基本介紹
原因,原理,修復硬碟方法,結束語,
原因
kv300l++版捆綁邏輯炸彈,凡是在mk300v4製作的仿真盤(盜版盤)上執行kv300l++的用戶硬碟數據均被破壞,同時硬碟被鎖,軟硬碟皆不能啟動。Kv300邏輯炸彈可以造成電腦軟硬碟都不能啟動的現象。
kv300邏輯炸彈表現
2.不做任何備份;
3.沒有任何提示;
4.在特定條件(盜版盤)下激發;
5.王江民始終沒有公開提供恢復程式;
6.如果用一般常用的修復磁碟工具,如NORTON,會造成不可逆轉的損失;
7.對其的恢復類似於cih破壞數據的恢復,因為需要重建分區表;
原理
位置和分區 引導程式 分區1 分區2 分區3 分區4 55 AA
所在位元組位置 0h 1BEh 1CEh 1DEh 1EEh 1FEh 200h
其實從0h到1BDh這446個位元組稱為引導程式,從1Beh到1FDh這64個位元組被稱謂硬碟分區表,一共可以容納4個分區的數據;從1Feh到200h這2個位元組被稱為自舉標誌,在啟動的時候,為BIOS檢查用的。接下來我們來看看我們的硬碟上面,是不是已經遭受了江民硬碟炸彈的攻擊了,結果發現引導程式被改了,硬碟的分區表壞了,但是55AA好像還很正常。看來是硬碟鎖的問題了,這樣,硬碟的磁頭就被鎖在硬碟分區表上了,也就不能重啟了呀。
修復硬碟方法
低格硬碟
先說一個簡單的方法,就是低格硬碟了:
找一台主機BIOS中帶有低格軟體的計算機,把被鎖硬碟用這一台計算機進行低格就可以解除硬碟鎖了呀,不過我事先說一下,你的硬碟什麼都沒有了呀,而且這樣的電腦好像也消失了呀。
熱插拔
第2種方法就要熱插拔了:
先將硬碟的電源拔得松一點,將98啟動盤放入軟碟機,然後啟動電腦,這時要小心看這電腦呀:)在軟碟要啟動的時候按下PAUSE鍵,使電腦停止啟動;然後是高潮了呀,你要小心地拔掉硬碟的電源線,按回車鍵,計算機又開始啟動了,啟動完畢後,將硬碟的電源線再插入硬碟。然後硬碟就可以使用了呀~哈哈,不過這種方法,太冒險了呀,做不好就會機毀人傷呀:)所以我還是不推薦這樣呀。
debug法
第3種方法debug法。
a:\>debug
-a
-????:100 mov ax,0201(讀一扇區內容)
-????:103 mov bx,500(設定一快取地址)
-????:106 mov cx,0001(設定第一硬碟的硬碟指針)
-????:109 mov dx,0080(讀零磁頭)
-????:10c int 13 (硬碟中斷)
-????:10e int 20
-????:0110回車
(註:-????各硬碟不相同,跟後面的:1??都是自動顯示的,我們要輸入的只是其後的內容)
-g
-d500 (查看運行後快取地址500的內容,這時候我們會發現地址6be開始的內容就是硬碟分區表信息,如果硬碟的擴展分區正是指向自己,那么DOS或WINDOWS啟動時就會因查找邏輯分區而陷入死循環。)在DEBUG指示符下繼續修改記憶體數據:
E6BE
??.0 ??.0 ??.0……
……
……55 AA
55 AA是硬碟有效的標誌,不要修改,??.0表示把以前的數據“??”改成了0,再用硬碟中斷13把修改好的數據寫入硬碟就可以了:
A:\>debug
a 100 (表示修改100地址的彙編指令)
-????:100 mov ax,0301 (寫硬碟一個扇區)
-????:回車
-g (運行)
-q (退出)
退出後運行fdisk/mbr來重置硬碟引導程式,重新啟動即可。
這種方法雖然麻煩一點,但是它能夠恢復硬碟分區表,也就是說恢復以後硬碟中的數據也不會丟失。而以下方法雖然更加方便,但是要么硬碟中的數據難保,要么有一定危險性
修改IO.SYS的方法
第4種是修改IO.SYS的方法
我們用Ultraedit打開C:\\IO.SYS,查找“b9 01 00 cd 13"(MS Dos6.22隻有一處,Win98 有2處要修改),改為“b9 10 00 cd 13”。不過,這樣操作後,即使硬碟分區表是完好的,啟動後也不認硬碟。所以修改IO.SYS以後,如果要正常訪問硬碟還是要把IO.SYS恢復原狀。
DM修復
第5種方法是DM修復
第一步,把DM拷到好的硬碟上(如果有的話,沒有的就用軟碟好了)。
第二步,接上壞硬碟,開機,進CMOS,除好硬碟外,其他的IDE設為NONE(關鍵所在),保存,啟動。
第三步,進入DOS,運行DM,選中壞硬碟,分區格式化,OK後啟動。
第四步,進CMOS,識別硬碟或設為AUTO,保存後啟動。
好了,簡單吧。
