关于修复CIH的几个基本概念

RobertYore

自27日凌晨，本人发表了《修复被CIH破坏的硬盘一例》后，收到大量网友的来信。
大家急于救回数据的迫切心情溢于言表。
本人近日在单位通过各种方法，处理了大量FAT16/FAT32的逻辑C盘，及FAT16/FAT32
的逻辑D、E盘等。现将几类情况及经验归纳如下，供参考：

1)FAT32的C、D……
参见《修复指南》及《硬盘分区结构》两文中的介绍。如果通过观察后，FAT1及
ROOT未被CIH破坏，可完全恢复硬盘数据。
2)FAT16的D、E……
同上。一般可完全恢复。简单的可用NDD迅速修复。
3)FAT16的C
由于FAT16系统中，每个簇最大为64扇区（根据逻辑盘容量变化）。因此其FAT1长度
很短。并且，据观察，CIH病毒的作者对FAT16系统的结构非常清楚，它基本破坏了
MBR、BOOT、FAT1和ROOT的全部，以及FAT2的大部分结构。
由于修复工作的条件艰苦，一般有两种修复方法：
a) 修复文档文件（.doc,.xls,.dbf），大小约在200K左右或更小。
修复时，放弃利用任何系统扇区，而只在硬盘数据区域（DATA Area）中搜索
子目录。通过子目录中的文件指针，定位物理扇区（簇），并存入软盘。修复
依据是：硬盘上的分配空间较大，一般小文件都能连续存放在相邻的位置。
b) 排除法。对于破坏严重而有非常重要的数据的硬盘，采用分别淘汰的方法，
将文件恢复。基本原理为：克隆目的盘，清空FAT1及FAT2；自动扫描子目录；
在FAT中标记长度不超过单簇的文件；标记校验和匹配的小文件；根据用户曾
安装的系统及应用软件，建立镜象盘，并在数据区搜索内容完全匹配的扇区并
标记FAT；对剩余的扇区（含重要的大文件碎片），进行手工恢复。
说明，FAT16的C盘由于破坏较严重，故尽量不要用自动的恢复工具修复，除非该
工具有禁写硬盘的开关功能。否则，重要数据很可能一去不返！

robert_yore@163.net
04/29/1999

-------------------------------------------------------

查阅贴子内容
标题： 公开致歉！上次的公式有错误！
时间： 99-4-30 上午 12:02:05
作者： RobertYore E_mail:robert_yore@163.net
--------------------------------------------------------------------------------

由于一时疏忽，上次的帖子里有一处错误：
在5)g)中计算FAT2长度时，将(Side1-Side0)与(Cylinder1-Cylinder0)颠倒了，
这样计算出来的FAT2长度比实际的小很多。尽管不会破坏FAT2，但确实也无法修复
FAT1。见谅！
我已发送了关于修复FAT32的C盘及FAT16/FAT32的扩展分区的新《修复指南》和
《分区结构》。希望大家能顺利恢复重要数据。
再次向大家道歉！