CIH病毒破坏及其修复工具与方法

CIH病毒破坏硬盘数据后的灾难程度和KV3000可恢复程度

   CIH破坏硬盘后，有99%的状况是，将硬盘最前面的1167个左右扇区的正常数据破坏，也有个别的不一样。

   CIH病毒将前面部分扇区写有一些固定的代码，而并不是有人说的将随机垃圾代码写上。这可以用KV3000的F6功能查看病毒写上的代码，绝大多数情况下，其0面0道1扇区开始的几个字节如下："FC 60 8B 44 24 20 2D"。如查看到是这些代码，那就可以断定是被CIH病毒破坏的硬盘，如果其0面0道1扇区被改动过，可以翻页查看其0面0道2扇区，前面的6个字节是否如"83 EC 04 60 BE"，如果是，这也断定它是被CIH病毒破坏过的硬盘。我们还可查看0面1道1扇区（BOOT区）被CIH写上的代码"FA 8B 07 50 FF 75 2C 66"或"75 13 F6 C1 04 0F 84 B1"，也可查看0面1道2扇区被CIH病毒写上的代码"07 01 C0 85 C0 75 EA 8B"或"1D40 07 01 C0 B9 01 00"，如果是这些代码，这也可断定它是被CIH病毒破坏过的硬盘。

理论上讲，被CIH病毒破坏后的数据映象都在硬盘中，都可修复！个别16位分区的C盘数据需手工配合工具软件来恢复。

   1、被CIH病毒破坏后，文件分配表（FAT表）是32位的C、D、E、F盘的可修复程度?

被CIH病毒破坏数据后，在绝大多数情况下，如果C盘原FAT表是32位的，那么，因为32位的文件分配表很长，每个文件分配表都超过了1200多个扇区，病毒只破坏硬盘前1167左右个扇区，即到C盘第一个文件分配表的一部分，而第二个文件分配表、根目录表完好无损，这样的情况下，可找回硬盘分区表和BOOT盘表，或重建这两个表，再将C盘的第二个完好的文件分配表写回第一文件分配表的区域，再用与硬盘相同的系统软盘引导机器后，SYS C:重传一次系统，即可全部恢复。完后，因硬盘中的病毒也被恢复，所以要先用杀毒软件将病毒杀干净，再重新引导系统，硬盘即可起动，数据完整无损，全部挽回。

这种情况的修复率为100％以上，D、E、F等分区的修复率为100％。

   2、文件分配表（FAT表）是16位的C盘、D、E、F盘的可修复程度?

因为C分区的16位的文件分配表较32位的短的多，从主引导区到数据区开始，才500多个扇区，而病毒破坏了1100多个扇区，将数据区也破坏了一小部分。这样的情况下，KV3000可找回硬盘分区表和BOOT表，或重建这两个表。C盘数据需手工配合工具软件来恢复，可修复80％以上。但是，KV3000对D、E、F等分区的修复率为100％。

当硬盘修复成功后，应先用杀毒盘引导后，杀净C、D、E、F等盘中的病毒。