Відновлення комп’ютера після вірусної атаки

відновлення після вірусної атаки.

Найважчі поразки наносять комп’ютерні віруси, але і в цьому випадку диск нерідко вдається врятувати. Знищити дані на диску, особливо на великому, не так просто, як здається. Затирання даних – це процес дуже тривалий, і його не можна не помітити. Тому руйнівні віруси обмежуються тільки знищенням порівняно невеликих службових областей: таблиці розділів, завантажувальних записів, FAT-таблиць.

В результаті велика частина даних на диску залишається незайманою, хоча розібратися в них, не знаючи файлової структури, на жаль, непросто. Імовірність реанімації залежить від того, наскільки активно попрацював вірус.

Один з найбільш агресивних і відомих вірусів, відомий як «Чорнобиль»(За офіційною класифікацією – WIN95.CIH), знищує цілий мегабайт на початку диска, але навіть і після цієї руйнівної операції в деяких випадках вдається диск врятувати.

Для реанімації використовують спеціальні програми, що забезпечують пряме редагування записів на диску. Найбільш відома програма TestDisk 6.13 . Дана програма реально працює, сам перевіряв і до сьогоднішнього дня застосовуємо в практиці нашої фірми при необхідності.

Програма для відновлення даних. Перш за все призначена для відновлення втрачених розділів і / або відновлення завантажувального області дисків якщо ця проблема викликана програмно, вірусами або помилками людини. TestDisk може знаходити втрачені розділи для файлових систем: DOS, FAT12, FAT16, FAT32, Linux, Linux Swap, NTFS, BeFS (BeOS), BSD (FreeBSD / OpenBSD / NetBSD), Mac, ReiserFS, JFS, XFS, HFS, CramFS.

Реанімація спрощується, якщо диск мав файлову систему FAT32. Справа в тому, що таблиця FAT 32 має настільки великий розмір, що її друга копія виходить за межі першого мегабайта і тому залишається неушкодженою. Природно, недоторканим залишається і кореневої каталог.

Маючи другу копію FАТ-таблиці, можна встановити її кінець, початок і, відповідно, довжину. Перша копія FAT-таблиці повинна мати той же розмір – це дозволяє встановити її місце розташування і відновити копіюванням даних з збереженої другий копії.

Початок першої копії FАТ-таблиці визначає кінець завантажувального запису – її повертають в початковий стан за аналогією з іншим справним диском (добре, якщо є, де його взяти).

Нарешті, можна спробувати відновити і таблицю розділів. Якщо весь жорсткий диск складався тільки з одного розділу, то це зробити не дуже важко. Таку операцію проводять, використовуючи аналогію з іншим справним диском.

Оскільки тут багато засноване на методі проб і помилок, важливо, щоб програма, за допомогою якої здійснюється безпосереднє редагування секторів на диску, дозволяла після невдалих спроб виконати «відкат» – повернутися до попереднього стану.

І нарешті, практично завжди можливе відновлення диска, якщо був завчасно підготовлений його образ. Багато спеціальні програми, призначені для обслуговування дисків або для захисту від вірусів, дозволяють створити спеціальні файли образу диска. У них заноситься інформація з таблиці розділів, завантажувального запису, FАТ-таблиці і кореневого каталогу. Наприклад, програма R-Drive Image, створює такий образ диска, який дозволяє відновити диск навіть після необачного форматування.

Ссылка на основную публикацию