Windows95 OSR2和Windows 98开始支持FAT32 文件系统,它是对早期DOS的FAT16文件系统的增强,由于文件系统的核心--文件分配表FAT由16位扩充为32位,所以称为FAT32文件系统。在一逻辑盘(硬盘的一分区)超过 512 兆字节时使用这种格式,会更高效地存储数据,减少硬盘空间的浪费,一般还会使程序运行加快,使用的计算机系统资源更少,因此是使用大容量硬盘存储文件的极有效的系统。本人对Windows 98下的FAT32 文件系统做了分析实验,总体上与FAT16文件系统变化不大,现将有关变化部分简介如下:
(一)FAT32 文件系统将逻辑盘的空间划分为三部分,依次是引导区(BOOT区)、文件分配表区(FAT区)、数据区(DATA区)。引导区和文件分配表区又合称为系统区。
(二)引导区从第一扇区开始,使用了三个扇区,保存了该逻辑盘每扇区字节数,每簇对应的扇区数等等重要参数和引导记录。之后还留有若干保留扇区。而FAT16文件系统的引导区只占用一个扇区,没有保留扇区。
(三)文件分配表区共保存了两个相同的文件分配表,因为文件所占用的存储空间(簇链)及空闲空间的管理都是通过FAT实现的,FAT如此重要,保存两个以便第一个损坏时,还有第二个可用。文件系统对
数据区的存储空间是按簇进行划分和管理的,簇是空间分配和回收的基本单位,即,一个文件总是占用若干个整簇,文件所使用的最后一簇剩余的空间就不再使用,而是浪费掉了。
从统计学上讲,平均每个文件浪费0.5簇的空间,簇越大,存储文件时空间浪费越多,利用率越低。因此,簇的大小决定了该盘数据区的利用率。FAT16系统簇号用16位二进制数表示,从0002H到FFEFH个可用簇号(FFF0H到FFFFH另有定义,用来表示坏簇,文件结束簇等),允许每一逻辑盘的数据区最多不超过FFEDH(65518)个簇。FAT32系统簇号改用32位二进制数表示,大致从00000002H到FFFFFEFFH个可用簇号。FAT表按顺序依次记录了该盘各簇的使用情况,是一种位示图法。
每簇的使用情况用32位二进制填写,未被分配的簇相应位置写零;坏簇相应位置填入特定值;已分配的簇相应位置填入非零值,具体为:如果该簇是文件的最后一簇,填入的值为FFFFFF0FH,如果该簇不是文件的最后一簇,填入的值为该文件占用的下一个簇的簇号,这样,正好将文件占用的各簇构成一个簇链,保存在FAT表中。0000000H、00000001H两簇号不使用,其对应的两个DWORD位置(FAT表开头的8个字节)用来存放该盘介质类型编号。FAT表的大小就由该逻辑盘数据区共有多少簇所决定,取整数个扇区。
(四)FAT32系统一簇对应8个逻辑相邻的扇区,理论上,这种用法所能管理的逻辑盘容量上限为16TB(16384GB),容量大于16TB时,可以用一簇对应16个扇区,依此类推。FAT16系统在逻辑盘容量介于128MB到256MB时,一簇对应8个扇区,容量介于256MB到512MB时,一簇对
应16个扇区,容量介于512MB到1GB时,一簇对应32个扇区,容量介于1GB到2GB时,一簇对应32个扇区,超出2GB的部分无法使用。显然,对于容量大于512MB的逻辑盘,采用FAT32的簇比采用FAT16的簇小很多,大大减少了空间的浪费。
但是,对于容量小于512MB的盘,采用FAT32虽然一簇8个扇区,比使用FAT16一簇16个扇区,簇有所减小,但FAT32的FAT表较大,占用空间较多,总数据区被减少,两者相抵,实际并不能增加有效存储空间,所以微软建议对小于512M的逻辑盘不使用FAT32。
另外,对于使用FAT16文件系统的用户提一建议,硬盘分区时,不要将分区(逻辑盘)容量正好设为某一区间的下限,例:将一逻辑盘容量设为1100M(稍大于1024M),则使用时其有效存储容量比分区为950M的一般还少,因其簇大一倍,浪费的空间较多。还有,使用FDISK等对分区指定容量时,由于对1MB的定义不一样(标准的二进制的1MB为1048576B,有的系统将1MB理解为1000000B,1000KB等),及每个分区需从新磁道开始等因素,实际分配的容量可能稍大于指定的容量,亦需注意掌握。
(五)根目录区(ROOT区)不再是固定区域、固定大小,可看作是数据区的一部分。因为根目录已改为根目录文件,采用与子目录文件相同的管理方式,一般情况下从第二簇开始使用,大小视需要增加,因此根目录下的文件数目不再受最多512的限制。FAT16文件系统的根目录区(ROOT区)是固定区域、固定大小的,是从FAT区之后紧接着的32个扇区,最多保存512个目录项,作为系统区的一部分。
(六)目录区中的目录项变化较多,一个目录项仍占32字节,可以是文件目录项、子目录项、卷标项(仅跟目录有)、已删除目录项、长文件名目录项等。目录项中原来在DOS下保留未用的10个字节都有了新的定义,全部32字节的定义如下: (1) 0-- 7字节 文件正名。 (2) 8--10字节 文件扩展名。
(3) 11字节 文件属性,按二进制位定义,最高两位保留未用,0至5位分别是只读位、隐藏位、系统位、卷标位、子目录位、归档位。 (4) 12--13字节 仅长文件名目录项用,用来存储其对应的短文件名目录项的文件名字节校验和等。
(5) 14--15字节 24位二进制的文件建立时间,其中的高5位为小时,次6位为分钟。
(6) 16--17字节 16位二进制的文件建立日期,其中的高7位为相对于1980年的年份值,次4位为月份,后5位为月内日期。 (7) 18--19字节 16位二进制的文件最新访问日期,定义同(6)。 (8) 20--21字节 起始簇号的高16位。
(9) 22--23字节 16位二进制的文件最新修改时间,其中的高5位为小时,次6位为分钟,后5位的二倍为秒数。
(10)24--25字节 16位二进制的文件最新修改日期,定义同(6)。 (11)26--27字节 起始簇号的低16位。 (12)28--31字节 32位的文件字节长度。
其中第(4)至(8)项为以后陆续定义的。 对于子目录项,其(12)为零;
已删除目录项的首字节值为E5H。在可以使用长文件名的FAT32系统中,文件目录项保存该文件的短文件名,长文件名用若干个长文件名目录项保存,长文件名目录项倒序排在文件短目录项前面,全部是采用双字节内码保存的,每一项最多保存十三个字符内码,首字节指明是长文件名的第几项,11字节一般为0FH,12字节指明类型,13字节为校验和,26--27字节为零。
(七)以前版本的 Windows 和DOS与 FAT32 不兼容,不能识别FAT32分区,有些程序也依赖于 FAT16 文件系统,不能和 FAT32 驱动器一道工作。将硬盘转换为 FAT32,就不能再用双引导运行以前版本的 Windows(Windows 95 [Version 4.00.950]、Windows NT 3.x、Windows NT 4.0 和 Windows 3.x)。 CIH 破坏后的硬盘修复
摘要: 本文记述了CIH病毒发作后破坏后的状况及CIH的破坏原理,讨论了修复的可能性,针对全盘修复作了讨论,对磁盘原理进行了分析,并对分区表及第一个分区的修复方法作了较
为深刻的探讨。最后介绍了一下用此原理编制的程序FixDriveC。
关键字:CIH 病毒 修复 磁盘结构 一、CIH的破坏
4月26日,隐藏在数十万台计算机中的CIH病毒突然发作,造成全国大面积的计算机瘫痪,损失十分惨重。病毒发作的机器BIOS(基本输入输出系
统)被改写,硬盘数据被损坏,造成机器无法启动,重要数据丢失。据有关调查表明,在上月26日CIH病毒的大规模发作中,我国受到损害的计算机总量为36万台,造成的直接、间接经济损失超过10亿元。调查还表明,这次CIH病毒发作中全国受到侵害的计算机中主板受损的比例为15%,造成的直接经济损失为0.8亿元,间接经济损失超过10亿元。 二、CIH病毒简介
CIH病毒是台湾大学生陈英豪编制的,起初据称只是为了“使反病毒软件公司难堪”,但后来由于病毒传染力强,迅速扩散到了世界各个国家的计算机系统上。以至于造成现在的严重情况。CIH病毒属文件型病毒,其别名有Win95.CIH、Spacefiller、Win32.CIH、PE_CIH,它主要感染Windows95/98下的可执行文件,目前的版本不感染DOS以及WIN3.X下的可执行文件,并且在WinNT中不能发作。其发展过程至现在公认经历了v1.0,v1.1、v1.2、v1.3、v1.4五个版本,目前最流行的是v1.2版本。其中1.0版时间较早,没有破坏作用;1.1版被感染文件大小不变,没破坏力;1.2版加入破坏硬盘和BIOS的程序,在每年的4月26日发作;1.3版修正了部分感染自解压文件时的出错问题,而且将发作日期改为每年6月26日;1.4版对于所有的Winzip自解压文件都不感染,并会在每个月的26日发作。 三、CIH发作分析
CIH发作时将会把部分5V电压的Flash ROM重写,填入杂乱的数据,使机
器无法启动,同时从第一个硬盘的第一个扇区开始以2048个字节为单位将内存中不相关的数据填入硬盘。IOS_SendCommand是Win95的一个非常底层的VXD调用,通常是用作对IO设备的低层操作,如:读,写,加锁,格式化等等。一般情况下只能在Ring 0和虚拟机中使用。CIH病毒先构造一个IOR,再使用IOS_SendCommand调用,完成IOR所指定的功能。 病毒指定第一次写的磁盘为第一个磁盘,位置为0,即0柱面0磁头1扇区,指定一次写的长度为2048个字节,然后调用IOS_SendCommand进行一次写操作。如果成功,将继续重复写操作,直到将所有的扇区全部写完,然后转到第二个硬盘继续写。病毒理想的情况是将所有硬盘全部写完。但由于写盘的速度比较慢,加之Flash ROM在硬盘破坏之前被破坏,因此很可能导致死机或被用户Reset复位,所以病毒不会将所有的数据破坏掉,通常只能破坏硬盘前部的几百个至上千个扇区。而现在的硬盘都比较大,病毒并没有破坏到数据区,这就给恢复提供了先决条件。 四、磁盘结构综述 1.硬盘结构
硬盘的内部是由圆形金属片堆叠起来的,每个盘片的两面都有一个磁头(Head)负责读写这个磁面(Side),在每个磁面上划分了一圈一圈的同心圆,叫做柱面(Cylinder)对于软盘通常称之为磁道,在每个柱面中又划分了若干段,称之为扇区(Sector)。
由于技术的发展,硬盘的密度越来越大,使得硬盘的实际盘片数越来越少,
对磁盘操作的柱面、磁头、扇区被硬盘控制器内部转换,已经不是实际的柱面、磁头、扇区了。由于最早时磁盘存取系统估计不足,传输数据时只给扇区留了6位,柱面留了10位,磁头留了8位。也就是说,柱面最大只能为1023。但是大硬盘的柱面远大于这个数,所以后来就采用将柱面数减少,将磁头数增加的方式来满足磁盘寻址的要求,对于实际地址的转换在BIOS中进行,这叫逻辑块寻址方式(Logical Block Addressing,LBA)硬盘中有关柱面、磁头、扇区的数据都是以此为基准的。 2.分区结构
众多的文件数据存放在磁盘上,需要有组织,这就形成了文件系统。但是各个操作系统的文件系统都不尽相同,为了划分管理文件系统,在现在的PC机上都采用通用的分区结构。
分区机构是这样的:硬盘的以一个扇区(就是0柱面0磁头1扇区)叫主引导扇区(Main Boot Record,MBR),存放着引导程序和主分区表(Main Partition Table)和结束标志“55AA”。一般称的分区表即是主分区表。一个分区表最多可包含四个分区表项,每个分区表项中标示着一个分区信息或一个扩展分区表的位置,而扩展分区表中可能还有扩展分区表,这就形成了一个链状结构,可以记录很多个分区。 主引导扇区结构如图所示。 C语言定义如下
typedef struct {
char bootcode[0x1be]; //启动代码 PartitionTable PT[4]; //分区表 word EndingFlag; //结束标识 }MBR;
分区表项的如下: typedef struct {
byte BootFlag; //启动标志
CHS StartCHS; //分区开始的柱面、磁头、扇区 byte SystemID; //分区类型
CHS EndCHS; //分区结束的柱面、磁头、扇区
dword RelativeSectors; //分区相对扇区数,指分区相对于记录该分区的分区表的扇区位置之差
dword TotalSectors;//分区总扇区数 }PartitionTable;
其中CHS为一个柱面、磁头、扇区的结构,定义如下: struct CHS {
byte Head; //磁头 byte Sector:6; //扇区 byte CyH2:2; //柱面的高两位 byte CyL8; //柱面的低八位
word Cylinder() {return (word(CyH2)*256+CyL8);} //void SetCylinder(word Cylinder) //设置柱面值 {
CyH2=(Cylinder>>8)&0x3; CyL8=(Cylinder&0xff); }
返回柱面值 };
其中分区类型是对应于各种文件系统统一编排的一个代码。比如06H是大于32M的FAT16分区的标志,05H是扩展分区的标志,等等。一般的,对于DOS/Windows3.x/Windows95/98的系统来说,第一个分区表项记录着DOS主分区(C盘)的信息,而且是可以启动的,第二个分区表项一般是扩展分区,在这个扩展分区表项所指向的分区表中又是一个Dos主分区(D盘)和一个扩展分区,依次类推。而在绝大部分系统中Dos主分区(C盘)是从0柱面1磁头1扇区开始的。(有些机器在这个位置有个小分区,专门用来管理启动或机器设置,之后才是C盘的分区) 3.FAT文件系统
FAT文件系统(FAT12/FAT16/FAT32)是从DOS发展过来的一种文件系统,其优点是简单易用,并被多种操作系统支持。(目前支持FAT32的操作系统还不多)FAT文件系统名称后的数字是标识文件中系统一个分配单元所需的位(bit)数。一个FAT12/16文件系统的结构是这样的: 引导扇区 第一文件分配表 第二文件分配表 根目录 数据区 (1).引导扇区
引导扇区是文件系统的第一个扇区,其中包含分区重要的数据信息——BPB(BIOS Paramenter Block-磁盘参数表)。磁盘参数表中包含分区总大小、磁盘参数等重要信息。其C语言定义为:
typedef struct {
word SectorBytes; //每扇区字节数 byte SectorsPerCluster; //每簇扇区数 word ReservedSectors; //保留扇区数 byte NbrFat; //FAT的个数 word RootEntry; //根目录项数
word TotalSectors; //分区总扇区数(分区小于32M时) byte Media; //分区介质标识
word SectorsPerFAT; //每个FAT占的扇区数 word SectorsPerTrack; //每道扇区数 word Heads; //磁头数
dword HiddenSectors; //隐含扇区数
dword BigTotalSectors; //分区总扇区数(分区大于32M时) }BPB_FAT16;
其中保留扇区数为从分区开始到第一个FAT表开始中间的扇区数。隐含扇区数同分区表中的隐含扇区数含义相同。虽然存在FAT个数的定义,但现在的FAT12/16系统基本上没有除2以外的值。因而一般不考虑其他情况。根目录项数是指根目录总共能容纳下的目录的项数。一个目录项占32个字节,所以一个扇区有512/32=16个目录项。用这个值除以16就是根目录所占的扇区数。分区总扇区数在分区大于32M时已经超过65535,两个字节已经无法表示,因此在大于32M的分区中TotalSector总是等于零,而将实际的数放在BigTotalSectors中。分区介质标识是确定BPB有效的标志。它必须与FAT表中第一个字节的分区介质标识统一。硬盘的分区介质标识为0F8h,如果这个标识不对或者与FAT不统一则将会出“Invalid media type”的错误。
SectorsPerFAT是每个FAT所占的扇区数。系统根据分区起始地址+保留扇区数+每个FAT所占扇区数*FAT个数+根目录项数/16来确定数据区开始的位置,然后由这个位置+簇号*每簇扇区数来最终确定数据在硬盘扇的具体位置。 (2)文件分配表
文件分配表是文件在磁盘上分布的信息。FAT文件系统将数据区按每簇扇区数为单位划分成一个一个单元,每个单元是文件分配的最小单位。这个单元就称为簇。一些大的文件可能占用了很多簇,而且在磁盘上没有连续存放。FAT表就是为了确定文件每个簇的连接关系而设的。FAT表的每一
项都对应着数据区的一个簇,FAT16的FAT表每一项占16位,也就是两个字节。每一项的内容表示其对应簇的分配情况,0表示尚未分配;FFF0h~FFF6h为备用;FFF7h表示坏簇,即该簇中磁盘有损坏;FFF8h~FFFF表示文件结束;其他值则表示当前簇的下一簇的簇号。FAT表的最前面两项是不用的,因此第一个数据簇的簇号为2。FAT表第一个字节也是分区介质类型,和BPB中的一样。因此用“F8 FF FF”可以作为硬盘FAT起始的标志。绝大多数FAT系统有两个FAT表,第二个FAT表又称为后备文件分配表。系统内部完成后备文件分配表与第一文件分配表的统一。 本文讨论的完全恢复是基于后备文件分配表没有被破坏的情况下的恢复,如果两个文件分配表都被损坏,理论上就无法完全确定文件信息,因此无法完全恢复。 (3)根目录
FAT12/16的根目录是单独列出来的,在后备文件分配表和数据区之间。每个目录项为32个字节,记录一个文件或目录的信息。(长文件名例外) 文件修复的原理就是由目录项中指示的起始簇号和数据区开始位置来确定文件的位置,从而恢复小的文件。 4.FAT32文件系统
FAT32文件系统与FAT12/16的差别较大,一个主要的差别就是将根目录划归到数据区中了,在BPB中专门加了一项根目录开始簇号。这样根目录的
大小就不再受到限制,大大增加了根目录的自由度。 FAT32的BPB定义如下: typedef struct {
word BytesPerSector; //每扇区字节数 byte SectorsPerCluster; //每簇扇区数 word ReservedSectors; //保留扇区数 byte NumberOfFATs; //FAT的个数
word RootEntries; //根目录项数(FAT32不用) word TotalSectors; //分区总扇区数(FAT32不用) byte MediaDescriptor; //分区介质标识
word SectorsPerFAT; //每个FAT占的扇区数(FAT32不用) word SectorsPerTrack; //每道扇区数 word Heads; //磁头数
dword HiddenSectors; //隐含扇区数
dword BigTotalSectors; //分区总扇区数 dword BigSectorsPerFat; //每个FAT占的扇区数 word ExtFlags; //扩展标志 word FS_Version; //文件系统版本
dword RootDirStartClus; //根目录起始簇号
word FSInfoSec; //指向包含BIGFATBOOTFSINFO结构的扇区 word BkUpBootSec; //后备引导区的位置 byte Reserved[12]; //备用 }BPB_FAT32;
从上可以看出,FAT32的BPB是在FAT16BPB的基础上加入了一些参数,并停用了一些参数。每个FAT所占扇区数变为4个字节,根目录项数不再使用。FAT32与FAT12/16的另一不同点在于,FAT32既可以同时使用多个FAT表,也可以只使用其中的某一个FAT表。ExtFlags正是这个标志。当ExtFlags的第8位为0时表示同时使用每个FAT表,当其为1时表示只使用其中的一个FAT表,这个FAT表的序号由ExtFlags的低4位给出。FS_Version文件系统版本现在都为0。
FAT32将根目录也视作一个目录文件,使用一个簇链(Cluster Chain),
RootDirStartClus正是这个链的起始簇号。FAT32有个专门放
BIGFATBOOTFSINFO结构的扇区,该结构包含了剩余簇个数,下一个空闲簇号等信息。这个扇区通常紧接着引导扇区。由于与恢复关系不大,本文不做讨论。FAT32将引导扇区和文件系统信息扇区信息存了两份,另一份的位置由BkUpBootSec指出。这样由于偶然发生的损坏就很容易恢复。 5.扩展BIOS参数块
在BPB的后面是Extended BIOS Paramenter Block。EBPB的结构如下: typedef struct //Extended BIOS Paramenter Block {
byte PhysicalDriveNumber; //物理硬盘号 byte CurrentHead; //当前磁头
byte ExtBootRecSign; //扩展引导记录标志 dword SerialNumber; //序列号 char VolumeLabel[11]; //卷标 char FSID[8]; //文件系统标识 }EBPB;
其中物理硬盘号和当前磁头是系统运行时使用的,硬盘上的值没有什么实际意义。ExtBootRecSign一般为28h或29h。SerialNumber是格式化后生成的序列号。文件系统标识指示了文件系统的类型,即“FAT12”、 “FAT16”、 “FAT32” 6.压缩磁盘简介
从DOS6.0开始有了压缩磁盘的功能。DBLSPACE、DRVSPACE、DRVSPACE3是各个不同时期的磁盘压缩系统。压缩磁盘其实是个大文件,其内部是个更为复杂的FAT系统。这个大文件包含了文件头、MDFAT(Microsoft Drivespace FAT)、内部BPB、内部FAT、内部根目录及内部数据区,和分区非常相似。主要不同的是,它的FAT不直接对应数据区,而是对应于MDFAT表,每一个MDFAT表项包含扇区起始位置信息和扇区的压缩信息。 这样在存取一个文件时需要由目录项确定起始簇,由起始簇表确定MDFAT表项,再由MDFAT得到扇区位置,并由压缩信息决定是否进行压缩解压。根据FAT表来确定下一个簇或者文件结束。但其中的扇区位置等信息都是相对于这个文件的逻辑地址,具体物理地址还要用外部的分区信息和外部FAT表决定。因此对于C盘被压缩后的恢复是非常困难的。五 分区表的修复分区表的链状结构在前面已经讲述过了。由于CIH从头连续破坏的特点,使得CIH几乎破坏不到扩展分区及以后的分区。在正常情况下,即一个DOS主分区,一个扩展分区的模式,只要找到扩展分区开始的扇区,就能把主分区表中扩展分区的表项重建,扩展分区前的分区(通常就是C盘)的分区
表项也可以重建。这是一个非常简单的过程。对于用标准分区的系统(占绝大多数),分出的扩展分区都是从某个柱面的0磁头1扇区开始的。因此只搜索每个柱面的第一个扇区速度很快。搜索的条件是分区结束标志为“55AA”,并且分区表项合法。找到扩展分区了以后,主分区表中的扩展分区表项就完全可以建立了。起始柱面扇即是找到的位置,类型标识为5,分区总扇区数等于扩展分区中所有分区的总扇区数之和再加上第一个分区的隐含扇区数。然后由分区起始地址和分区总扇区数就可以计算出终止柱面扇。扩展分区表项一确定,主DOS分区表项就可以确定了。在此就不敷述了。需要指出的一点是,如果用户以前分过区,后来分区改变了,即使格式化过,旧的分区信息依然可能留在硬盘上。这时如果分区修复软件找到旧的分区信息并使用,则生成的分区表就是错误的。这种错误的概率很大。有人就遇到过kv300将一个分区修成两个分区的错误情况。解决的办法是需要用户手工确认。现在很多用户装了多个操作系统,比如Linux,Windows NT等。如果这些系统不是在第一个分区的话也是完全能够修复的。如果这些系统在扩展分区中,则在恢复扩展分区的过程中就恢复了这些分区,否则,就需要单独处理这些分区。通常这些分区也是从0磁头1扇区开始的,在搜索时NTFS分区可以搜索结束标识“55AA”和在偏移为3的地方判断“NTFS”标志。Linux native分区可以在偏移为2的地方搜索“LILO”标志和分区结束标识。分区表项的文件系统类型为01h——FAT12 02h——XNEIX root
03h——XNEIX usr 04h——FAT16(小于32M) 05h——Extend扩展分区 06h——BIGDOS FAT16(大于32M) 07h——NTFS 或HPFS 08h——AIX 09h——AIX boot 0Bh——FAT32
0Ch——FAT32x (同0Bh,使用Int13扩展) 0Eh——BIGDOS FAT16x (同06h,使用Int13扩展) 0Fh——Extendx(同05h,使用Int13扩展) 63h——Unix SystemV/386 64h——Netware286 65h——Netware386 82h——Linux swap
83h——Linux Native 六. 完全型修复
完全型修复的原理就是将没有被破坏的后备文件分配表复制到主文件分配表,然后生成引导扇区。这样恢复的前提就是后备文件分配表及以后没有被破坏。其关键的步骤是搜索根目录和后备文件分配表。 确定几个重要位置 (1).根目录位置的确定
根目录的确定比较容易,手工查找时在盘上搜索“COMMAND COM”(中间是空格),很容易找到根目录。
程序查找时要在查找到后确定第一个根目录开始的扇区,需要从找到的扇区开始向前判断,直到不是目录的扇区为止。同时应注意长文件名的影响。 (2).后备FAT表的位置确定
后备FAT表可由F8 FF FF来搜索,在Diskedit中由专门的功能。但应注意的是这样搜索的结果可能有很多,判断的条件是前一个扇区和这个扇区有明显差别,而且这个扇区是规范的FAT样式。手工可用Diskedit的F5或Alt-F5(FAT32)来看。 (3).数据区起始的确定
如果是FAT32,则需要用到数据区开始,通常数据区开始就是根目录,但个别系统不是。如果根目录的前面扇区明显不是FAT,则要向前搜索数据区的开始。
2.理想情况下的恢复
在理想情况下,正确得到后备FAT表的位置及FAT的类型、数据区开始位置、根目录开始位置、分区总扇区数后,用下面的方法恢复。 (1).主FAT的恢复
由以上的介绍可知,根目录(FAT16)或数据区(FAT32)的起始位置=分区开始位置+保留扇区数+每FAT扇区数*FAT个数。因为绝大多数系统FAT个数都是2,所以第一个FAT开始的位置就等于=根目录(FAT16)或数据区FAT32)的起始位置-每FAT扇区数*2。
这样,如果准确的找到第二个FAT标的位置,和根目录(FAT16)或数据区(FAT32)的起始位置,就可以确定主FAT的位置,从而可以将第二个FAT表复制到第一个的位置,完成FAT标的修复。 (2).引导扇区及BPB的恢复
分区引导扇区的修复是这样的:对于大部分情况,C盘是从0柱面1磁头1扇区开始的。所以缺省可以认为满足这个条件。修复时将一个其他系统的完好的引导扇区复制到当前位置,然后再修复BPB。修复BPB只需要将本分区可能于其他系统不同的值计算出即可。以FAT32的BPB为例,需要
重新计算的参数有每簇扇区数、保留扇区数、磁头数、分区总扇区数、每个FAT的扇区数和根目录起始簇号。分区总扇区数由主分区表中的信息获得。每个FAT的扇区数=根目录(FAT16)或数据区(FAT32)的起始位置-第二个FAT标的起始位置。每簇扇区数由分区总扇区数和FAT表占扇区数确定。FAT16每个表项占两个字节,所以一个扇区含256个表项。分区总的簇数就约等于256*每个FAT所占扇区数。用分区总扇区数-保留扇区数-每个FAT占扇区数*FAT个数/分区总的簇数再一圆整就得到每簇扇区数。FAT32每项占4个字节,所以每个扇区包含128个表项,和FAT16稍有差别,算法是一样的。保留扇区数就是计算出的主FAT表开始位置减去引导扇区的位置。磁头数可以直接利用系统调用得到。对于FAT32,需要得出根目录起始簇号。它等于(根目录起始位置-数据区起始位置)/每簇扇区数+2。由于大部分FAT32系统的根目录就在数据区的开始,所以这个值就等于2。 3.FAT类型未知时的确定
当FAT的类型未知的时候,手工比较好确认。用磁盘工具查看后备FAT表时,如果明显是4个字节一个单元,就是FAT32。突出特点是后两个字节为00 00或01 00等很小的值。程序判断时可用如下方法:
分区大于2048M时肯定为FAT32;分区小于512M时几乎都为FAT16。在512M~2048M之间时,由于FAT32的每簇扇区数一般是 2、4、8、16、32(很少),FAT16一般是32,64, FAT32的每个扇区包含128个项,而FAT16包含256项,所以FAT32总扇区数SectorPerFAT*256*(32)所以FAT32的
TotalSectors/SectorPerFAT<128*32=4096; FAT16的
TotalSectors/SectorPerFAT >256*32=8192所以用中间的一个数如5000就可以区分两种FAT类型。 4. 其他情况分析
上面谈的理想情况对于用Microsoft的软件建立的系统几乎都是适用的。但由于一些磁盘软件如Partition Magic等建立的文件系统就不一定非常适用了。
(1).C盘不是从0柱面1磁头1扇区开始
这样的情况多见于在C盘之前有一个小的分区,通常用作多操作系统启动或机器形同设置。这时引导扇区的位置就要改变,按照第一个FAT的位置向前排。
(2).保留扇区数不标准
通常标准的保留扇区数FAT16是1,FAT32是32。如果最后求出来的保留扇区数和这接近,则有可能是正确的,如果是正的较大的值,则可能是第一种情况或是压缩的磁盘,如果为负值,就是搜索到的备份FAT表或根目录(FAT16)或数据区(FAT32)的位置不对。 (3). 压缩磁盘
由于压缩磁盘的内部也可以搜索到FAT表、根目录等信息,因此在不清楚
情况的时候可能进行误恢复。 5.总论
对于各种情况,引导扇区位置+保留扇区数+FAT占扇区数*FAT个数=根目录起始位置(FAT16)或数据区起始位置(FAT32) 这个公式是始终成立的。其中引导扇区位置、保留扇区数、FAT个数都有一般的常用值,所以知道FAT所占扇区数就可以求得根目录起始位置(FAT16)/数据区起始位置(FAT32),反过来也是。而根据磁盘总扇区数和FAT类型基本可以确定FAT所占扇区数和根目录(FAT16)/数据区(FAT32)的值。所以这几个参数是环环相扣的,各方面满足的好的话才能进行恢复(特别是程序),不然就有可能造成错误修复的情况。 七.文件型修复
当后备文件分配表被损坏或者根目录及数据区部分损坏后,完全修复的可能性就非常小了。但是一些小文件或者在磁盘上连续存放的文件还是可以恢复的。
(1).根据目录来确定文件
这是最常用而且是较为成功的方法。但首先必须得到数据区开始位置和每簇扇区数。如果在无法直接确定每簇扇区数的时候,可以观察目录区的文件的簇号排列。大部分目录中文件都是顺序排下来的,观察一下相邻文件的簇号,在簇号基本相连的情况下看一下多大的文件簇号相隔大于1,就
可以确定每簇扇区数了。例如连续两个文件a和b,a从10000簇开始,b从10002开始,而且a大小是46789,就可以知道每簇32k,就是说每簇扇区数为64。数据区开始位置无法直接确定时可以用磁盘总大小和每簇扇区数及FAT的类型得到,然后用一些文本文件来验证。例如如果分区总扇区数为1645056(800M),每簇扇区数为64,FAT16,则每FAT扇区数粗略值为1645056/64/256=100.4。取100,则FAT扇区数精确值为(1645056-1-100* 2-16)/64/256=100.39, 即为101。那么数据区应该从 分区偏移 1+101*2+16)=219扇区开始。用小文件确定的方法:例如在磁盘上搜索到FILE1.txt的目录项,起始簇号为clus,每簇扇区数为SectorPerClus并搜索到FILE1.txt文件在磁盘总第a扇区,则数据区开始位置为总第 a-(clus-2)*SectorPerClus扇区。这两个参数确定后就可以用数据区开始位置+(簇号-2)*每簇扇区数来确定文件的具体位置。然后按目录项中的文件大小来截取文件复制到正常盘。如果文件较小或连续存放,就将文件正确恢复了。 (2)全盘查找文件
如果目录项也被破坏了,就只能全盘查找文件来恢复了。这对于一些文本文件特别是源程序恢复比较容易,对于其他文件就不是很灵了。 八.FixDriveC简介
FixDriveC就是利用以上原理编制的分区表及完全型修复软件。它含有分
区表修复和C盘修复的功能,特点是自动修复与手工配合相结合,使得一些特殊情况计算机很难判断时用人工确定。而且程序在修复之前作的判断比较多,在确保安全的前提下才进行修复。 九.后记
以上分析了CIH病毒破坏的原理,详述了有关的磁盘概念,讨论了分区表的修复、分区的完全修复以及文件恢复的方法,并简单介绍了修复软件FixDriveC。其实本文不只是对于CIH的破坏,对其他形式造成的硬盘数据丢失同样可以使用。希望本文对读者有较大帮助,如果您对此有问题或者不同意见,可以发Email至zhaoyj@cumt.edu.cn 或 noz@126.com,本人将会尽力回答。
因篇幅问题不能全部显示,请点此查看更多更全内容