『壹』 硬碟被占滿,什麼病毒
你的電腦不排除有病毒,但硬碟缺了5G肯定不是病毒搞的。
病毒最大的特點就是隱蔽性,不可能那麼大的硬碟空間被病毒佔用。
查一下是不是有隱藏文件。
『貳』 我的電腦的硬碟盤符全消失,無法進入硬碟 桌面有一個文檔 題目為「此系統已被成功入侵」求大俠幫忙
[技術資料]勒索軟體(Ransomware)介紹
(發布時間:2006年07月03日 瀏覽資料:166次)
--------------------------------------------------------------------------------
1.什麼是勒索軟體
勒索軟體(RansomWare)是黑客用來劫持用戶資產或資源並以此為條件向用戶勒索錢財的一種惡意軟體。勒索軟體通常會將用戶系統上多種類型的文件,如文檔、郵件、資料庫、源代碼、圖片、壓縮文件等,進行某種類型的加密操作,使這些文件不可用。勒索軟體還可能通過修改系統配置文件,干擾用戶正常使用系統的方法使系統的可用性降低。然後,通過彈出窗口、對話框或生成文本文件等的方式向用戶發出勒索通知,要求用戶向指定帳戶匯款來獲得解密文件的密碼或者獲得恢復系統正常運行的方法。
2.Ransomware的特點
勒索軟體在受害用戶主機上運行後,會在主機上搜索多種類型的文件,而文件類型是由擴展名標識的。一般搜索具有.txt、.doc、.rtf、.xls、.ppt、.chm、.cpp、.asm、.db、.db1、dbx、.cgi、.dsw、.gzip、.zip、.jpg、.key、.mdb、.pgp、.pdf等。這些文件包含了用戶可能用到的大部分重要資料,使用戶面臨重要信息丟失的風險。 然後,勒索軟體將對這些搜索到的文件進行加工處理。一般有三種處理策略:(一)將搜索到所有文件壓縮為一個帶密碼保護的zip文件,然後刪除源文件;(二)將每個文件都單獨加密,然後刪除源文件。比如有一個「畢業論文最終版.doc」,勒索軟體會生成「已加密_畢業論文最終版.doc」以標志源文件;(三)創建一個隱藏的文件夾,將所有文件移動到該文件夾內,造成文件丟失的假相,這種方法危害最低,最容易找迴文件。
勒索軟體將文件加密後,一定要以醒目的方式通知到用戶,並用詳細清晰的文字說明需要用戶進行哪些操作才能找迴文件。勒索軟體一般在被加密文件的相同文件夾內或桌面上生成一個文本文件,或者通過彈出窗口或對話框的方式通知用戶。文本文件或窗口會說明已對文件進行的加密操作和詳細匯款方法。而且可能會強調4方面的內容:(一)文件已被加密,暴力破解密碼軟體或反病毒軟體均無法解密;(二)按照「用戶通知」的指示進行匯款等操作是唯一找迴文件的方法;(三)通過報警或通知相關部門等方法都無法解決問題;(四)請及時匯款,文件正在以某個時間間隔被刪除。
目前已經發現的匯款方式包括通過Western Union匯款、通過E-Gold匯款、向銀行或手機帳戶匯款等。 勒索軟體一般不會象蠕蟲那樣傳播,因為這樣很容易被安全人員獲得樣本,從而對其進行分析,從而找到解密方法。因此,勒索軟體通常採用人工方法掛接在被攻陷的網站上,用戶瀏覽惡意網頁時就可能遭到感染。不排除攻擊者通過Botnet散發勒索軟體的可能。勒索軟體為了避免自身被安全人員分析,通常加密用戶文件並生成提示用戶文本之後就自刪除。
3.RansomWare實例介紹
從2006年3月開始,RanWare顯著增多。下面列舉幾種典型的Ransomware。
Table 1 典型RansomWare的功能與對比
名稱
發現時間
攻擊文件方法
勒索方法
Trojan.Pluder.a(敲詐者)
2006.6.14
將多種類型的文件拷貝到隱藏文件夾中
向指定工商銀行帳戶匯款¥80左右
Arhiveus
2006.5.5
將「My Documents"文件夾內的文件連接成一個EncryptedFiles.als文件,將源文件刪除。同時在該文件夾下生成文本文件「INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt」,指導用戶如何解密文件。解密密碼以明文方式存在在惡意代碼中。
指示用戶從某些個俄羅斯網站購買價值$75左右的葯品。用戶購買葯品後,將購買葯品的訂單ID通過郵件發送給攻擊者,攻擊者確認無誤後將密碼通過郵件回復給受害者。
Trojan.Randsom.A
2006.5.1
用戶通知窗口顯示在其他窗口之前,干擾用戶使用系統;欺騙用戶說每隔30分鍾刪除一個文件,其實並沒有刪除文件
通過Western Union匯款$10.99
Trojan.Cryzip
Trojan.Cryzip變種
2006.3.11
2006.3.22
將文檔、文本文件、資料庫文件等多種類型的文件壓縮為帶密碼保護的zip文件。用於生成zip文件的密碼以明文的形式存放在Cryzip 文件中。
Cryzip新版本使用的壓縮密碼從某網站上動態下載
通知用戶將$300匯入指定的E-GOLD帳戶。操作方法有非常詳細的說明。
Trojan.PGPCode
2005.5.23
將用戶文件用RSA演算法加密
通知用戶使用E-GOLD匯款$200
4.RansomWare的應對與防範
1)樹立安全意識
RansomWare侵入受害主機的方法與其他惡意軟體並沒有差別,所以,常規的防範措施仍然適用於RansomWare,如安裝防病毒軟體、防火牆軟體、及時為系統和應用軟體升級和打補丁等。
2)預防為主,備份是關鍵
目前發現的幾種Ransomware都可以通過分析找到解密方法,但攻擊者稍做努力,就可以使解密文件變為不可能,只有匯款或等待攻擊者落入法網才能找迴文件,這是Ransomware發展的必然趨勢。所以,定期備份重要文件是最關鍵的。
備份文件並不只是為了預防Ransomware,而是有多種好處,比如預防系統崩潰或硬碟損壞。此外,當文件被加密後,保存源文件有時有助於破解加密演算法。如果用戶對一個被Ransomware加密的壓縮包中的某個文件有備份,那麼,利用諸如「Elcomsoft's Advanced ZIP Password Recovery」之類的採用「已知明文攻擊」的方法進行密碼恢復的工具,可能會解密被壓縮的文件。
3)求助解決,不要輕易匯款
用戶一旦感染RansomWare,系統上的許多重要文件被加密或隱藏,但不要輕易地按Ransomware的要求進行匯款之類的操作,而是要向網路安全管理部門、執法部門、應急組織或防病毒廠商投訴。這樣,一方面可能獲得解密或恢復文件的技術支持,另一方面也有利於為相關部門提供尋找攻擊者的線索和保護受害者的方法。如果感染此類Ransomware的用戶很多,必然得到關注,解密方法也可能獲得,從而不必匯款。
你先看一下你中了什麼病毒,你的情況我看用DOS可以解決, 具體操作步驟請查閱 網路知道 關鍵詞 DOS 保存 我的 QQ 27198777,我中午有空,不明白的聯系我
『叄』 硬碟為何被侵蝕
一般是出廠時就裝好的系統恢復軟體。要不然就是硬碟的分區表損壞了,導致看起來硬碟空間顯示有錯誤。找norton的磁碟醫生掃描一下。
『肆』 電腦硬碟被鎖住了
雨林木風的系統盤
沒用過
不過都是差不多的
你是說用DISKGEN嗎
進去更新有的
如果你不知道怎麼進去的話就沒辦法了
光碟啟動以後不是有選擇的嗎 一步步來就好了
都是中文提示的 第一個選項裡面就有更新硬碟表面
但是要你有改動 比如重建C盤之類的才能更新
實踐一次就知道了
如果你後悔的話
我忘記是什麼選項了
但是不要選交叉方式就好了
影響中是第六個位置 第幾個選項忘記了
一會看看再給你說吧
其實還是一句話 不動手永遠不會做
『伍』 電腦硬碟被莫名其妙佔用
電腦用久了就會這樣子的,只能重新GHO瘦身。有隱藏文件有隱藏文件有隱藏文件電腦中毒了!!做系統時,是不是把D盤做成啟動盤了你仔細檢查一下,應該是有隱藏文件的,劃分虛擬內存也是會有文件形成的。把它格式化看看有沒有那麼多
『陸』 系統被入侵,硬碟已被鎖死怎麼辦
病毒名稱:敲詐者(Trojan.Disclies.e)病毒類型:nbsp;木馬程序nbsp;感染系統:Windowsnbsp;9X/Me/NT/2000/XPnbsp;病毒介紹:nbsp;該木馬程序運行後,可惡意隱藏計算機用戶系統中的文檔,同時在系統里出現可以幫助計算機用戶修復丟失掉的數據信息的文本文件「拯救磁碟.txt」,目的是向受感染的計算機用戶索取錢財。1、生成病毒文件nbsp;計算機用戶一旦受到該木馬程序的感染,會在系統目錄%System%下生成自身的拷貝,名稱為redplus.exe。(其中,%System%在Windowsnbsp;95/98/Menbsp;下為C:WindowsSystem,在Windowsnbsp;NT/2000下為C:WinntSystem32,在Windowsnbsp;XP下為nbsp;C:WindowsSystem32)2、生成文本文件「拯救硬碟.txt」木馬程序進入受感染計算機用戶的系統以後,會在「開始所有程序啟動」里生成一個文本文件「拯救硬碟.txt」,其內如如下:當用戶按照「拯救磁碟.txt」中描述的步驟,運行redplus.exe後,會顯示3、隱藏文檔nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;該木馬程序一旦被運行以後,會在計算機系統根目錄下建立屬性為系統、nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;隱藏和只讀的備份文件夾「控制面板」,同時它會搜索計算機系統中所有後綴nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;名為.xls、.doc、.mdb、.ppt、.wps的文件,找到後把這些文件移動到備份文nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;件夾中,這樣計算機用戶的數據文件就被隱藏起來,表面上看起來是系統中上nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;述文件丟失了,已達到向受感染的計算機用戶索取錢財的目的。4、終止進程nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;該木馬程序運行時,還會試圖終止除幾個系統進程之外的所有系統正在運nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;行的進程程序。如果計算機系統中裝有反病毒軟體和一些病毒分析工具,木馬nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;也會將其進程終止,以達到保護自己的目的。手動解決方法:nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;1、打開工具選項—〉文件夾選項—〉選擇顯示所有文件和文件夾並且將隱藏nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;受保護的操作系統文件前的√去掉。nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;2、將根目錄下的名為「控制面板」隱藏文件夾用WinRAR壓縮,然後啟動nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;WinRAR,切換到該文件夾的上級文件夾,右鍵單擊該文件夾,在彈出菜單nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;中選擇「重命名「。nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;3、去掉文件夾名「控制面板」後面的ID號{21EC2020-3AEA-1069-A2DD-nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;08002B30309D},即可變為普通文件夾了;也可直接進入該文件夾找回丟nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;失的文件。具體網址:http://csc.rising.com.cn/KnowledgeBase/detailInfo.aspx?Action=ViewInfoamp;InfoID=701amp;Channel=RSV
『柒』 電腦硬碟被鎖了,怎麼解決。!
解開硬碟邏輯死鎖的一種有效方法
一·序言
不知道你是否曾碰到過從軟盤和硬碟都啟動不了計算機的情形?一般計算機的硬
盤分區表被病毒感染後,若不能啟動機子,通常從軟盤可以啟動。但在嚴重的情形下 ,不但從硬
盤不能啟動機子,就是從軟盤也不能啟動。有的惡毒的病毒就能使硬碟被死鎖。筆者一次在自己
機子上玩弄硬碟鎖時,就被鎖住過一次。結果在硬碟下選擇DOS或WIN95模 式啟動機子都死機,在
軟盤下用DOS啟動也死機;在COMS中將硬碟類型選擇None,雖然可以從軟盤啟動,但啟動後沒有硬
盤,使用軟盤上的FDISK命令,想重新分區或格式化都沒門。 弄得我一籌莫展。
本來,硬碟被鎖住時,可以採用3.0以下的DOS版本啟動機子,機子啟動後雖然也
不認硬碟,但其不認的原因在於其管理不了現在的大硬碟,因此可以用Debug修改硬碟 分區表,
修改後可以啟動。但在已進入WINDOWS的年代,3.0以下的DOS實難找到,即使找到,你的機子上恐
怕也因沒有5寸軟碟機而不能使用。因此,最好的辦法是編制一個程序來解決 這個問題。筆者通過
嘗試和思考,找到一種比較實用的方法,可以輕松解開死鎖的硬碟,當然也把自己的硬碟解開
了。下面,我將這種方法介紹出來。
二·硬碟鎖住原理
硬碟鎖住通常是對硬碟的分區表做手腳,因此首先應該了解硬碟的分區表。硬碟
分區表位於0柱面0磁頭1區,這個扇區的前面200多個位元組是主引導程序,後面從01BEH 開始的64
個位元組是分區表。分區表共64位元組,分為4欄,每欄16位元組,用來描述一個分區。如果是用DOS的
FDISK程序分區後,最多隻用兩欄,第一欄描述基本的DOS分區,第二欄描述 擴展的DOS分區。
分區表一欄的結構與各位元組的含義如下:
00H-標志活動位元組,活動DOS分區為80H,其它為00H。
01H-本分區邏輯0扇區所在的磁頭號。
02H-邏輯0扇區所在柱面中的扇區號。
03H-邏輯0扇區所在的柱面號。
04H-分區類型標志。
05H-本分區最後一個扇區的磁頭號。
06H-最後一個扇區的扇區號。
07H-最後一個柱面的柱面號。
08H-硬碟上在本分區之前的扇區總數,用雙字表示。
0CH-本分區的扇區總數,從邏輯0扇區計數,不含隱藏扇區,用雙字表示。
在上面的介紹中給出的柱面號與扇區號雖然各佔一個位元組,但實際上扇區號用6位
表示,柱面號用10位表示,扇區號所在位元組的最高兩位實際上是柱面號的最高兩位。
分區表的最後兩個位元組是分區表的有效標志,如果將其改變,將不能從硬碟啟
動,這是一種簡單的鎖住硬碟的方法。解決的辦法是從軟盤啟動,啟動後硬碟仍然可以 使用。用
Debug或Noratn中的Diskedit軟體將硬碟該分區表中的標志恢復,則從硬碟啟動也沒有問題了。鎖
住硬碟的另一種方法是對分區參數做手腳,如果將分區參數全部變為0,則 啟動時由於找不到分
區參數,從硬碟是沒法啟動,從軟盤啟動後也不認硬碟,如果你敲入盤符C並回車,將出現提示
Invalid
driver
specification。但所幸的是,畢竟可以啟動機子,不認硬碟沒關系,在A盤上用
DOS的Debug仍然可以讀出硬碟0柱面0磁頭1扇區的內容,修改後再寫入0柱面0磁頭1扇 區,重新啟
動機子又沒問題了。如果將分區表參數隨意改為其它參數,則有可能不能用可以安裝DOS的DOS系
統盤啟動,按F3退出後將出現內存分配錯誤,不能裝載DOS的命令解釋 器COMMAND的提示,系統就
死機了,筆者就曾碰見過這種情形。但用一張格式化成系統盤的軟盤則可以順利啟動,只要有
Debug,你仍然可以將分區表參數修改回去。可怕的事情是, 如果你不幸將分區表參數改成一個
循環鏈,即C盤的下一個分區指向D驅,D驅的下一個分區又指向C區,這樣循環下去,DOS啟動或
WIN95啟動時由於無休止的讀取邏輯驅動器,就只有 死機的份了。這是只要有硬碟存在,不管你
用軟盤還是硬碟都沒法啟動機子了,由於不能啟動是由於硬碟造成的,即使你將硬碟下到其它計
算機上,也沒法使用,這樣硬碟就徹底被 鎖死了,筆者所遭遇就是此情形。不信,你只需將硬碟
0柱面0磁頭1扇區的1D0H處改為1(如果你的D驅開始柱面號不夠大,此處本來就為1),將1D1H處
改為0,表示D盤的開始柱面號 跟C盤一樣,看看你的計算機還能不能啟動,不過你在沒有充分的
准備前絕不要試。
一個完整的硬碟鎖程序,不過是重新改寫0柱面0磁頭1扇區的引導程序,並將分區
表破壞或故意製造一個循環分區表,而將真正的硬碟分區表參數和引導程序放在其它 隱藏扇區並
保護起來,如果啟動時口令不對,則不能啟動機子,口令對了則順利啟動。這種硬碟鎖程序,情
形好的還可以用軟盤啟動;情形嚴重的就是連軟盤也不能啟動,硬碟真被 鎖住。
三·解開硬碟鎖的程序法
如果硬碟被鎖死,是否真的就無法解開呢?當然不是。看看問題的症結所在,根
源在於DOS中的IO.SYS文件,它包含LOADER、IO1、IO2、IO3四個模塊,其中IO1中包含 有一個很
關鍵的程序SysInt_I,它在啟動中很固執,非要去讀分區表,而且不把分區表讀完誓不罷休。如
果碰上分區表是循環的,它就只有死機了。這是DOS的脆弱性和不完備性。其 實這也不能怪DOS,
因為DOS為了獲得硬碟使用權,就必需讀分區表參數,而且DOS還約定驅動器號不能超過26,只不
過沒有考慮到此等循環分區表情形。一句話,機子不能啟動不過是 DOS操作系統造成的,如果另
寫一個操作系統,或許就能啟動機子。當然這只是說個笑話。
明白了病因在於DOS,問題就好辦了。DOS啟動中不是要讀硬碟分區表嗎?我不讓
你讀分區表甚至連硬碟都不讓你讀,不就可以順利啟動了。的確是這樣的,開硬碟鎖 的程序實現
方法就是基於這個思想形成的。當然,這只有從軟盤啟動著手了。
看看計算機的啟動過程,上電首先進行的多項硬體自測跟我們沒有關系,我們關
心的只是它最開始和磁碟打交道時是干什麼。如果選擇從硬碟啟動,則計算機和磁碟 最開始打交
道是將硬碟0柱面0磁頭1扇區的內容讀入內存0000:7C00處並跳到0000:7C00處執行;如果選擇從
軟盤啟動,則計算機和磁碟最開始打交道是將A盤0磁軌0磁頭1扇區的內容 讀入內存0000:7C00處
並跳到0000:7C00處執行,在執行過程中,計算機並不檢查該扇區的內容是什麼,只機械地執行
讀命令,這使得許多系統型病毒得以生存。但利用這一點,恰 恰使我們的程序解鎖法有了用武之
地。如果我們用DOS格式化一張可以啟動機子的系統軟盤,將該軟盤的0磁軌0磁頭1扇區的內容移
到後面的空白扇區中,而重新寫一段程序到該軟盤 的0磁軌0磁頭1扇區,這樣用軟盤啟動時首先
執行的是我們所寫的程序了。在這段程序中,具備這樣一些功能:在DOS啟動前搶先攔截INT
13H,駐留高端內存並監視INT
13H,判斷是否讀硬碟,如果是讀硬碟就直接返回,這樣就禁止了讀硬碟,也就避
免了DOS讀硬碟循環分區表造成的死機;同時攔截對軟盤的讀取,如果讀軟盤的0磁軌 0磁頭1扇
區,就改成讀真正有引導程序和磁碟參數表的扇區,免得DOS在啟動中找不到軟盤的磁碟參數表而
死機。完成這些任務的同時,還要讀取軟盤真正的引導程序並把控制權交給 它。
該方法可以稱為萬能的,因為它在用軟盤啟動中,始終不與硬碟打交道,這樣不
管你硬碟用什麼方法加鎖了,對DOS的啟動都沒有影響。當然,這樣啟動的機子是不認 硬碟的,
但這沒有關系。你可在機子啟動後,用Debug調出駐留高端內存的新INT
13H程序,將其改為只有一條直接執行舊INT 13H的語句,這樣在Debug下可以用
INT
13H讀取硬碟0柱面0磁頭1扇區的內容,如果你有備份,將分區表參數恢復後再寫
入0柱面0磁頭1扇區,重新啟動計算機就可以了。如果實在沒有備份,去掉分區表中的 循環鏈,
用正常DOS啟動盤重啟機子後至少也可以重新對硬碟分區,不至於硬碟被鎖住打不開了。
四·程序及說明
1·下面是寫入軟盤0磁軌0頭1扇區的源程序key.com,程序用debug輸入。
C>debug
-a100
100 CLI
101 XOR AX,AX
103 MOV DS,AX
105 MOV ES,AX
107 MOV SS,AX
109 MOV AX,7C00
10C MOV SP,AX
10E STI
10F MOV SI,AX
111 MOV DI,7E00
114 CLD
115 MOV CX,0200
118 REPNZ
119 MOVSB
11A JMP 0000:7E1F
11F MOV CX,0003
122 PUSH CX
123 MOV AX,0201;讀啟動軟盤的引導扇區
126 MOV BX,7C00
129 MOV CX,4F01
12C MOV DX,0100
12F INT 13
131 POP CX
132 DEC CX
133 JNZ 0122
135 MOV AX,[004C];搶先獲取INT 13H的位置
138 MOV [7E88],AX
13B MOV AX,[004E]
13E MOV [7E8A],AX
141 MOV AX,[0413]
144 DEC AX
145 MOV [0413],AX
148 MOV CL,06
14A SHL AX,CL
14C MOV ES,AX
14E XOR AX,AX
150 MOV DS,AX
152 MOV SI,7E6D;復制改寫的INT 13H程序到高端內存
155 MOV DI,0000
158 MOV CX,0030
15B REPNZ
015C MOVSB
015D MOV AX,0000;將新INT 13H位置寫入中斷向量表
0160 MOV [004C],AX
0163 MOV AX,ES
0165 MOV [004E],AX
0168 JMP 0000:7C00
016D PUSHF;新INT 13H程序
016E CMP DX,0080;是否是硬碟
0172 JNZ 0176;不是硬碟則繼續
0174 POPF
0175 IRET;是硬碟則直接返回
0176 CMP DX,+00;是否讀軟盤BOOT區?
0179 JNZ 0186
017B CMP CX,+01
017E JNZ 0186
0180 MOV CX,4F01;是則讀79磁軌1磁頭1扇區
0183 MOV DX,0100
0186 POPF
0187 JMP 0000:0000;此處跳轉去執行舊INT 13,
;舊INT 13H的位置由前面程序獲得後寫入。
N key.com
RCX
200
W
Q
2·程序的裝載
在進行下面工作前,先用DOS格式化一張啟動的系統盤,並保證沒有壞扇區,最好
進行啟動測試,確保其可以啟動機子。由於現在機子上大多隻有3寸軟碟機,因此選 擇1.44M的3.5
寸軟盤。然後用debug
key.com將程序key.com調入內存偏移地址為100H,同時在400H處寫入一段裝載程
序。即:
C>debug key.com
-a400
400 MOV CX,0003
403 PUSH CX
404 MOV AX,0201;將A盤引導程序讀入內存1000H處
407 MOV BX,1000;為確保成功,首次採用重復讀3次
40A MOV CX,0001
40D MOV DX,0000
410 INT 13
412 POP CX
413 DEC CX
414 JNZ 0403
416 MOV AX,0301;將已讀入內存的軟盤引導程序寫入軟盤
419 MOV BX,1000;最後一個磁軌的首扇區
41C MOV CX,4F01
41F MOV DX,0100
422 INT 13
424 MOV AX,0301;將key.com程序寫入軟盤0磁軌0磁頭1扇區
427 MOV BX,0100
42A MOV CX,0001
42D MOV DX,0000
430 INT 13
432 INT 3
為保證萬無一失,最好將軟盤這兩個扇區的內容重新讀出來看一看,以保證寫成
功了。做好這一切,保險的還是進行一次測試,即用該軟盤啟動一次機子,看能否成 功,若成功
啟動,你就可以用循環分區表法鎖住硬碟,看從正常DOS下能否啟動,然後再用此軟盤啟動機子試
試,看看功效如何?
從該軟盤啟動後,不認硬碟,並且在高端內存駐留了新INT
13H程序,該段程序實際上是key.com中從16D到187部分。由於有此段程序存在,
在debug下也無法讀硬碟,也就沒法恢復硬碟分區表,因此機子啟動後首先應修改這段 程序。現
在的機子基本內存通常都為640K,這樣這段程序就位於內存中9FC0:0000處,在debug下,用
U9FC0:0顯示這段程序,可以看到位於9FC0:001A處是一條跳轉指令,該跳轉指 令即轉去執行最
原始的INT
13H。由於BIOS版本不一樣,跳轉指令指向的位置可能不一樣,如筆者機子上是一
條JMP
F000:A5D4語句。這時在在debug下編寫這樣一語句:a9FC0:0 JMP
F000:A5D4。這樣,對硬碟的禁寫與禁讀都不再起作用了,在debug下用INT
13H的2號子功能可以讀出硬碟分區表,修改恢復後再用3號子功能將數據寫回分區
表。退出debug,重新用正常DOS啟動計算機,就可以了。
附帶提一下,在正常DOS下,該軟盤由於沒有BOOT區,也就沒有磁碟參數表,從而
不能使用,用DIR A:命令會出現General
failure reading drive A提示。不要理睬它,這並不影響它作特殊啟動盤。
五·建議
為更好的保護你的硬碟,筆者建議你最好將你的硬碟分區表信息備份起來。備份
有兩種方式,一種是以文件形式將硬碟每個邏輯盤的分區信息存儲起來;另一種是將 分區信息備
份在硬碟隱藏扇區里。比如可以將0柱面0磁頭1扇區備份在0柱面0磁頭3扇區,將D盤開始柱面號0
磁頭1扇區備份在該柱面0磁頭3扇區,其它邏輯盤也如此。這種方法簡單、 方便,也很可靠。用
NORTAN中的DISKEDI很容易操作和實現。有了備份分區表信息,就不怕破壞分區表的病毒了;再加
上我給你的程序,即使有人真鎖住了你的硬碟,你也可以輕而易 舉解開了。
『捌』 電腦硬碟突然被佔用了
這種情況很可能是系統中病毒了 顯示你的硬碟被東西填充了 建議殺下毒 實在不行重裝系統 把硬碟格式話
『玖』 硬碟被佔用了幾十G但在硬碟中又找不到文件
1.軟體導致空間「假」丟失
很多時候,自己明明刪除了一大批文件,結果硬碟可用空間不僅沒增加,反而還小了些,何故?
現在很多軟體都有刪除數據保護功能,例如諾頓的回收站保護功能、FinalData之類的數據恢復軟體等。如果你的系統中安裝了Norton System Works的話,在你清空回收站時,就會將回收站中的文件備份到硬碟中,即使清空回收站後還能恢復被清空的數據,我們可以在諾頓的刪除向導(UnErase Wizard)中查看這些文件。要想還原因被諾頓保護而「丟失」的硬碟空間,只須右擊桌面的「Norton Protected Recycle Bin」圖標,選擇「Empty Norton Protected Files」,在諾頓中清空這些文件即可。
另外,一些
數據恢復軟體也有數據保護功能。FinalData會自動把你刪除的文件都復制一份備份到一個目錄里,造成刪除文件後可用空間不會增加的現象。只要在這些軟體中找到並清除這些備份文件即可。
2.
病毒侵襲後導致硬碟空間丟失
病毒侵襲電腦後產生的電腦故障可謂五花八門,會導致硬碟空間丟失也是經常有的事。如遭CIH病毒侵襲後,一般都會出現硬碟空間丟失的現象。對付病毒,還是那句老話:安裝口碑好的防火牆和
殺毒軟體,定期升級病毒庫文件,不要輕易打開一些來路不明的可執行文件,定期升級系統,該打的補丁一個都不要落下。
3.文件分配表損壞導致空間丟失
文件分配表(FAT)是軟盤或硬碟上的一個隱含表。FAT記錄如何將文件存儲在特定的(不一定是連續的)簇上。文件分配表採用一種簡單的方法不停地跟蹤數據。在FAT中,第一簇的入口是用於存儲文件的第二簇的地址。在第二簇入口處則是第三簇的地址……直到包含文件結束碼的最終簇入口。如果FAT表數據因為某種原因遭到破壞,就會導致硬碟數據的邏輯連續性發生紊亂,從而發生硬碟空間丟失的現象。由於傳統FAT格式的缺陷,若某簇沒有在任何文件分配鏈中出現,而該簇在相應的文件分配表中又被標記為非零時,這時該簇既沒有被任何文件使用,又不可以再為其他文件所用,這樣就發生了「簇丟失」現象。簇的丟失必然會導致硬碟空間的丟失。這種「丟失」空間的現象通常是由於程序在運行中非正常終止,系統非正常關機而導致的。這種空間丟失的故障用一般的磁碟修復工具都可以解決,但數據往往無法修復。
4.其他原因
除了上面幾種常見的硬碟空間丟失的情況外,還有很多其他原因也可能導致硬碟空間的丟失。如硬碟出現了壞道也會導致容量減少。這時,建議先備份數據,然後用修復軟體對硬碟進行修復。除此之外,很多朋友設置了一些隱藏文件,這些隱藏文件在統計硬碟空間時並不會被當成正常文件所佔空間的大小,因而讓很多朋友懷疑為硬碟丟失了,其實不然。
總之,在硬碟空間丟失後,首先要考慮是否是磁碟出現了錯誤,其次,要考慮是否有病毒感染系統,再考慮是否因為系統中安裝了一些具有文件保護功能的軟體導致的。找到原因後就需要我們對症下葯找出相應的解決方案。(以上系引用文件,供你參考。另外你還可以看看你的電腦的系統還原功能是否開著,系統還原會佔用很多空間)