|
昨天一边学着FAT的磁盘格式,一边开着各种恢复软件对备份盘进行尝试,现小结一下(仅供参考,有中USBC病毒的同仁,如盘里的东东很宝贵,请先用winhex备份一下,对备份进行操作;至于无所谓的,那大可以直接试试)。 USBC病毒描述 USBC尚未有人确认为病毒,在该乱码文件出现前,移动设备无法安全移除,直接拔掉后,再次接入移动设备,则出现USBCXX字样乱码无法删除文件(U盘,SD卡等小容量移动存储设备,甚至可能出现USBCXX文件大小大于移动设备实际存储容量的现象),有时伴随有部分或所有文件丢失,严重者移动设备变为RAW格式,或提示设备损坏无法打开请格式化。但已知其对移动设备硬件没有影响,格式化后移动设备可正常使用。  USBC病毒原理(引自walysclw的《USBC病毒修复方法》,附件中有,有技术的可以参考) 1、USBC病毒不是什么autorun类型的低级弱智病毒,猜测是挂于usbstor驱动的upper filter driver,但目前未经证实,以下暂且基于这个假设。 2、由于挂于usbstor驱动,故只能对U盘或移动硬盘等造成危害,而对主机硬盘无影响。 3、工作原理应该是中间处理了发往usbstor的写缓冲区,故只有向USBstor写时才会危害,其他操作不会影响(注:你不写文件系统不意味着系统不写)。 4、它拦截了发往usbstor的IRP写请求,从中获知写缓冲区,将写缓冲区向后移位20h字节,而后在前面的20h字节里填上 55 53 42 43 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ??(??表示不定) 其中55 53 42 43是确定无疑的,其ASCII为"USBC"(引号内),然后再将IRP写请求继续发给usbstor,可见那次写的缓冲区有多大就有多大范围的数据被移位,缓冲区最后20h字节别问我去哪了,我也不知,很可能被丢弃。 USBC恢复测试 测试硬盘:希捷,250G,FAT32,分区100G、100G、32G。 硬盘表现:自硬盘中招后,接入电脑可识别分区,里面文件如图。现针对其中一100G分区进行恢复实验。 实验方法:五花八门,多种多样。网上流传手段,软件(EasyRecoveryV6.12,易我数据恢复向导V2.1.0,SmartUndeleteV2,FinalDataV2.01,RecoverMyFilesV4.04),Winhex专业修复软件等。 方法1:(源自网上,找不到在哪看到的了) 1.右键点中读盘符,依次选“属性”,“工具”,“开始检查”,“自动修复文件系统错误”,“扫描并恢复坏扇区”,“开始”。 2.完成后根目录里会多出一个“FOUND.000”文件夹(打开文件夹属性,令系统文件夹和隐藏文件夹可视),把里面的内容扩展名改为你熟悉的.doc .jpg .xls,文件就回来了。 实验: 1.对两个盘进行此操作,成功一个,有一定的可行性。 2.更改扩展名后(对前几个文件扩展名改为doc jpg xls),可打开,实验成功。 结论: 1.你的文件名都不见了 2.能找到得数据并不一定完全,有缺失可能 3.如果你的文件都是jpg或doc用此方法,配合XTools之类的软件效果会很好,照片文档的数据基本都能找回来。 4.如果你的文件夹里有几种,甚至十几种文件格式,你都想用此方法找回来,那将奇傻无比。 
方法2:(源自百度百科) 1.在方法1的基础上使用RecoverMyFiles,设置对FOUND.000进行恢复吧。该人用十分钟,将800M的文件全恢复了。 实验: 1.软件自动识别扩展名,基本无误。 结论: 方法1和方法2可行性一般,存在文件名丢失现象。但此方法速度极快(仅耗时不到1分钟),U盘,SD之类的文件,在备份后可以一试。 
方法3: 使用软件进行删除恢复操作。 软件:EasyRecoveryV6.12,SmartUndeleteV2,RecoverMyFilesV4.0等 耗时:0s 因为什么也没扫到,一片空白 结论:此类操作基本无效 
方法4: 使用软件选择格式化恢复(并不是真的要把盘格式化,而是当做已被格式化的盘扫描重建目录结构) 软件:EasyRecoveryV6.12,易我数据恢复向导V2.1.0,FinalDataV2.01,RecoverMyFilesV4.04 结论: 1.EasyRecoveryV6.12 用时:<1h 效果:有效,但结果不如意 找到部分文件,目录结构不完整 LOSTFILE文件夹中的文件无目录结构,且大多标示为D,无法完好复原 未进行恢复文件测试 总结:省时是EasyRecovery的一大优点,尤其是针对刚刚被删除的文件,它和SmartUndelete都可以以最快的速度将文件找回来;它拥有修复Access,Excel,Word,Powerpoint,Zip文件的能力;具有磁盘测试诊断功能。总的来说还是比较实用的 
2.RecoverMyFilesV4.04 用时:1h 效果:有文件预览功能。且是边扫描边可以预览已经找的jpg rar文件,这个功能是其它几个软件没有的,但也只限于jpg rar能及时预览,其他文件同样要等到扫描完成后 找到的目录结构散碎,文件名称基本完好 恢复文件测试,出现意外,未测 可以针对某一文件类型进行扫描,缩短扫描时间。 意外:无法保存扫描出的文件,不明原因,可能我用的是破解版吧 总结:因为没做恢复测试,不太好说,但总的来讲表现还是不错的。 
3.易我数据恢复向导V2.1.0 用时:1h 效果:这个比较令我吃惊,文件夹目录结构基本完好,省去了文件重新整理归纳的麻烦;文件名也基本完好 恢复文件测试,照片99%都没有问题,偶有无法打开的图片文件在ACDSee里可以打开,看到图片边缘有缺失 doc xls随机抽查了十来个,没有问题。看来doc xls文档也基本没事 视频文件基本没有问题,但是有一批FLV视频文件(约7个),其中只有一个完好。 总结:软件界面简洁,虽无文件修复功能,却胜在实用强大。如果你倒霉中了USBC,推荐用它试试 
4.FinalDataV2.01 用时:3h45m 效果:耗时太长 这个是最强大的一个,基本都扫描出来了,但是许多荒废N久或疑似文件夹的东东也被扫描出来了…… 目录结构完好,有按扩展名归纳文件的方式(但是这样看到的文件名都是一堆序号,不知道为啥) 有文件预览功能。 尝试导出文件后,测试文件完整性,结论和易我一样,被USBC干扰的文件依旧有问题。 总结:软件比较专业,同样值得推荐。具有修复excel、word、ppt、电子邮件功能。但耗时长,非整盘文件丢失,还是用上面几个软件比较省时 
方法5: 使用Winhex 评价:俩字——专业。优秀且广为流传的数据修复工具。 结论:附件中附了walysclw的案例,我就不多说了。有能力有时间的去看吧,winhex的教程在坛子里搜搜就能找到。 
方法6: 该方法简单易用,省时省力:找修复专家! 对于数据极为重要的,就破点财免灾吧,毕竟有些磁盘中的文件价值是远大于那千八百的修复费的。 言尽于此,既然数据基本都恢复了,我就不用再苦苦研究怎样修复了。 这篇小白文留给同样不懂修复的小白们日后参考,感谢楼上诸位提供的帮助和建议,谢谢。 切记!磁盘发生问题后不要轻易尝试读取或写入文件;如试图自行修复数据,请先做好备份。 如果是硬件问题,最好连备份都不要做,避免二次损伤,毕竟专业的问题要留给专家去做。 2010年3月25日 老姐的文件基本被打捞上岸后随笔 |
|
|
