進(jìn)入信息和網(wǎng)絡(luò)化的時(shí)代以來(lái),計(jì)算機(jī)正在我們的工作和生活中扮演著日益重要的角色。越來(lái)越多的用戶通過(guò)計(jì)算機(jī)來(lái)獲取信息、處理信息,同時(shí)將自己最重要的信息以數(shù)據(jù)文件的形式保存在計(jì)算機(jī)中。但是存儲(chǔ)在計(jì)算機(jī)上的數(shù)據(jù)并不像我們想象中的那么安全,如果說(shuō),黑客們?nèi)肭钟?jì)算機(jī)網(wǎng)絡(luò)事件是從計(jì)算機(jī)網(wǎng)絡(luò)中向外竊取信息情報(bào)的話。那么計(jì)算機(jī)病毒則是人們向內(nèi)攻擊計(jì)算機(jī)網(wǎng)絡(luò)的方法了。現(xiàn)時(shí)病毒通過(guò)網(wǎng)絡(luò)傳播防不勝防,稍不注意病毒就肆無(wú)忌憚的感染計(jì)算機(jī)系統(tǒng)。因此,對(duì)計(jì)算機(jī)病毒最好是做到防患于未然,在病毒侵入系統(tǒng)之前即對(duì)其進(jìn)行查殺。另外,我們還需要掌握一些數(shù)據(jù)恢復(fù)的技術(shù),在數(shù)據(jù)受到病毒感染被破壞之后,進(jìn)行數(shù)據(jù)恢復(fù),將損失降到最低程度。
一、對(duì)重要數(shù)據(jù)進(jìn)行備份
當(dāng)前數(shù)據(jù)的安全保護(hù)已經(jīng)成為人們?nèi)粘9ぷ髦械闹刂兄兀@和信息已經(jīng)成為計(jì)算機(jī)病毒主要的攻擊對(duì)象是分不開的。有些病毒可以篡改、刪除用戶文件數(shù)據(jù),導(dǎo)致文件無(wú)法打開,或文件丟失;有些病毒在硬盤上填寫大量垃圾數(shù)據(jù),占用硬盤資源,導(dǎo)致計(jì)算機(jī)運(yùn)行速度減慢,性能降低;有些更具破壞力的病毒則采用了修改系統(tǒng)數(shù)據(jù)的方法,導(dǎo)致計(jì)算機(jī)無(wú)法正常啟動(dòng)和運(yùn)行。而CIH病毒則是通過(guò)破壞硬盤數(shù)據(jù),導(dǎo)致系統(tǒng)癱瘓,使得很多朋友都“欲哭無(wú)淚”慘透了!
對(duì)數(shù)據(jù)進(jìn)行備份是一種防范的辦法,當(dāng)某一數(shù)據(jù)被病毒破壞或人為損壞后,我們可以用備份的數(shù)據(jù)來(lái)恢復(fù)。這樣就增強(qiáng)了數(shù)據(jù)的安全性,在數(shù)據(jù)被毀壞時(shí)更容易的進(jìn)行恢復(fù)。用戶對(duì)于硬盤的備份一般都采用兩種方式,一種是用戶自己將硬盤文件拷貝到其他介質(zhì)上,如光盤、服務(wù)器等。另外一種方式是借助相關(guān)的軟件來(lái)完成日常的數(shù)據(jù)備份工作,目前一些殺毒軟件就包含了此項(xiàng)功能。由于這種方法不需要用戶的過(guò)多參與,實(shí)現(xiàn)起來(lái)比較簡(jiǎn)單,所以受到了廣大用戶的喜愛。在這里向大家推薦使用“瑞星”殺毒軟件,因?yàn)樗粌H能夠備份以上的硬盤數(shù)據(jù),而且可以讓用戶設(shè)定自動(dòng)備份的時(shí)間。打開“瑞星”主界面后,點(diǎn)擊“設(shè)置”按鈕,選擇“選項(xiàng)”,再點(diǎn)擊“硬盤備份(B)”按鈕,即可設(shè)定備份硬盤數(shù)據(jù)的方式。以后,“瑞星”就會(huì)按照您設(shè)定的方式自動(dòng)備份硬盤數(shù)據(jù)。如果沒有“瑞星”,那么也可以用KV3000來(lái)備份,在DOS命令提示符下鍵入KV3000/B命令后,系統(tǒng)將向軟盤輸出兩個(gè)無(wú)病毒的硬盤主引導(dǎo)信息文件,即HDPT.DAT和HFBOOT.DAT,這兩個(gè)文件就是硬盤的分區(qū)表及主引導(dǎo)記錄的信息。
另外向大家推薦Norton Ghost軟件的使用,Norton Ghost是一個(gè)極為出色的硬盤“克隆”(Clone)工具,它可以在最短的時(shí)間內(nèi)給予你的硬盤數(shù)據(jù)以最強(qiáng)大的保護(hù),它不但可以把一個(gè)硬盤中全部?jī)?nèi)容完全相同地復(fù)制到另一個(gè)硬盤中,還可以將一個(gè)磁盤中的全部?jī)?nèi)容復(fù)制為一個(gè)磁盤映像文件備份至另一個(gè)磁盤中,這樣以后就能用鏡像文件還原系統(tǒng)或數(shù)據(jù),最大限度地減少安裝操作系統(tǒng)和恢復(fù)數(shù)據(jù)的時(shí)間。之外,Norton Ghost軟件支持Windows 9.x/NT的長(zhǎng)件名,支持FAT16/32、NTFS、OS/2等多種分區(qū),這使得它能夠在Windows 9.x、Windows NT、Windows XP,Unix等操作系統(tǒng)下進(jìn)行硬盤備份,并且備份工作還可以在不同的存儲(chǔ)系統(tǒng)之間進(jìn)行。克隆目標(biāo)硬盤過(guò)程中具備自動(dòng)分區(qū)并格式化目標(biāo)硬盤的能力。所以在進(jìn)行數(shù)據(jù)備份工作方面,和你使用手工備份或者是Windows自帶的備份工具的方法相比,Norton Ghost將給你帶來(lái)極大的便利和空前的可靠性。
二、CIH破壞的硬盤數(shù)據(jù)修復(fù)
CIH病毒是一位臺(tái)灣大學(xué)生編寫的,從臺(tái)灣傳入大陸地區(qū)的。目前傳播的主要途徑主要通過(guò)Internet和電子郵件,事實(shí)上隨著時(shí)間的推移,其傳播主要仍將通過(guò)軟盤或光盤途徑。CIH病毒——屬文件型病毒,使用面向Windows的VxD技術(shù)編制,主要感染W(wǎng)indows 95/98下的可執(zhí)行文件,并且在DOS、Windows3.2及Windows NT中無(wú)效。正是因?yàn)镃IH病毒獨(dú)特地使用了VxD技術(shù),使得這種病毒在Windows環(huán)境下傳播,它的實(shí)時(shí)性和隱蔽性都特別強(qiáng),使用一般反病毒軟件很難發(fā)現(xiàn)這種病毒在系統(tǒng)中的傳播。要知道CIH病毒每月26日都會(huì)發(fā)作的,它不僅僅全面破壞計(jì)算機(jī)系統(tǒng)硬盤上的數(shù)據(jù),而且還會(huì)對(duì)某些計(jì)算機(jī)主板的BIOS進(jìn)行改寫。BIOS被改寫后,系統(tǒng)則無(wú)法啟動(dòng)。CIH病毒已被認(rèn)定是首例能夠破壞計(jì)算機(jī)系統(tǒng)硬件的病毒,同時(shí)也是最具殺傷力的惡性病毒。
當(dāng)我們沒有對(duì)數(shù)據(jù)進(jìn)行備份、不小心感染了CIH病毒的情況下,如何才能恢復(fù)被病毒破壞的數(shù)據(jù)呢?方法是有的,我們可以嘗試一下FinalData進(jìn)行數(shù)據(jù)恢復(fù)。
FinalData是一款強(qiáng)大的數(shù)據(jù)恢復(fù)工具軟件,它能從磁盤中恢復(fù)任何格式的文件,比如文件被誤刪除(并從回收站中清除)、FAT表或者磁盤根區(qū)被病毒侵蝕造成文件信息全部丟失、磁盤物理故障造成FAT表或者根區(qū)不可讀,以及磁盤格式造成的全部文件信息丟失之后,F(xiàn)inalData都能通過(guò)直接掃描目標(biāo)磁盤抽取并恢復(fù)出文件數(shù)據(jù)。另外FinalData軟件最大的閃光點(diǎn)就是在恢復(fù)數(shù)據(jù)過(guò)程中,不對(duì)磁盤進(jìn)行任何寫操作,避免了對(duì)被毀懷的數(shù)據(jù)帶來(lái)更大的災(zāi)難。
當(dāng)CIH病毒發(fā)作時(shí),會(huì)將亂碼覆蓋硬盤初始位置的2048個(gè)扇區(qū)。而這些扇區(qū)存儲(chǔ)的就是我們硬盤的主引導(dǎo)記錄(MBR)、系統(tǒng)隱藏扇區(qū)、分區(qū)表以及引導(dǎo)分區(qū)(通常為C盤)的文件分配表(FAT表)等重要內(nèi)容。我們知道當(dāng)硬盤的這些關(guān)鍵內(nèi)容被破壞之后,計(jì)算機(jī)已經(jīng)不能正常啟動(dòng),想讀取原先保存的數(shù)據(jù)已經(jīng)成為不可能,此外由于邏輯分區(qū)信息也被破壞,即使把硬盤拆下來(lái)掛到其他正常的計(jì)算機(jī)上,也不能直接讀取這塊盤上的任何數(shù)據(jù)。由于被CIH覆蓋的只是系統(tǒng)引導(dǎo)信息、分區(qū)信息和C盤上的文件索引信息,保存在硬盤上的實(shí)際數(shù)據(jù)并沒有受到直接的破壞。如果使用FinalData則可以讀取到硬盤的實(shí)際數(shù)據(jù),因?yàn)镕inalData的恢復(fù)機(jī)制是可以略過(guò)系統(tǒng)信息和索引信息、直接訪問(wèn)實(shí)際數(shù)據(jù),然后就可以較輕松地把實(shí)際數(shù)據(jù)讀取出來(lái)備份到其他硬盤。具體做法如下:由于計(jì)算機(jī)已經(jīng)無(wú)法引導(dǎo),需要把硬盤拆下來(lái)作為一個(gè)非引導(dǎo)盤掛到一個(gè)正常的、裝有FinalData的計(jì)算機(jī)上。由于該硬盤的分區(qū)表已被破壞,所以從資源管理器等工具是看不到該塊硬盤上的邏輯分區(qū)信息的。此時(shí)啟動(dòng)FinalData,通過(guò)選擇物理驅(qū)動(dòng)器的方式選擇該硬盤,然后使用“查找格式”功能,發(fā)現(xiàn)目標(biāo)分區(qū),對(duì)目標(biāo)分區(qū)進(jìn)行掃描。將目標(biāo)分區(qū)中發(fā)現(xiàn)的目錄和文件備份到本地硬盤上,完成對(duì)該分區(qū)的數(shù)據(jù)恢復(fù)。
我們?cè)贔inalData軟件操作過(guò)程中看到的將是目錄、文件等比較熟悉的內(nèi)容,而非簇、扇區(qū)、二進(jìn)制標(biāo)志等底層信息。那為什么不能將目標(biāo)盤修復(fù)到和以前一模一樣,而只是把受損硬盤上的數(shù)據(jù)讀取出來(lái),備份到其他硬盤上呢?實(shí)際上FinalData在整個(gè)恢復(fù)操作過(guò)程中只是對(duì)目標(biāo)磁盤進(jìn)行了只讀性操作,沒有對(duì)其進(jìn)行任何修改。這樣即使在恢復(fù)過(guò)程中有誤操作或者恢復(fù)不成功,也不會(huì)對(duì)硬盤造成進(jìn)一步的破壞。反之,如果是通過(guò)對(duì)目標(biāo)盤的直接修補(bǔ)的方式試圖恢復(fù)數(shù)據(jù)。這類操作如果完全成功,那么丟失的數(shù)據(jù)能夠馬上在本地重現(xiàn)。但是這也是非常危險(xiǎn)的,因?yàn)橐话闳瞬豢赡芡耆宄脖P受損前的分區(qū)實(shí)際大小、物理起始位置等詳細(xì)信息,所以修復(fù)本身是一種嘗試性的工作,當(dāng)修復(fù)不成功時(shí),不但不能恢復(fù)數(shù)據(jù),還會(huì)對(duì)數(shù)據(jù)造成進(jìn)一步的破壞,使后續(xù)的恢復(fù)工作變得更加困難。此外,目前的修復(fù)方法大部分只能恢復(fù)除C盤外的其他分區(qū)的內(nèi)容(因?yàn)橹挥蠧盤的FAT表遭到了破壞)。而FinalData能夠?qū)λ蟹謪^(qū)都進(jìn)行恢復(fù),這也是FinalData進(jìn)行恢復(fù)被CIH破壞的數(shù)據(jù)的最大優(yōu)勢(shì)所在。
三、恢復(fù)被病毒破壞的Word文件
當(dāng)單個(gè)文件被病毒破壞,而先前系統(tǒng)中并沒有此文件存在,比如你剛剛寫好的Word文件,在剛存盤后就被病毒破壞了,使用數(shù)據(jù)恢復(fù)工具恢復(fù)出來(lái)的文件就是帶有病毒的文件。對(duì)于這樣的文件,如何進(jìn)行數(shù)據(jù)恢復(fù)呢?我們就以感染宏病毒的Word文件為例吧!要知道——宏病毒與有用的正常宏都是采用了相同的語(yǔ)言編寫的,只是這些宏的執(zhí)行效果有害,而且在編寫上利用了Word允許宏自動(dòng)執(zhí)行這一特點(diǎn),使用戶在打開文件時(shí)不知不覺地就運(yùn)行了這些病毒程序。早期的宏病毒破壞方式往往是更改所附著的文檔內(nèi)容、擾亂文檔的正常打印、開啟一個(gè)無(wú)法關(guān)閉的對(duì)話框或不斷開啟新的文件直到系統(tǒng)資源耗盡,Word運(yùn)行出錯(cuò)為止等等。隨著Office新版本的推出,微軟不斷加強(qiáng)宏的功能,沒想到宏病毒的危害也越來(lái)越厲害了。為了使Word更易用,微軟在Word中集成了許多模板,如典雅型傳真、典雅型報(bào)告、典雅型通訊錄模板等。這些模板不僅包含了相應(yīng)類型文檔的一般格式,而且還允許用戶在模板內(nèi)添加宏,使得用戶在制作自己的特定格式文件時(shí),減少重復(fù)勞動(dòng)。在所有這些模板中,最常用的就是Normal.dot模板(通用模板),它是啟動(dòng)Word時(shí)載入的缺省模板。所以當(dāng)Word系統(tǒng)遭受感染后,系統(tǒng)進(jìn)行初始化時(shí)就會(huì)隨著Normal.dot的裝入而成為帶毒的Word系統(tǒng),繼而在打開和創(chuàng)建任何文檔時(shí)感染該文檔。究竟應(yīng)該如何清除病毒并恢復(fù)Word文件呢?
首先退出Word,然后到C盤跟目錄下察看有沒有Autoexec.dot文件,如果有這個(gè)文件,而你又不知道它是什么時(shí)侯出現(xiàn)的話,證明Word文件已經(jīng)被未知宏病毒感染,應(yīng)該立即刪除它。這時(shí)候并不說(shuō)明病毒被徹底刪除了,因?yàn)椴《驹w還在該文件中,只是暫時(shí)不再活動(dòng),但肯定還會(huì)死灰復(fù)燃。
為了徹底清除宏病毒,進(jìn)入“文件”菜單,選擇“新建”對(duì)話框,在右下方選擇“通用模板”單選按鈕,正常情況下,可以在“模板”處見到“空白文檔”選擇項(xiàng)。如果沒有的話,說(shuō)明默認(rèn)空白文檔模板文件Normal.dot(一般位于\Templates\目錄下,指的是Office的安裝目錄,缺省為C:\Program Fil_es\Microsoft Office目錄)已經(jīng)被病毒修改了。此時(shí)應(yīng)該關(guān)閉Word程序,如果你對(duì)Normal.dot文件進(jìn)行了備份,可將該備份拷貝到原文件夾中覆蓋染毒的Normal.dot文件;如果沒有對(duì)該文件進(jìn)行備份,則直接刪除此文件,而后再次啟動(dòng)Word,選擇“文件”→“新建”菜單項(xiàng),在打開的“模板”對(duì)話框中的“新建”復(fù)選框中選中“模板”,完成后單擊“確定”按鈕在打開的空白文檔中設(shè)置好其默認(rèn)字體后存盤退出,此時(shí)Word自動(dòng)創(chuàng)建了一個(gè)干凈的摹本文件Normal.dot。然后再進(jìn)入Word,打開原來(lái)的Normal.dot文件,,并新建另一個(gè)空文檔。此時(shí)將源文件的全部?jī)?nèi)容拷貝到新建的空白文檔中,關(guān)閉并刪除感染宏病毒的Normal.dot文件,最后將新文本保存為原文件名存儲(chǔ)。這樣,宏病毒被徹底清除了,原文件也恢復(fù)了原樣,可以放心使用了。對(duì)于其他被宏病毒感染的Word文件,除了使用殺毒工具進(jìn)行病毒清除以外,還可以按照上面所講的方法原理進(jìn)行“手工”恢復(fù)。當(dāng)然首先用殺毒工具查殺病毒之后再恢復(fù)文件最好,這是因?yàn)橛行┖瓴《窘沽薟ord文件的宏編輯能力。最后我們要掌握的要點(diǎn)是——只要在使用中不隨便讓W(xué)ord執(zhí)行來(lái)路不明的宏,你就可以一直保持它的 “純凈”了。
四、恢復(fù)被蠕蟲病毒破壞的數(shù)據(jù)
說(shuō)起蠕蟲病毒大家絕不會(huì)感到陌生,它是歷史上最悠久,種類上最多的一種計(jì)算機(jī)病毒,它的原理是向系統(tǒng)中的可執(zhí)行程序或其他文件中寫入含毒代碼,來(lái)達(dá)到癱瘓計(jì)算機(jī)并破壞數(shù)據(jù)的目的。以當(dāng)前流傳最廣的尼姆達(dá)蠕蟲為例,目前尼姆達(dá)蠕蟲已經(jīng)有多個(gè)變種,每個(gè)變種的破壞力和感染力有所不同,但是它們對(duì)計(jì)算機(jī)的網(wǎng)絡(luò)或單機(jī)的數(shù)據(jù)都有一定程度上的破壞力。查看您的各個(gè)邏輯驅(qū)動(dòng)器中的文件夾,如果發(fā)現(xiàn)大量文件夾下都存在一個(gè).eml文件,長(zhǎng)度為79225字節(jié),基本上就可以確定了您已經(jīng)中了現(xiàn)在流行極廣的尼姆達(dá)病毒了。它具有使磁盤可用空間急劇變小,根本刪除不掉;并且不能執(zhí)行一些常用程序的特征。如何查殺尼姆達(dá)蠕蟲,使被其破壞后的各種應(yīng)用程序或文件恢復(fù)正常呢?
如果用戶您不幸深中此毒,大為恐慌之余,還需保持冷靜,首先要做的就是關(guān)閉活動(dòng)的網(wǎng)絡(luò)連接,避免病毒從網(wǎng)絡(luò)上再入侵您的機(jī)器。打開進(jìn)程管理器,查看進(jìn)程列表;關(guān)閉其中進(jìn)程名稱為"xxx.tmp.exe"、"MMC.EXE"、"TFTP.EXE"以及"Load.exe"的進(jìn)程(其中xxx為任意文件名)。進(jìn)程關(guān)閉后,進(jìn)入到系統(tǒng)的TEMP目錄,將該目錄中的所有文件全部刪掉;進(jìn)入到系統(tǒng)的System目錄,查看Riched20.DLL的文件大小,系統(tǒng)的正常文件大小應(yīng)該在100K以上,而Concept病毒的副本大小為57344字節(jié),如果有長(zhǎng)度為57344字節(jié)的Riched20.DLL,刪掉它;繼續(xù)在系統(tǒng)的System目錄下尋找名稱為load.exe、長(zhǎng)度為57344字節(jié)的文件,刪掉它;在C:\、D:\、E:\三個(gè)邏輯盤的根目錄下尋找Admin.DLL文件,如果在根目錄下存在該文件,則刪除它。其次,對(duì)于Windows 9X操作系統(tǒng),用記事本打開系統(tǒng)目錄下打開System.ini文件,在[load]中如果有一行“shell=explorer.exe load.exe -dontrunold”,則改為“shell=explorer.exe”,完成后保存退出;對(duì)于WinNT或者Win2000以及Win XP操作系統(tǒng),則需要打開“控制面板”→“管理工具”→“計(jì)算機(jī)管理”中,將位于Administrator組中的guest用戶帳號(hào)刪除。完成以上操作以后,用系統(tǒng)自帶的文件查找工具搜索整個(gè)機(jī)器,查找文件名為*.eml的文件,長(zhǎng)度為79225字節(jié)的文件,并將這些文件全部刪除;查找系統(tǒng)中所有的超文本語(yǔ)言文件內(nèi)容(如html、htm、htt、asp、shtml、shtm等)將其中包括有字符串如“”的文件刪除或清除該字符串。
最后,我們還要使用新版的殺毒工具軟件查殺整個(gè)系統(tǒng),將被感染的可執(zhí)行文件(EXE)中的病毒清除,被破壞的數(shù)據(jù)就得到了恢復(fù)。另外,在清除尼姆達(dá)病毒后,如果發(fā)現(xiàn)MS office出現(xiàn)運(yùn)行異常的問(wèn)題時(shí),不要驚慌,這是由于尼姆達(dá)病毒用自身覆蓋了System目錄下的Riched20.DLL的文件,而造成Word等字處理軟件不正常。解決辦法很簡(jiǎn)單,只需從Windows安裝光盤里找到相應(yīng)的文件重新拷貝回來(lái)就可以了。對(duì)于Win98:在壓縮包Win98_35.CAB中,解開找到riched20.dll拷貝到system目錄、Win98se:在壓縮包Win98_41.CAB中。、WinME:在壓縮包Win_14.CAB中。對(duì)于Win2000:在system32\dllcache目錄有備份,將它拷貝到system32目錄。等等……另外,還有個(gè)很簡(jiǎn)單的恢復(fù)方法,就是通過(guò)添加刪除Windows的寫字板程序,也可恢復(fù)被感染的WORD等字處理軟件所需的riched20.dll文件。
以上方法也許是老生常談了,大家可能還有更好的辦法。但各種病毒和黑客軟件還是依然存在的,而且發(fā)展極其迅速,盡管有了五花八門的網(wǎng)絡(luò)防火墻和殺毒軟件的保護(hù),卻也時(shí)常令人防不勝防。我們以往的“吃虧”正是由于我們太“輕敵”了!我們必須做好重要數(shù)據(jù)或文件的備份工作。在一旦數(shù)據(jù)被病毒破壞后,保證重要數(shù)據(jù)的盡快恢復(fù),把損失降低到最小或沒有損失——這才是我們的最終目的吧! | 
