Восстановление после вирусной атаки.
Самые тяжелые поражения наносят компьютерные вирусы, но и в этом случае диск нередко удается спасти. Уничтожить данные на диске, особенно на большом, не так просто, как кажется. Затирание данных — это процесс очень длительный, и его нельзя не заметить. Поэтому разрушительные вирусы ограничиваются только уничтожением сравнительно небольших служебных областей: таблицы разделов, загрузочных записей, FAT-таблиц.
В итоге большая часть данных на диске остается нетронутой, хотя разобраться в них, не зная файловой структуры, увы, непросто. Вероятность реанимации зависит от того, насколько активно поработал вирус.
Один из самых агрессивных и известных вирусов, известный как «Чернобыль» (по официальной классификации — WIN95.CIH), уничтожает целый мегабайт в начале диска, но даже и после этой разрушительной операции в некоторых случаях удается диск спасти.
Для реанимации используют специальные программы, обеспечивающие прямое редактирование записей на диске. Наиболее известна программа TestDisk 6.13 . Данная программа реально работает, сам проверял и до сегодняшнего дня применяем в практике нашей фирмы при необходимости.
Программа для восстановления данных. Прежде всего предназначена для восстановления потерянных разделов и/или восстановления загрузочной области дисков если эта проблема вызвана программно, вирусами или ошибками человека. TestDisk может находить потерянные разделы для файловых систем: DOS, FAT12, FAT16, FAT32, Linux, Linux Swap, NTFS, BeFS (BeOS), BSD (FreeBSD/OpenBSD/NetBSD) , Mac, ReiserFS, JFS, XFS, HFS, CramFS.
Реанимация упрощается, если диск имел файловую систему FAT32. Дело в том, что таблица FAT 32 имеет столь большой размер, что ее вторая копия выходит за пределы первого мегабайта и потому остается неповрежденной. Естественно, нетронутым остается и корневой каталог.
Имея вторую копию FАТ-таблицы, можно установить ее конец, начало и, соответственно, длину. Первая копия FAT-таблицы должна иметь тот же размер — это позволяет установить ее местоположение и восстановить копированием данных из сохранившейся второй копии.
Начало первой копии FАТ-таблицы определяет конец загрузочной записи — ее возвращают в исходное состояние по аналогии с другим исправным диском (хорошо, если есть, где его взять).
Наконец, можно попытаться восстановить и таблицу разделов. Если весь жесткий диск состоял только из одного раздела, то это сделать не очень трудно. Такую операцию проводят, используя аналогию с другим исправным диском.
Поскольку здесь многое основано на методе проб и ошибок, важно, чтобы программа, с помощью которой осуществляется непосредственное редактирование секторов на диске, позволяла после неудачных попыток выполнить «откат» — вернуться к прежнему состоянию.
И наконец, практически всегда возможно восстановление диска, если был заблаговременно подготовлен его образ. Многие специальные программы, предназначенные для обслуживания дисков или для защиты от вирусов, позволяют создать специальные файлы образа диска. В них заносится информация из таблицы разделов, загрузочной записи, FАТ-таблицы и корневого каталога. К примеру, программа R-Drive Image, создает такой образ диска, который позволяет восстановить диск даже после опрометчивого форматирования.
Прочла пост с внутренней дрожью. Все, что связано с вирусами, меня пугает.
И не только Вас, Галина. Смотря какой вирус подхватил, иногда своими силами после вирусной атаки не справиться, нужна помощь специалиста.
Однажды я схватил вирус, который в поисковой строке или в кодовой лепит череду одинаковых цифр не давая внести нужную информацию . Мне ударось легко справиться с ним. Я просто задал «точку восстановления» на неделю назад. И вирус исчез.