進入信息和網絡化的時代以來��,計算機正在我們的工作和生活中扮演著日益重要的角色。越來越多的用戶通過計算機來獲取信息�����、處理信息���,同時將自己最重要的信息以數據文件的形式保存在計算機中��。但是存儲在計算機上的數據并不像我們想象中的那么安全��,如果說,黑客們入侵計算機網絡事件是從計算機網絡中向外竊取信息情報的話�����。那么計算機病毒則是人們向內攻擊計算機網絡的方法了?�,F時病毒通過網絡傳播防不勝防��,稍不注意病毒就肆無忌憚的感染計算機系統。因此��,對計算機病毒最好是做到防患于未然�����,在病毒侵入系統之前即對其進行查殺���。另外�����,我們還需要掌握一些數據恢復的技術��,在數據受到病毒感染被破壞之后�����,進行數據恢復,將損失降到最低程度�����。
一��、對重要數據進行備份
當前數據的安全保護已經成為人們日常工作中的重中之重��,這和信息已經成為計算機病毒主要的攻擊對象是分不開的。有些病毒可以篡改�����、刪除用戶文件數據��,導致文件無法打開��,或文件丟失;有些病毒在硬盤上填寫大量垃圾數據�����,占用硬盤資源�����,導致計算機運行速度減慢��,性能降低��;有些更具破壞力的病毒則采用了修改系統數據的方法��,導致計算機無法正常啟動和運行。而CIH病毒則是通過破壞硬盤數據,導致系統癱瘓��,使得很多朋友都“欲哭無淚”慘透了��!
對數據進行備份是一種防范的辦法��,當某一數據被病毒破壞或人為損壞后,我們可以用備份的數據來恢復。這樣就增強了數據的安全性��,在數據被毀壞時更容易的進行恢復��。用戶對于硬盤的備份一般都采用兩種方式���,一種是用戶自己將硬盤文件拷貝到其他介質上��,如光盤、服務器等。另外一種方式是借助相關的軟件來完成日常的數據備份工作,目前一些殺毒軟件就包含了此項功能。由于這種方法不需要用戶的過多參與,實現起來比較簡單,所以受到了廣大用戶的喜愛��。在這里向大家推薦使用“瑞星”殺毒軟件��,因為它不僅能夠備份以上的硬盤數據��,而且可以讓用戶設定自動備份的時間���。打開“瑞星”主界面后���,點擊“設置”按鈕��,選擇“選項”,再點擊“硬盤備份(B)”按鈕�����,即可設定備份硬盤數據的方式���。以后���,“瑞星”就會按照您設定的方式自動備份硬盤數據�����。如果沒有“瑞星”,那么也可以用KV3000來備份�����,在DOS命令提示符下鍵入KV3000/B命令后�����,系統將向軟盤輸出兩個無病毒的硬盤主引導信息文件�����,即HDPT.DAT和HFBOOT.DAT,這兩個文件就是硬盤的分區表及主引導記錄的信息。
另外向大家推薦Norton Ghost軟件的使用,Norton Ghost是一個極為出色的硬盤“克隆”(Clone)工具���,它可以在最短的時間內給予你的硬盤數據以最強大的保護,它不但可以把一個硬盤中全部內容完全相同地復制到另一個硬盤中,還可以將一個磁盤中的全部內容復制為一個磁盤映像文件備份至另一個磁盤中��,這樣以后就能用鏡像文件還原系統或數據�����,最大限度地減少安裝操作系統和恢復數據的時間��。之外,Norton Ghost軟件支持Windows 9.x/NT的長件名�����,支持FAT16/32�����、NTFS、OS/2等多種分區��,這使得它能夠在Windows 9.x�����、Windows NT���、Windows XP�����,Unix等操作系統下進行硬盤備份,并且備份工作還可以在不同的存儲系統之間進行��?��?寺∧繕擞脖P過程中具備自動分區并格式化目標硬盤的能力�����。所以在進行數據備份工作方面���,和你使用手工備份或者是Windows自帶的備份工具的方法相比���,Norton Ghost將給你帶來極大的便利和空前的可靠性���。
二�����、CIH破壞的硬盤數據修復
CIH病毒是一位臺灣大學生編寫的,從臺灣傳入大陸地區的��。目前傳播的主要途徑主要通過Internet和電子郵件���,事實上隨著時間的推移��,其傳播主要仍將通過軟盤或光盤途徑�����。CIH病毒——屬文件型病毒,使用面向Windows的VxD技術編制���,主要感染Windows 95/98下的可執行文件,并且在DOS��、Windows3.2及Windows NT中無效���。正是因為CIH病毒獨特地使用了VxD技術�����,使得這種病毒在Windows環境下傳播�����,它的實時性和隱蔽性都特別強,使用一般反病毒軟件很難發現這種病毒在系統中的傳播�����。要知道CIH病毒每月26日都會發作的��,它不僅僅全面破壞計算機系統硬盤上的數據,而且還會對某些計算機主板的BIOS進行改寫�����。BIOS被改寫后��,系統則無法啟動�����。CIH病毒已被認定是首例能夠破壞計算機系統硬件的病毒,同時也是最具殺傷力的惡性病毒。
當我們沒有對數據進行備份、不小心感染了CIH病毒的情況下,如何才能恢復被病毒破壞的數據呢?方法是有的��,我們可以嘗試一下FinalData進行數據恢復���。
FinalData是一款強大的數據恢復工具軟件��,它能從磁盤中恢復任何格式的文件���,比如文件被誤刪除(并從回收站中清除)�����、FAT表或者磁盤根區被病毒侵蝕造成文件信息全部丟失、磁盤物理故障造成FAT表或者根區不可讀,以及磁盤格式造成的全部文件信息丟失之后���,FinalData都能通過直接掃描目標磁盤抽取并恢復出文件數據。另外FinalData軟件最大的閃光點就是在恢復數據過程中�����,不對磁盤進行任何寫操作���,避免了對被毀懷的數據帶來更大的災難��。
當CIH病毒發作時�����,會將亂碼覆蓋硬盤初始位置的2048個扇區。而這些扇區存儲的就是我們硬盤的主引導記錄(MBR)、系統隱藏扇區���、分區表以及引導分區(通常為C盤)的文件分配表(FAT表)等重要內容。我們知道當硬盤的這些關鍵內容被破壞之后,計算機已經不能正常啟動�����,想讀取原先保存的數據已經成為不可能�����,此外由于邏輯分區信息也被破壞�����,即使把硬盤拆下來掛到其他正常的計算機上,也不能直接讀取這塊盤上的任何數據���。由于被CIH覆蓋的只是系統引導信息、分區信息和C盤上的文件索引信息�����,保存在硬盤上的實際數據并沒有受到直接的破壞��。如果使用FinalData則可以讀取到硬盤的實際數據,因為FinalData的恢復機制是可以略過系統信息和索引信息���、直接訪問實際數據,然后就可以較輕松地把實際數據讀取出來備份到其他硬盤���。具體做法如下:由于計算機已經無法引導,需要把硬盤拆下來作為一個非引導盤掛到一個正常的��、裝有FinalData的計算機上���。由于該硬盤的分區表已被破壞�����,所以從資源管理器等工具是看不到該塊硬盤上的邏輯分區信息的��。此時啟動FinalData,通過選擇物理驅動器的方式選擇該硬盤���,然后使用“查找格式”功能,發現目標分區�����,對目標分區進行掃描���。將目標分區中發現的目錄和文件備份到本地硬盤上�����,完成對該分區的數據恢復���。
我們在FinalData軟件操作過程中看到的將是目錄���、文件等比較熟悉的內容,而非簇���、扇區���、二進制標志等底層信息�����。那為什么不能將目標盤修復到和以前一模一樣,而只是把受損硬盤上的數據讀取出來���,備份到其他硬盤上呢?實際上FinalData在整個恢復操作過程中只是對目標磁盤進行了只讀性操作���,沒有對其進行任何修改。這樣即使在恢復過程中有誤操作或者恢復不成功��,也不會對硬盤造成進一步的破壞。反之�����,如果是通過對目標盤的直接修補的方式試圖恢復數據。這類操作如果完全成功�����,那么丟失的數據能夠馬上在本地重現。但是這也是非常危險的,因為一般人不可能完全清楚硬盤受損前的分區實際大小、物理起始位置等詳細信息,所以修復本身是一種嘗試性的工作,當修復不成功時���,不但不能恢復數據���,還會對數據造成進一步的破壞,使后續的恢復工作變得更加困難。此外�����,目前的修復方法大部分只能恢復除C盤外的其他分區的內容(因為只有C盤的FAT表遭到了破壞)。而FinalData能夠對所有分區都進行恢復,這也是FinalData進行恢復被CIH破壞的數據的最大優勢所在。
三、恢復被病毒破壞的Word文件
當單個文件被病毒破壞,而先前系統中并沒有此文件存在,比如你剛剛寫好的Word文件�����,在剛存盤后就被病毒破壞了,使用數據恢復工具恢復出來的文件就是帶有病毒的文件��。對于這樣的文件�����,如何進行數據恢復呢�����?我們就以感染宏病毒的Word文件為例吧���!要知道——宏病毒與有用的正常宏都是采用了相同的語言編寫的��,只是這些宏的執行效果有害��,而且在編寫上利用了Word允許宏自動執行這一特點��,使用戶在打開文件時不知不覺地就運行了這些病毒程序�����。早期的宏病毒破壞方式往往是更改所附著的文檔內容、擾亂文檔的正常打印�����、開啟一個無法關閉的對話框或不斷開啟新的文件直到系統資源耗盡,Word運行出錯為止等等�����。隨著Office新版本的推出���,微軟不斷加強宏的功能��,沒想到宏病毒的危害也越來越厲害了�����。為了使Word更易用��,微軟在Word中集成了許多模板,如典雅型傳真�����、典雅型報告、典雅型通訊錄模板等��。這些模板不僅包含了相應類型文檔的一般格式,而且還允許用戶在模板內添加宏��,使得用戶在制作自己的特定格式文件時,減少重復勞動��。在所有這些模板中,最常用的就是Normal.dot模板(通用模板)�����,它是啟動Word時載入的缺省模板。所以當Word系統遭受感染后���,系統進行初始化時就會隨著Normal.dot的裝入而成為帶毒的Word系統��,繼而在打開和創建任何文檔時感染該文檔��。究竟應該如何清除病毒并恢復Word文件呢�����?
首先退出Word,然后到C盤跟目錄下察看有沒有Autoexec.dot文件,如果有這個文件��,而你又不知道它是什么時侯出現的話,證明Word文件已經被未知宏病毒感染,應該立即刪除它�����。這時候并不說明病毒被徹底刪除了,因為病毒原體還在該文件中,只是暫時不再活動,但肯定還會死灰復燃��。
為了徹底清除宏病毒�����,進入“文件”菜單,選擇“新建”對話框,在右下方選擇“通用模板”單選按鈕���,正常情況下��,可以在“模板”處見到“空白文檔”選擇項�����。如果沒有的話���,說明默認空白文檔模板文件Normal.dot(一般位于\Templates\目錄下,指的是Office的安裝目錄��,缺省為C:\Program Fil_es\Microsoft Office目錄)已經被病毒修改了�����。此時應該關閉Word程序��,如果你對Normal.dot文件進行了備份�����,可將該備份拷貝到原文件夾中覆蓋染毒的Normal.dot文件���;如果沒有對該文件進行備份���,則直接刪除此文件,而后再次啟動Word,選擇“文件”→“新建”菜單項��,在打開的“模板”對話框中的“新建”復選框中選中“模板”�����,完成后單擊“確定”按鈕在打開的空白文檔中設置好其默認字體后存盤退出���,此時Word自動創建了一個干凈的摹本文件Normal.dot。然后再進入Word���,打開原來的Normal.dot文件,���,并新建另一個空文檔��。此時將源文件的全部內容拷貝到新建的空白文檔中�����,關閉并刪除感染宏病毒的Normal.dot文件�����,最后將新文本保存為原文件名存儲。這樣���,宏病毒被徹底清除了,原文件也恢復了原樣�����,可以放心使用了��。對于其他被宏病毒感染的Word文件�����,除了使用殺毒工具進行病毒清除以外,還可以按照上面所講的方法原理進行“手工”恢復���。當然首先用殺毒工具查殺病毒之后再恢復文件最好���,這是因為有些宏病毒禁止了Word文件的宏編輯能力���。最后我們要掌握的要點是——只要在使用中不隨便讓Word執行來路不明的宏���,你就可以一直保持它的 “純凈”了�����。
四��、恢復被蠕蟲病毒破壞的數據
說起蠕蟲病毒大家絕不會感到陌生���,它是歷史上最悠久�����,種類上最多的一種計算機病毒���,它的原理是向系統中的可執行程序或其他文件中寫入含毒代碼��,來達到癱瘓計算機并破壞數據的目的。以當前流傳最廣的尼姆達蠕蟲為例�����,目前尼姆達蠕蟲已經有多個變種��,每個變種的破壞力和感染力有所不同,但是它們對計算機的網絡或單機的數據都有一定程度上的破壞力。查看您的各個邏輯驅動器中的文件夾�����,如果發現大量文件夾下都存在一個.eml文件���,長度為79225字節�����,基本上就可以確定了您已經中了現在流行極廣的尼姆達病毒了。它具有使磁盤可用空間急劇變小���,根本刪除不掉��;并且不能執行一些常用程序的特征���。如何查殺尼姆達蠕蟲�����,使被其破壞后的各種應用程序或文件恢復正常呢��?
如果用戶您不幸深中此毒,大為恐慌之余,還需保持冷靜���,首先要做的就是關閉活動的網絡連接���,避免病毒從網絡上再入侵您的機器���。打開進程管理器�����,查看進程列表��;關閉其中進程名稱為"xxx.tmp.exe"�����、"MMC.EXE"、"TFTP.EXE"以及"Load.exe"的進程(其中xxx為任意文件名)��。進程關閉后��,進入到系統的TEMP目錄���,將該目錄中的所有文件全部刪掉��;進入到系統的System目錄,查看Riched20.DLL的文件大小���,系統的正常文件大小應該在100K以上,而Concept病毒的副本大小為57344字節��,如果有長度為57344字節的Riched20.DLL�����,刪掉它���;繼續在系統的System目錄下尋找名稱為load.exe�����、長度為57344字節的文件���,刪掉它;在C:\���、D:\��、E:\三個邏輯盤的根目錄下尋找Admin.DLL文件���,如果在根目錄下存在該文件�����,則刪除它�����。其次��,對于Windows 9X操作系統��,用記事本打開系統目錄下打開System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,則改為“shell=explorer.exe”��,完成后保存退出��;對于WinNT或者Win2000以及Win XP操作系統,則需要打開“控制面板”→“管理工具”→“計算機管理”中��,將位于Administrator組中的guest用戶帳號刪除。完成以上操作以后��,用系統自帶的文件查找工具搜索整個機器�����,查找文件名為*.eml的文件,長度為79225字節的文件�����,并將這些文件全部刪除;查找系統中所有的超文本語言文件內容(如html��、htm、htt��、asp�����、shtml�����、shtm等)將其中包括有字符串如“”的文件刪除或清除該字符串���。
最后�����,我們還要使用新版的殺毒工具軟件查殺整個系統,將被感染的可執行文件(EXE)中的病毒清除��,被破壞的數據就得到了恢復�����。另外���,在清除尼姆達病毒后��,如果發現MS office出現運行異常的問題時�����,不要驚慌,這是由于尼姆達病毒用自身覆蓋了System目錄下的Riched20.DLL的文件���,而造成Word等字處理軟件不正常。解決辦法很簡單�����,只需從Windows安裝光盤里找到相應的文件重新拷貝回來就可以了���。對于Win98:在壓縮包Win98_35.CAB中,解開找到riched20.dll拷貝到system目錄�����、Win98se:在壓縮包Win98_41.CAB中�����。�����、WinME:在壓縮包Win_14.CAB中。對于Win2000:在system32\dllcache目錄有備份��,將它拷貝到system32目錄���。等等……另外,還有個很簡單的恢復方法�����,就是通過添加刪除Windows的寫字板程序���,也可恢復被感染的WORD等字處理軟件所需的riched20.dll文件。
以上方法也許是老生常談了�����,大家可能還有更好的辦法��。但各種病毒和黑客軟件還是依然存在的�����,而且發展極其迅速,盡管有了五花八門的網絡防火墻和殺毒軟件的保護,卻也時常令人防不勝防��。我們以往的“吃虧”正是由于我們太“輕敵”了��!我們必須做好重要數據或文件的備份工作��。在一旦數據被病毒破壞后,保證重要數據的盡快恢復���,把損失降低到最小或沒有損失——這才是我們的最終目的吧��! | 
