今年4月26日是CIH大肆发作的第四周年了，CIH属恶性病毒，当其发作条件成熟时，将破坏硬盘数据，同时有可能破坏BIOS程序，其发作特征是：以2048个扇区为单位，从硬盘主引导区开始依次往硬盘中写入垃圾数据，直到硬盘数据被全部破坏为止。最坏的情况下硬盘所有数据(含全部逻辑盘数据)均被破坏，如果重要信息没有备份，那就只有哭了！而且某些主板上的Flash ROM中的BIOS信息将被清除，那就只有更换BIOS，或是向固定在主板上的BIOS中重新写入原来版本的程序，才能解决问题。




　　在这里介绍一种用KV3000硬盘救护箱功能手动修复硬盘分区表的方法，文中举出20GB硬盘与10GB硬盘的修复过程为例子，供大家参考。




　　病例1




　　症状：20GB，分了四个区，分区类型是FAT32的格式，装的是Windows Me系统。死机后重新启动，发现进入不了系统，提示：“Disk Boot Failure, INSERT SYSTEM Disk AND PRESS ENTER”。




　　诊断：插入KV3000的A盘，启动计算机，在A盘盘符下键入“KV3000”，进入DOS环境，发现C、D、E、F已经全部消失。因为硬盘里有重要资料，不可以用FDISK重新分区。




　　救治：首先用KV3000启动电脑，运行KV3000，按［F6］键查看硬盘分区表0扇区发现第二、第三关键代码已经被破坏，于是按［F10］键启动“重建分区表”功能，按［F10］键进行搜索。搜索了三行之后显示：OK! OK! OK! 电脑维修网 www.１６３164.com 教你修电脑




　　重新启动之后，C盘上的数据已经恢复，而且可以进入Windows Me，但是D、E、F盘还是看不到。此时只有用第二种手动方法修复了。运行KV3000，用［F6］查看此硬盘的主引导扇区。




　　第三关键代码已被KV3000的［F10］快速重建分区表功能修复，估计第二关键代码是错误的，其第二(第二关键代码开始处的下划线80是表示该分区是活跃的，即主分区，为00则表示非活跃)、第三(下划线55AA)关键代码如下(如)：






　　用［F6］启动硬盘搜索功能，再按［F2］搜索硬盘扩展分区，结果显示(如)：






　　接着直接翻到第“5863725”扇区，此扇区为D盘的起始扇区，第二关键代码显示如下(如)：




　　把D盘的起始扇区位置“5863725”换算成十六位进制：“59 79 2D”，再把换算出来的数值以高位在后移位成“2D 79 59”。此数值为绝对引导扇区，由此可见绝对引导扇区是正确的。






　　然后把扩展分区的Total sectors之和再加上63×3(即D:扇区数+E:扇区数+F:扇区数+63×3；即10763487+12691287+10747422+63×3=34202385)。再把此数值“34202385”换算成十六位进制“02 09 E3 11”，以高位在后移位成“11 E3 09 02”，此数值为扩展分区的扇区数目，由此可见在0扇区内扩展分区的总扇区数目是错误的。




　　现在把以上带下划线的数值按扩展分区的排序结构排列一下(如)：






　　此排序中有下划线的数值为分区类型，大于8GB的硬盘该数值一般为0F。相关资料为：06表示DOS分区，FAT为16位；0F表示DOS分区，FAT为32位，05H表示FAT为十六位的DOS扩展分区。




　　再把排列出来的数值手动写入到主分区表中第二关键代码中扩展分区的原位置(即加下划线的部分，如)：






　　再重新启动计算机，D、E、F盘中全部的数据都已经完全恢复，消失了两天的4个盘又重出江湖了。




　　病例2




　　症状：被CIH破坏的硬盘是昆腾10.2GB的，分三个区，分区类型是FAT32位，装Windows 98系统，还是死机后重新启动，进入不了系统。




　　诊断：首先用KV3000的A盘启动，键入C、D、E盘符均显示“Invalid drive specification”。进入KV3000，用［F6］查看分区表，发现第一、二、三关键代码全被修改，再用［F2］进入引导扇区，发现包括I/O表等也被修改。于是用［F10］键启动“重建分区表”功能，屏幕上显示：




　　Hard Disk Partition table -Error !!! 电脑维修网 www.１６３164.com 教你修电脑




　　Fix Hard Disk Partition table or Disk C Boot Sector(Y/N)？




　　意思是“硬盘分区表错误，是否要修复硬盘分区表或C盘引导区(Y/N)？!网址163164.cn 微信1631640 QQ3149886






　　按“Y”键继续搜索，经过一段时间的搜索，屏幕显示：




　　Insert a formatted diskettesintosdrive A,pressed "y" to save "error" partiton table floppy filename HDPT.VIR,"n" to exit. continue:(y/n)




　　接着按“Y”键继续，屏幕显示：




　　Hard disk partition table or boot sector fixed OK!!! 电脑维修网 www.１６３164.com 教你修电脑




　　Fixing…………OK!OK!OK! 电脑维修网 www.１６３164.com 教你修电脑




　　Press any key to return




　　按任意键重新启动后可以找到C，找不到D、E盘，但C盘引导不起来。进入KV3000，用［F6］键查看分区表，第二关键代码如下(如)：






　　按［F6］，再按［F2］搜索硬盘扩展分区，结果显示(如)：






　　翻到第“6152895”扇区，第二关键代码显示如下(如图8)：

图8




　　按上例方法可以推算出主引导扇区的第二关键代码为(如图9)：

图9




　　用手工方法将推算出来的第二关键代码写入0扇区后重新启动，但还是不能引导，用A盘启动后可以DIR到所有盘及所有数据，用KV3000杀毒，共杀了177个CIH，用另一个相同系统制作一张启动盘，启动后传导系统给C盘，即在A:提示符下键入“SYS C:”回车，重新启动后可以很顺利进入Windows，所有盘的数据完好无缺。




　　如果你的机器不幸中了CIH，可以如法炮制。当然对于CIH还是防范最重要，请用户即时更新杀毒软件病毒库，如KV3000等，并安装病毒防火墙。