‘壹’ 硬盘被占满,什么病毒
你的电脑不排除有病毒,但硬盘缺了5G肯定不是病毒搞的。
病毒最大的特点就是隐蔽性,不可能那么大的硬盘空间被病毒占用。
查一下是不是有隐藏文件。
‘贰’ 我的电脑的硬盘盘符全消失,无法进入硬盘 桌面有一个文档 题目为“此系统已被成功入侵”求大侠帮忙
[技术资料]勒索软件(Ransomware)介绍
(发布时间:2006年07月03日 浏览资料:166次)
--------------------------------------------------------------------------------
1.什么是勒索软件
勒索软件(RansomWare)是黑客用来劫持用户资产或资源并以此为条件向用户勒索钱财的一种恶意软件。勒索软件通常会将用户系统上多种类型的文件,如文档、邮件、数据库、源代码、图片、压缩文件等,进行某种类型的加密操作,使这些文件不可用。勒索软件还可能通过修改系统配置文件,干扰用户正常使用系统的方法使系统的可用性降低。然后,通过弹出窗口、对话框或生成文本文件等的方式向用户发出勒索通知,要求用户向指定帐户汇款来获得解密文件的密码或者获得恢复系统正常运行的方法。
2.Ransomware的特点
勒索软件在受害用户主机上运行后,会在主机上搜索多种类型的文件,而文件类型是由扩展名标识的。一般搜索具有.txt、.doc、.rtf、.xls、.ppt、.chm、.cpp、.asm、.db、.db1、dbx、.cgi、.dsw、.gzip、.zip、.jpg、.key、.mdb、.pgp、.pdf等。这些文件包含了用户可能用到的大部分重要资料,使用户面临重要信息丢失的风险。 然后,勒索软件将对这些搜索到的文件进行加工处理。一般有三种处理策略:(一)将搜索到所有文件压缩为一个带密码保护的zip文件,然后删除源文件;(二)将每个文件都单独加密,然后删除源文件。比如有一个“毕业论文最终版.doc”,勒索软件会生成“已加密_毕业论文最终版.doc”以标志源文件;(三)创建一个隐藏的文件夹,将所有文件移动到该文件夹内,造成文件丢失的假相,这种方法危害最低,最容易找回文件。
勒索软件将文件加密后,一定要以醒目的方式通知到用户,并用详细清晰的文字说明需要用户进行哪些操作才能找回文件。勒索软件一般在被加密文件的相同文件夹内或桌面上生成一个文本文件,或者通过弹出窗口或对话框的方式通知用户。文本文件或窗口会说明已对文件进行的加密操作和详细汇款方法。而且可能会强调4方面的内容:(一)文件已被加密,暴力破解密码软件或反病毒软件均无法解密;(二)按照“用户通知”的指示进行汇款等操作是唯一找回文件的方法;(三)通过报警或通知相关部门等方法都无法解决问题;(四)请及时汇款,文件正在以某个时间间隔被删除。
目前已经发现的汇款方式包括通过Western Union汇款、通过E-Gold汇款、向银行或手机帐户汇款等。 勒索软件一般不会象蠕虫那样传播,因为这样很容易被安全人员获得样本,从而对其进行分析,从而找到解密方法。因此,勒索软件通常采用人工方法挂接在被攻陷的网站上,用户浏览恶意网页时就可能遭到感染。不排除攻击者通过Botnet散发勒索软件的可能。勒索软件为了避免自身被安全人员分析,通常加密用户文件并生成提示用户文本之后就自删除。
3.RansomWare实例介绍
从2006年3月开始,RanWare显着增多。下面列举几种典型的Ransomware。
Table 1 典型RansomWare的功能与对比
名称
发现时间
攻击文件方法
勒索方法
Trojan.Pluder.a(敲诈者)
2006.6.14
将多种类型的文件拷贝到隐藏文件夹中
向指定工商银行帐户汇款¥80左右
Arhiveus
2006.5.5
将“My Documents"文件夹内的文件连接成一个EncryptedFiles.als文件,将源文件删除。同时在该文件夹下生成文本文件“INSTRUCTIONS HOW TO GET YOUR FILES BACK.txt”,指导用户如何解密文件。解密密码以明文方式存在在恶意代码中。
指示用户从某些个俄罗斯网站购买价值$75左右的药品。用户购买药品后,将购买药品的订单ID通过邮件发送给攻击者,攻击者确认无误后将密码通过邮件回复给受害者。
Trojan.Randsom.A
2006.5.1
用户通知窗口显示在其他窗口之前,干扰用户使用系统;欺骗用户说每隔30分钟删除一个文件,其实并没有删除文件
通过Western Union汇款$10.99
Trojan.Cryzip
Trojan.Cryzip变种
2006.3.11
2006.3.22
将文档、文本文件、数据库文件等多种类型的文件压缩为带密码保护的zip文件。用于生成zip文件的密码以明文的形式存放在Cryzip 文件中。
Cryzip新版本使用的压缩密码从某网站上动态下载
通知用户将$300汇入指定的E-GOLD帐户。操作方法有非常详细的说明。
Trojan.PGPCode
2005.5.23
将用户文件用RSA算法加密
通知用户使用E-GOLD汇款$200
4.RansomWare的应对与防范
1)树立安全意识
RansomWare侵入受害主机的方法与其他恶意软件并没有差别,所以,常规的防范措施仍然适用于RansomWare,如安装防病毒软件、防火墙软件、及时为系统和应用软件升级和打补丁等。
2)预防为主,备份是关键
目前发现的几种Ransomware都可以通过分析找到解密方法,但攻击者稍做努力,就可以使解密文件变为不可能,只有汇款或等待攻击者落入法网才能找回文件,这是Ransomware发展的必然趋势。所以,定期备份重要文件是最关键的。
备份文件并不只是为了预防Ransomware,而是有多种好处,比如预防系统崩溃或硬盘损坏。此外,当文件被加密后,保存源文件有时有助于破解加密算法。如果用户对一个被Ransomware加密的压缩包中的某个文件有备份,那么,利用诸如“Elcomsoft's Advanced ZIP Password Recovery”之类的采用“已知明文攻击”的方法进行密码恢复的工具,可能会解密被压缩的文件。
3)求助解决,不要轻易汇款
用户一旦感染RansomWare,系统上的许多重要文件被加密或隐藏,但不要轻易地按Ransomware的要求进行汇款之类的操作,而是要向网络安全管理部门、执法部门、应急组织或防病毒厂商投诉。这样,一方面可能获得解密或恢复文件的技术支持,另一方面也有利于为相关部门提供寻找攻击者的线索和保护受害者的方法。如果感染此类Ransomware的用户很多,必然得到关注,解密方法也可能获得,从而不必汇款。
你先看一下你中了什么病毒,你的情况我看用DOS可以解决, 具体操作步骤请查阅 网络知道 关键词 DOS 保存 我的 QQ 27198777,我中午有空,不明白的联系我
‘叁’ 硬盘为何被侵蚀
一般是出厂时就装好的系统恢复软件。要不然就是硬盘的分区表损坏了,导致看起来硬盘空间显示有错误。找norton的磁盘医生扫描一下。
‘肆’ 电脑硬盘被锁住了
雨林木风的系统盘
没用过
不过都是差不多的
你是说用DISKGEN吗
进去更新有的
如果你不知道怎么进去的话就没办法了
光盘启动以后不是有选择的吗 一步步来就好了
都是中文提示的 第一个选项里面就有更新硬盘表面
但是要你有改动 比如重建C盘之类的才能更新
实践一次就知道了
如果你后悔的话
我忘记是什么选项了
但是不要选交叉方式就好了
影响中是第六个位置 第几个选项忘记了
一会看看再给你说吧
其实还是一句话 不动手永远不会做
‘伍’ 电脑硬盘被莫名其妙占用
电脑用久了就会这样子的,只能重新GHO瘦身。有隐藏文件有隐藏文件有隐藏文件电脑中毒了!!做系统时,是不是把D盘做成启动盘了你仔细检查一下,应该是有隐藏文件的,划分虚拟内存也是会有文件形成的。把它格式化看看有没有那么多
‘陆’ 系统被入侵,硬盘已被锁死怎么办
病毒名称:敲诈者(Trojan.Disclies.e)病毒类型:nbsp;木马程序nbsp;感染系统:Windowsnbsp;9X/Me/NT/2000/XPnbsp;病毒介绍:nbsp;该木马程序运行后,可恶意隐藏计算机用户系统中的文档,同时在系统里出现可以帮助计算机用户修复丢失掉的数据信息的文本文件“拯救磁盘.txt”,目的是向受感染的计算机用户索取钱财。1、生成病毒文件nbsp;计算机用户一旦受到该木马程序的感染,会在系统目录%System%下生成自身的拷贝,名称为redplus.exe。(其中,%System%在Windowsnbsp;95/98/Menbsp;下为C:WindowsSystem,在Windowsnbsp;NT/2000下为C:WinntSystem32,在Windowsnbsp;XP下为nbsp;C:WindowsSystem32)2、生成文本文件“拯救硬盘.txt”木马程序进入受感染计算机用户的系统以后,会在“开始所有程序启动”里生成一个文本文件“拯救硬盘.txt”,其内如如下:当用户按照“拯救磁盘.txt”中描述的步骤,运行redplus.exe后,会显示3、隐藏文档nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;该木马程序一旦被运行以后,会在计算机系统根目录下建立属性为系统、nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;隐藏和只读的备份文件夹“控制面板”,同时它会搜索计算机系统中所有后缀nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;名为.xls、.doc、.mdb、.ppt、.wps的文件,找到后把这些文件移动到备份文nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;件夹中,这样计算机用户的数据文件就被隐藏起来,表面上看起来是系统中上nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;述文件丢失了,已达到向受感染的计算机用户索取钱财的目的。4、终止进程nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;该木马程序运行时,还会试图终止除几个系统进程之外的所有系统正在运nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;行的进程程序。如果计算机系统中装有反病毒软件和一些病毒分析工具,木马nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;也会将其进程终止,以达到保护自己的目的。手动解决方法:nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;1、打开工具选项—〉文件夹选项—〉选择显示所有文件和文件夹并且将隐藏nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;受保护的操作系统文件前的√去掉。nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;2、将根目录下的名为“控制面板”隐藏文件夹用WinRAR压缩,然后启动nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;WinRAR,切换到该文件夹的上级文件夹,右键单击该文件夹,在弹出菜单nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;中选择“重命名“。nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;3、去掉文件夹名“控制面板”后面的ID号{21EC2020-3AEA-1069-A2DD-nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;08002B30309D},即可变为普通文件夹了;也可直接进入该文件夹找回丢nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;nbsp;失的文件。具体网址:http://csc.rising.com.cn/KnowledgeBase/detailInfo.aspx?Action=ViewInfoamp;InfoID=701amp;Channel=RSV
‘柒’ 电脑硬盘被锁了,怎么解决。!
解开硬盘逻辑死锁的一种有效方法
一·序言
不知道你是否曾碰到过从软盘和硬盘都启动不了计算机的情形?一般计算机的硬
盘分区表被病毒感染后,若不能启动机子,通常从软盘可以启动。但在严重的情形下 ,不但从硬
盘不能启动机子,就是从软盘也不能启动。有的恶毒的病毒就能使硬盘被死锁。笔者一次在自己
机子上玩弄硬盘锁时,就被锁住过一次。结果在硬盘下选择DOS或WIN95模 式启动机子都死机,在
软盘下用DOS启动也死机;在COMS中将硬盘类型选择None,虽然可以从软盘启动,但启动后没有硬
盘,使用软盘上的FDISK命令,想重新分区或格式化都没门。 弄得我一筹莫展。
本来,硬盘被锁住时,可以采用3.0以下的DOS版本启动机子,机子启动后虽然也
不认硬盘,但其不认的原因在于其管理不了现在的大硬盘,因此可以用Debug修改硬盘 分区表,
修改后可以启动。但在已进入WINDOWS的年代,3.0以下的DOS实难找到,即使找到,你的机子上恐
怕也因没有5寸软驱而不能使用。因此,最好的办法是编制一个程序来解决 这个问题。笔者通过
尝试和思考,找到一种比较实用的方法,可以轻松解开死锁的硬盘,当然也把自己的硬盘解开
了。下面,我将这种方法介绍出来。
二·硬盘锁住原理
硬盘锁住通常是对硬盘的分区表做手脚,因此首先应该了解硬盘的分区表。硬盘
分区表位于0柱面0磁头1区,这个扇区的前面200多个字节是主引导程序,后面从01BEH 开始的64
个字节是分区表。分区表共64字节,分为4栏,每栏16字节,用来描述一个分区。如果是用DOS的
FDISK程序分区后,最多只用两栏,第一栏描述基本的DOS分区,第二栏描述 扩展的DOS分区。
分区表一栏的结构与各字节的含义如下:
00H-标志活动字节,活动DOS分区为80H,其它为00H。
01H-本分区逻辑0扇区所在的磁头号。
02H-逻辑0扇区所在柱面中的扇区号。
03H-逻辑0扇区所在的柱面号。
04H-分区类型标志。
05H-本分区最后一个扇区的磁头号。
06H-最后一个扇区的扇区号。
07H-最后一个柱面的柱面号。
08H-硬盘上在本分区之前的扇区总数,用双字表示。
0CH-本分区的扇区总数,从逻辑0扇区计数,不含隐藏扇区,用双字表示。
在上面的介绍中给出的柱面号与扇区号虽然各占一个字节,但实际上扇区号用6位
表示,柱面号用10位表示,扇区号所在字节的最高两位实际上是柱面号的最高两位。
分区表的最后两个字节是分区表的有效标志,如果将其改变,将不能从硬盘启
动,这是一种简单的锁住硬盘的方法。解决的办法是从软盘启动,启动后硬盘仍然可以 使用。用
Debug或Noratn中的Diskedit软件将硬盘该分区表中的标志恢复,则从硬盘启动也没有问题了。锁
住硬盘的另一种方法是对分区参数做手脚,如果将分区参数全部变为0,则 启动时由于找不到分
区参数,从硬盘是没法启动,从软盘启动后也不认硬盘,如果你敲入盘符C并回车,将出现提示
Invalid
driver
specification。但所幸的是,毕竟可以启动机子,不认硬盘没关系,在A盘上用
DOS的Debug仍然可以读出硬盘0柱面0磁头1扇区的内容,修改后再写入0柱面0磁头1扇 区,重新启
动机子又没问题了。如果将分区表参数随意改为其它参数,则有可能不能用可以安装DOS的DOS系
统盘启动,按F3退出后将出现内存分配错误,不能装载DOS的命令解释 器COMMAND的提示,系统就
死机了,笔者就曾碰见过这种情形。但用一张格式化成系统盘的软盘则可以顺利启动,只要有
Debug,你仍然可以将分区表参数修改回去。可怕的事情是, 如果你不幸将分区表参数改成一个
循环链,即C盘的下一个分区指向D驱,D驱的下一个分区又指向C区,这样循环下去,DOS启动或
WIN95启动时由于无休止的读取逻辑驱动器,就只有 死机的份了。这是只要有硬盘存在,不管你
用软盘还是硬盘都没法启动机子了,由于不能启动是由于硬盘造成的,即使你将硬盘下到其它计
算机上,也没法使用,这样硬盘就彻底被 锁死了,笔者所遭遇就是此情形。不信,你只需将硬盘
0柱面0磁头1扇区的1D0H处改为1(如果你的D驱开始柱面号不够大,此处本来就为1),将1D1H处
改为0,表示D盘的开始柱面号 跟C盘一样,看看你的计算机还能不能启动,不过你在没有充分的
准备前绝不要试。
一个完整的硬盘锁程序,不过是重新改写0柱面0磁头1扇区的引导程序,并将分区
表破坏或故意制造一个循环分区表,而将真正的硬盘分区表参数和引导程序放在其它 隐藏扇区并
保护起来,如果启动时口令不对,则不能启动机子,口令对了则顺利启动。这种硬盘锁程序,情
形好的还可以用软盘启动;情形严重的就是连软盘也不能启动,硬盘真被 锁住。
三·解开硬盘锁的程序法
如果硬盘被锁死,是否真的就无法解开呢?当然不是。看看问题的症结所在,根
源在于DOS中的IO.SYS文件,它包含LOADER、IO1、IO2、IO3四个模块,其中IO1中包含 有一个很
关键的程序SysInt_I,它在启动中很固执,非要去读分区表,而且不把分区表读完誓不罢休。如
果碰上分区表是循环的,它就只有死机了。这是DOS的脆弱性和不完备性。其 实这也不能怪DOS,
因为DOS为了获得硬盘使用权,就必需读分区表参数,而且DOS还约定驱动器号不能超过26,只不
过没有考虑到此等循环分区表情形。一句话,机子不能启动不过是 DOS操作系统造成的,如果另
写一个操作系统,或许就能启动机子。当然这只是说个笑话。
明白了病因在于DOS,问题就好办了。DOS启动中不是要读硬盘分区表吗?我不让
你读分区表甚至连硬盘都不让你读,不就可以顺利启动了。的确是这样的,开硬盘锁 的程序实现
方法就是基于这个思想形成的。当然,这只有从软盘启动着手了。
看看计算机的启动过程,上电首先进行的多项硬件自测跟我们没有关系,我们关
心的只是它最开始和磁盘打交道时是干什么。如果选择从硬盘启动,则计算机和磁盘 最开始打交
道是将硬盘0柱面0磁头1扇区的内容读入内存0000:7C00处并跳到0000:7C00处执行;如果选择从
软盘启动,则计算机和磁盘最开始打交道是将A盘0磁道0磁头1扇区的内容 读入内存0000:7C00处
并跳到0000:7C00处执行,在执行过程中,计算机并不检查该扇区的内容是什么,只机械地执行
读命令,这使得许多系统型病毒得以生存。但利用这一点,恰 恰使我们的程序解锁法有了用武之
地。如果我们用DOS格式化一张可以启动机子的系统软盘,将该软盘的0磁道0磁头1扇区的内容移
到后面的空白扇区中,而重新写一段程序到该软盘 的0磁道0磁头1扇区,这样用软盘启动时首先
执行的是我们所写的程序了。在这段程序中,具备这样一些功能:在DOS启动前抢先拦截INT
13H,驻留高端内存并监视INT
13H,判断是否读硬盘,如果是读硬盘就直接返回,这样就禁止了读硬盘,也就避
免了DOS读硬盘循环分区表造成的死机;同时拦截对软盘的读取,如果读软盘的0磁道 0磁头1扇
区,就改成读真正有引导程序和磁盘参数表的扇区,免得DOS在启动中找不到软盘的磁盘参数表而
死机。完成这些任务的同时,还要读取软盘真正的引导程序并把控制权交给 它。
该方法可以称为万能的,因为它在用软盘启动中,始终不与硬盘打交道,这样不
管你硬盘用什么方法加锁了,对DOS的启动都没有影响。当然,这样启动的机子是不认 硬盘的,
但这没有关系。你可在机子启动后,用Debug调出驻留高端内存的新INT
13H程序,将其改为只有一条直接执行旧INT 13H的语句,这样在Debug下可以用
INT
13H读取硬盘0柱面0磁头1扇区的内容,如果你有备份,将分区表参数恢复后再写
入0柱面0磁头1扇区,重新启动计算机就可以了。如果实在没有备份,去掉分区表中的 循环链,
用正常DOS启动盘重启机子后至少也可以重新对硬盘分区,不至于硬盘被锁住打不开了。
四·程序及说明
1·下面是写入软盘0磁道0头1扇区的源程序key.com,程序用debug输入。
C>debug
-a100
100 CLI
101 XOR AX,AX
103 MOV DS,AX
105 MOV ES,AX
107 MOV SS,AX
109 MOV AX,7C00
10C MOV SP,AX
10E STI
10F MOV SI,AX
111 MOV DI,7E00
114 CLD
115 MOV CX,0200
118 REPNZ
119 MOVSB
11A JMP 0000:7E1F
11F MOV CX,0003
122 PUSH CX
123 MOV AX,0201;读启动软盘的引导扇区
126 MOV BX,7C00
129 MOV CX,4F01
12C MOV DX,0100
12F INT 13
131 POP CX
132 DEC CX
133 JNZ 0122
135 MOV AX,[004C];抢先获取INT 13H的位置
138 MOV [7E88],AX
13B MOV AX,[004E]
13E MOV [7E8A],AX
141 MOV AX,[0413]
144 DEC AX
145 MOV [0413],AX
148 MOV CL,06
14A SHL AX,CL
14C MOV ES,AX
14E XOR AX,AX
150 MOV DS,AX
152 MOV SI,7E6D;复制改写的INT 13H程序到高端内存
155 MOV DI,0000
158 MOV CX,0030
15B REPNZ
015C MOVSB
015D MOV AX,0000;将新INT 13H位置写入中断向量表
0160 MOV [004C],AX
0163 MOV AX,ES
0165 MOV [004E],AX
0168 JMP 0000:7C00
016D PUSHF;新INT 13H程序
016E CMP DX,0080;是否是硬盘
0172 JNZ 0176;不是硬盘则继续
0174 POPF
0175 IRET;是硬盘则直接返回
0176 CMP DX,+00;是否读软盘BOOT区?
0179 JNZ 0186
017B CMP CX,+01
017E JNZ 0186
0180 MOV CX,4F01;是则读79磁道1磁头1扇区
0183 MOV DX,0100
0186 POPF
0187 JMP 0000:0000;此处跳转去执行旧INT 13,
;旧INT 13H的位置由前面程序获得后写入。
N key.com
RCX
200
W
Q
2·程序的装载
在进行下面工作前,先用DOS格式化一张启动的系统盘,并保证没有坏扇区,最好
进行启动测试,确保其可以启动机子。由于现在机子上大多只有3寸软驱,因此选 择1.44M的3.5
寸软盘。然后用debug
key.com将程序key.com调入内存偏移地址为100H,同时在400H处写入一段装载程
序。即:
C>debug key.com
-a400
400 MOV CX,0003
403 PUSH CX
404 MOV AX,0201;将A盘引导程序读入内存1000H处
407 MOV BX,1000;为确保成功,首次采用重复读3次
40A MOV CX,0001
40D MOV DX,0000
410 INT 13
412 POP CX
413 DEC CX
414 JNZ 0403
416 MOV AX,0301;将已读入内存的软盘引导程序写入软盘
419 MOV BX,1000;最后一个磁道的首扇区
41C MOV CX,4F01
41F MOV DX,0100
422 INT 13
424 MOV AX,0301;将key.com程序写入软盘0磁道0磁头1扇区
427 MOV BX,0100
42A MOV CX,0001
42D MOV DX,0000
430 INT 13
432 INT 3
为保证万无一失,最好将软盘这两个扇区的内容重新读出来看一看,以保证写成
功了。做好这一切,保险的还是进行一次测试,即用该软盘启动一次机子,看能否成 功,若成功
启动,你就可以用循环分区表法锁住硬盘,看从正常DOS下能否启动,然后再用此软盘启动机子试
试,看看功效如何?
从该软盘启动后,不认硬盘,并且在高端内存驻留了新INT
13H程序,该段程序实际上是key.com中从16D到187部分。由于有此段程序存在,
在debug下也无法读硬盘,也就没法恢复硬盘分区表,因此机子启动后首先应修改这段 程序。现
在的机子基本内存通常都为640K,这样这段程序就位于内存中9FC0:0000处,在debug下,用
U9FC0:0显示这段程序,可以看到位于9FC0:001A处是一条跳转指令,该跳转指 令即转去执行最
原始的INT
13H。由于BIOS版本不一样,跳转指令指向的位置可能不一样,如笔者机子上是一
条JMP
F000:A5D4语句。这时在在debug下编写这样一语句:a9FC0:0 JMP
F000:A5D4。这样,对硬盘的禁写与禁读都不再起作用了,在debug下用INT
13H的2号子功能可以读出硬盘分区表,修改恢复后再用3号子功能将数据写回分区
表。退出debug,重新用正常DOS启动计算机,就可以了。
附带提一下,在正常DOS下,该软盘由于没有BOOT区,也就没有磁盘参数表,从而
不能使用,用DIR A:命令会出现General
failure reading drive A提示。不要理睬它,这并不影响它作特殊启动盘。
五·建议
为更好的保护你的硬盘,笔者建议你最好将你的硬盘分区表信息备份起来。备份
有两种方式,一种是以文件形式将硬盘每个逻辑盘的分区信息存储起来;另一种是将 分区信息备
份在硬盘隐藏扇区里。比如可以将0柱面0磁头1扇区备份在0柱面0磁头3扇区,将D盘开始柱面号0
磁头1扇区备份在该柱面0磁头3扇区,其它逻辑盘也如此。这种方法简单、 方便,也很可靠。用
NORTAN中的DISKEDI很容易操作和实现。有了备份分区表信息,就不怕破坏分区表的病毒了;再加
上我给你的程序,即使有人真锁住了你的硬盘,你也可以轻而易 举解开了。
‘捌’ 电脑硬盘突然被占用了
这种情况很可能是系统中病毒了 显示你的硬盘被东西填充了 建议杀下毒 实在不行重装系统 把硬盘格式话
‘玖’ 硬盘被占用了几十G但在硬盘中又找不到文件
1.软件导致空间“假”丢失
很多时候,自己明明删除了一大批文件,结果硬盘可用空间不仅没增加,反而还小了些,何故?
现在很多软件都有删除数据保护功能,例如诺顿的回收站保护功能、FinalData之类的数据恢复软件等。如果你的系统中安装了Norton System Works的话,在你清空回收站时,就会将回收站中的文件备份到硬盘中,即使清空回收站后还能恢复被清空的数据,我们可以在诺顿的删除向导(UnErase Wizard)中查看这些文件。要想还原因被诺顿保护而“丢失”的硬盘空间,只须右击桌面的“Norton Protected Recycle Bin”图标,选择“Empty Norton Protected Files”,在诺顿中清空这些文件即可。
另外,一些
数据恢复软件也有数据保护功能。FinalData会自动把你删除的文件都复制一份备份到一个目录里,造成删除文件后可用空间不会增加的现象。只要在这些软件中找到并清除这些备份文件即可。
2.
病毒侵袭后导致硬盘空间丢失
病毒侵袭电脑后产生的电脑故障可谓五花八门,会导致硬盘空间丢失也是经常有的事。如遭CIH病毒侵袭后,一般都会出现硬盘空间丢失的现象。对付病毒,还是那句老话:安装口碑好的防火墙和
杀毒软件,定期升级病毒库文件,不要轻易打开一些来路不明的可执行文件,定期升级系统,该打的补丁一个都不要落下。
3.文件分配表损坏导致空间丢失
文件分配表(FAT)是软盘或硬盘上的一个隐含表。FAT记录如何将文件存储在特定的(不一定是连续的)簇上。文件分配表采用一种简单的方法不停地跟踪数据。在FAT中,第一簇的入口是用于存储文件的第二簇的地址。在第二簇入口处则是第三簇的地址……直到包含文件结束码的最终簇入口。如果FAT表数据因为某种原因遭到破坏,就会导致硬盘数据的逻辑连续性发生紊乱,从而发生硬盘空间丢失的现象。由于传统FAT格式的缺陷,若某簇没有在任何文件分配链中出现,而该簇在相应的文件分配表中又被标记为非零时,这时该簇既没有被任何文件使用,又不可以再为其他文件所用,这样就发生了“簇丢失”现象。簇的丢失必然会导致硬盘空间的丢失。这种“丢失”空间的现象通常是由于程序在运行中非正常终止,系统非正常关机而导致的。这种空间丢失的故障用一般的磁盘修复工具都可以解决,但数据往往无法修复。
4.其他原因
除了上面几种常见的硬盘空间丢失的情况外,还有很多其他原因也可能导致硬盘空间的丢失。如硬盘出现了坏道也会导致容量减少。这时,建议先备份数据,然后用修复软件对硬盘进行修复。除此之外,很多朋友设置了一些隐藏文件,这些隐藏文件在统计硬盘空间时并不会被当成正常文件所占空间的大小,因而让很多朋友怀疑为硬盘丢失了,其实不然。
总之,在硬盘空间丢失后,首先要考虑是否是磁盘出现了错误,其次,要考虑是否有病毒感染系统,再考虑是否因为系统中安装了一些具有文件保护功能的软件导致的。找到原因后就需要我们对症下药找出相应的解决方案。(以上系引用文件,供你参考。另外你还可以看看你的电脑的系统还原功能是否开着,系统还原会占用很多空间)