一个客户移动硬盘到电脑上能认到盘符,三个分区。但是都打不开,提示目录结构损坏。一般的病毒都是破坏MDR,DBR。这一次不是。从DBR定位MFT偏移一个扇区,该簇的第一个扇区被病毒填充一段代码。
如下:
数据恢复后,没有引起足够的重视。等客户来拿资料时,才发现照片是破坏的。开始以为是偏移一个扇区是不是数据不完整。经过1天的时间做镜像,修改DBR的位置来调整定位MFT.完成后,原来的目录结构都找出来了。在欣喜之余,发现照片还是破坏的。真是怪了!用winhex打开磁盘定位文件。目录项已经没有了。偶然发现前面有一段代码
搜索此代码的文件头。发现每隔128扇区写一个扇区。原来是病毒把数据破坏了。这个病毒是从头开始向后一直写。很幸运的是最后一个分区数据还没有破坏。以后要做好病毒防范。