21 12:35:23

最近处理了很多病毒造成的数据丟失、损坏的问题，有成功的也有失败的可以说是“喜忧半掺”。现在病毒的变化应该引起我们的注意了，当然这些问题中绝大部分是WINDOWS下的

病毒。根据最近处理的问题我简单总结了一下：

1、NTFS和FAT32分区中被病毒感染后，恢复成功率最高的是NTFS

2、病毒已经由单纯的破坏DBR、FAT、MFT过渡到了在单个文件的数据区中写入代码，只要文件一被执行同时就触发了病毒。

3、中毒后最好不要用杀毒软件查杀，一旦病毒主体被破坏隐藏在单个文件中的代码在下次执行时就会自动破坏文件。有一点“宁为玉碎，不为瓦全”的意思

4、某些病毒运用了加密技术对文件进行加密

可以看到第3个是最不容易被恢复的，很不幸我今天就遇到了一例。病毒把用户最常用的文件中都自动加载了代码（比如DOC或者AUTOCAD文件），当然这还是好的，从我分析的结果来看在用户加装了杀毒软件杀毒以后，所有最后一次访问的文件只要被加载了代码的通通被病毒破坏，破坏现象为对数据区进行反复写入一些随机代码或者是在某一章节加入随机代码（如在某个10页的WORD文件中，病毒会随机在第3页第4页写入代码）。这就是最不幸的事了，也是做为数据恢复者最不愿意遇到的－－－－数据区被改写（注意文件头和尾并没有被破坏）。

还有经过我的检测目前的杀毒软件只能识别到病毒的主体，而对于隐藏在单个文件中的病毒代码是无能为力的！！！！大家讨论一下有什么好办法没有？