CIH je hodně drsný virus, proto i obnova ztracených dat vyžaduje drsný způsob. Následující postup napsal zkušený servisák, kterému od šestadvacátého prošlo pod rukama mnoho pevných disků.
Petr Holub: V zásadě vir smaže MasterBOOT, DOS BOOT, celou první FAT, část druhé FAT, kořenový adresář (ROOT) a část dat za ním. Postup záchrany spočívá v ruční rekonstrukci těchto systémových oblastí nebo jejich obnovení ze zálohy (pokud ji máte a není moc stará - FAT se mění při každém zápisu či mazání disku).
Nejdůležitější pro záchranu jsou pečlivé poznámky a zálohování všech oblastí disku, které přepisujete. V případě nezdaru můžete vše vrátit a začít znovu. Pro tento případ (CIH) stačí zálohovat cca 1000 sektorů na disku FAT 16 a max. 21 000 sektorů pro FAT32 a 10GB disk. Velikost zálohy FAT32 totiž závisí na velikosti disku a větší disk, jak 10GB není zas tak běžný.
Ruční záchrana záleží na dvou věcech.
- Typu použité FAT, tedy FAT 16 a FAT 32
- Fragmentaci souborů na disku
A - Máte-li FAT 32 (WIN 98, WIN 95, SR2 a podpora velkých disků ), jste na tom lépe, protože FAT 32 je delší a vir zpravidla nepřepíše zcela její druhou kopii.
Postup je následující:
- Zjistěte, odkud je druhá kopie FAT 32 v pořádku (pokud je celá, máte 100% kliku a disk půjde obnovit komplet - pokračujte bodem 2), a začátek nahradíte vzestupnou sekvencí 32 bit (4 Byte) čísel od 01 00 00 00 ( Intel obrácená notace )
- tuto druhou kopii FAT 32 přesadíte do místa první kopie FAT 32 (tedy C0H1S33)
- Zrekonstruujte Master BOOT (MBR C0H0S1) a DOS BOOT (C0H1S1 až 32). POZOR! liší se od klasických MBR a DOS BOOT sektorů pro FAT 16!
- Pokud zůstal obsah kořenového adresáře, stačí jen nabootovat WIN 95 SR2 ze spouštěcí diskety a data na disku uvidíte. Můžete také bootovat z jiného funkčního disku s WIN95 SR2 nebo WIN 98. Data, jejichž clustery jste ve FAT 32 nahradil vzestupnou sekvencí 32bitových čísel, budou čitelná a funkční pouze v případě, že byla v minulosti defragmentována.
B - Máte-li FAT 16 (WIN 95 před SR2 nebo s vypnutou správou velkých disků) jsou pryč MBR, DOS BOOT, obě FAT 16, kořenový adresář a několik prvních souborů.
Postup je následující:
- Na disku vyhledat fyzicky místa odpojených adresářů z kořenového adresáře a poznačit si jejich clustery popřípadě i fyzické lokace
- Vytvořit FAT 16 - sekvenci 16 bit čísel od 1 - FFFF ( pozor Intel notace )
- Zrekonstruovat MBR a DOS BOOT ( klasický )
- Vytvořit pseudoadresářové položky v kořenovém adresáři a napojit clustery zjištěné v prvním bodě.
- Po BOOTu ( DOS 6.22 či WIN 95 - dlouhé názvy ) se objeví struktura
Poznámka k defragmentaci
Soubory které jsou fragmentované, půjdou zachránit jen z části nebo vůbec ne. Dle mých zkušeností lze zachránit cca 80 % dat, i když jste nedělali defragmentaci. Další roli hraje, zda byl soubor používán často (typicky databáze), čím častější používání tím vyšší fragmentace a nižší šance na obnovu. Také platí, čím delší soubor, tím více clusterů a tím větší možnost jejich fragmentace.
Bohužel neexistuje žádná obecná utilita, která by disk zachránila sama, protože vir maže začátek disku dosti různě a disky mohou být různě konfigurovány (od pondělka 26.4. jsem měl na stole cca 30 disků). Popsaným způsobem se zachránila téměř všechna data, bohužel postup vyžaduje poměrně zkušeného uživatele.
V případě nouze se můžete ozvat na firma@hotlineservis.cz.
