4.26日的CIH病毒, 给很多人留下深刻的印象,本人所使用的机器虽然主板不具备更改BIOS功能, 但也没有逃脱此难, 6.4G的

硬盘数据全部丢失, 但通过一些资料可以了解到, 经过一定的处理方法, 除主分区之外的其它分区数据是可以恢复的, 这里的原因如何, 如果你了解了硬盘的逻辑结构和CIH 的破坏原理, 你自然会一目了然。

一、CIH病毒对硬盘的破坏:

　　4.26日发作的CIH, 版本1003,是目前流行最广、破坏性最严重的一种病毒, 除了改写FLASH BIOS之外, 对于硬盘则从物理开始扇区覆盖1M的垃圾数据。

二、硬盘的基本逻辑结构:

　　硬盘和一般的软盘相比, 最大的一点不同, 就是存在一个主引导扇区, 即位于硬盘的0面0 道 1扇区, 也是硬盘物理上的第一个扇区, 此扇区内存放着硬盘的主引导程序、硬分区表和AA55有效标志,共占用512 字节, 这是硬盘启动和正常使用的必需的条件;从下一磁道开始, 接下来便是硬盘分区所占用的空间, 每个硬盘最多可建立四个独立的分区, 空间依次占用; 每个分区的空间又由DOS 引导扇区、FAT 文件分配表、ROT 目录表及数据区组成;

三、硬盘被恢复的可能性分析:

　　从以上可以看出, CIH 病毒发作之后, 所覆盖的1M空间内, 必然包括硬盘的主引导扇区和硬盘第一分区的头部内容, 第一分区的DOS 引导扇区、FAT 表和目录表全部在被破坏之列, 所以第一分区中的数据很难恢复, 因为 FAT表和目录表是正常读写磁盘的依据,除非你备份了FAT表和目录表内容; 而除了第一分区之外的其它分区, 则内容完好无损, 存在着被恢复的条件。

四、恢复其它分区数据的方法:

      尽管目前硬盘中的其它分区数据完好无损, 但由于硬盘的主引导扇区已经破坏, 具体说就是主引导扇区中的分区表已经不复存在, 所以也完全没有办法使用分区中的数据, 恢复其它分区中数据的唯一方法, 必须首先恢复原来的硬盘分区表, 具体有三种方法可行:

　　1.重新写回原来的备份: 如果你有备份硬盘主引导扇区的习惯, 那么现在是你享受收获的时候了, 重新把主引导扇区内容写回, 其它分区自然可以读写;

　　2.利用某些磁盘工具软件进行恢复: 有一些DOS 下的工具软件具有硬盘分区扫描功能, 可以定位硬盘原来分区的位置并形成硬盘分区表, 比如常见的Norton8.0等

　　3.进行无损分区: 所谓的无损分区即进行重新分区操作并建立分区表, 不破坏原分区中的数据, 这种操作需要特殊的控制技巧, 比如先进行一个内存驻留程序, 对除主引导扇区之外的区域进行保护, 之后按照原来的分区情况进行分区, 这样即会形成正确的分区表和引导程序; 可到南京信源公司的主页http://www.xy－soft.com上下载程序NOFORMAT.COM, 之后运行FDISK即可;

五、CIH迫使你这样使用硬盘:

　　痛写思通也好, 亡羊补狼也好, 按照以下方法使用硬盘, 即使不遇到CIH破坏, 也可得到很多好处:

　　1.硬盘采用多分区方式: 目前的硬盘空间已经足够大,而也没有太大的必要使用超出2G的分区空间, 所以尽可能的把硬盘分两个区以上, 并把重要数据存放到第二个以后的分区上;

　　2.养成备份硬盘主引导扇区或其它数据的习惯: 目前的很多病毒都破坏硬盘的主引导扇区, 如果只引导程序损坏还好办, 用FDISK/MBR即可恢复, 而如果分区表损坏了,最好的恢复方法就是恢复备份, 轻而易举地恢复硬盘数据,如果没有备份, 其它的方法都比较烦琐, 并且操作上具有一定的风险, 操作不当,将丢失全部数据;

　　3.注意安装和使用软件: 病毒的来源从前大都来至软盘, 但最近的传播途径已经转换到网络和光盘, 所以在用机过程中要注意下载的软件和光盘上的程序, 安装之后一定要进行病毒检查, 确认无误后再投入使用。