婷婷丁香激情五月,女老师电影全集免费看,天天五月天,九九视频这里只有精品,九九福利视频,聊斋艳谭8陆判性水仙

白云一鍵重裝系統2025 最簡單好用的系統重裝軟件 全網獨家技術/支持GPT-UEFI一鍵裝機 完美兼容市面所有主板 支持安裝windows XP/7/8/10/11 系統

當前位置:主頁 > 系統幫助 > 網友分享:Petya病毒以及其變種的運作原理和損失挽救方案

網友分享:Petya病毒以及其變種的運作原理和損失挽救方案

2017-08-11 15:23:37 分類:幫助
前段時間的wannacry平息之后不久,突然就爆發了Petya病毒及其變種病毒,同樣的類型的變種病毒以及同樣是勒索比特幣的問題。所以這個小編當然也比較關注這個消息了。同樣的,我也想了解一下這個病毒是怎么運作的。同時給大家講解一下Petya病毒以及其變種的運作原理和損失挽救方案,下面小編給大家帶來網友分享的Petya病毒以及其變種的運作原理和損失挽救方案。

Petya病毒以及其變種運作原理分析:
我拿到了Petya樣本(恕不提供下載)之后,重新調用回了之前用于測試的虛擬機,將病毒樣本丟進去準備測試。

Petya病毒以及其變種的運作原理和損失挽救方案步驟

雙擊之后,它會自動往硬盤寫入一些東西,閃過一行英文之后就立即重啟電腦了。(閃的速度太快了我沒看清楚是什么內容)
這個時候重啟進PE,可以看到數據還在這里。

Petya病毒以及其變種的運作原理和損失挽救方案步驟

但是如果通過外界的啟動菜單來從硬盤啟動,又可以正常啟動回Windows。

Petya病毒以及其變種的運作原理和損失挽救方案步驟

Petya病毒以及其變種的運作原理和損失挽救方案步驟

從這些特性說明,Petya是典型的MBR引導區病毒,觸發的時候首先惡意寫入了MBR,但不破壞PBR。
因此:
只要你使用的是UEFI啟動方式且為GPT分區表,該病毒對你的電腦就徹底失去作用,不會有任何影響。
但如果你用的是Legacy啟動方式(也就是MBR),你可以使用任何可能的防護軟件抵御MBR寫入動作。


那么如果撤去外界啟動菜單直接從硬盤的MBR啟動會發生什么呢?

Petya病毒以及其變種的運作原理和損失挽救方案步驟

運行一個假的chkdsk程序,實際上這個操作是破壞扇區。
不過,此操作并非全盤加密,因為全盤加密真正操作起來相當費時。如果你用過BitLocker全盤加密的話,應該知道加密/解密過程需要花多長時間。
在我寫這篇文章之前事先測試了一次,并在真正開始破壞之前我復制了整個硬盤的前1000000個扇區的數據(大概490MB)用于對比。
這個過程跑完之后,就是閃瞎眼的骷髏標志……

Petya病毒以及其變種的運作原理和損失挽救方案步驟

按下任意鍵之后,就進入了勒索提示。

Petya病毒以及其變種的運作原理和損失挽救方案步驟

我使用的這種Petya樣本是將信息填寫到這個onion網站上的,不過本質其實是一樣的。
在這個時候,你進入PE訪問整個硬盤,你會發現磁盤全部變成RAW無法訪問。

Petya病毒以及其變種的運作原理和損失挽救方案步驟

這個時候將被破壞的硬盤的前1000000個扇區提取出來,和之前備份的進行對比。我們使用的是UltraCompare這個工具。

Petya病毒以及其變種的運作原理和損失挽救方案步驟

我們這里可以看到,發生變化的主要是一直到0x00006350區段的所有內容,換算一下大概是28扇區,14KB的數據量。

Petya病毒以及其變種的運作原理和損失挽救方案步驟

而上面顯示,發生變化的內容有10965266字節,也大概是10MB的數據量,實際上遠沒有這么多。

對Petya病毒的總結:
1、它是一種MBR引導區病毒;
2、類似當年的CIH,為了加快破壞文件速度,它不使用全盤加密而是直接破壞的分區表;
3、但是,它破壞分區表并不是簡單地刪除分區表,而是破壞了每個分區的文件系統,導致系統無法再正確讀取這些磁盤的數據,因此也無法靠修復分區表來解決此問題。

損失挽救方案:
因此,想救回這些文件,你可以使用任何主流的支持從RAW分區恢復數據的數據恢復軟件來很方便地救回這些數據,比如說易數科技的DiskGenius、X-Ways的WinHex。
你可以選擇在PE下使用這類數據恢復軟件,也可以選擇將硬盤外接到別的電腦上來使用。
另外特別說明,這種情況出現之后,不要使用chkdsk磁盤掃描工具來修復磁盤,否則它會刪除這些你還可能救得回來的文件。

Petya病毒以及其變種的運作原理和損失挽救方案步驟

我這里使用的是專業版,為了支持開發商對數據恢復做出的努力,強烈建議購買正版。購買這類數據恢復軟件付出的代價也比向黑客支付300美元的贖金低得多,帶來的好處就比冒著可能無法恢復數據的風險支付贖金大得多。
當然,如果你的被破壞的分區是使用像BitLocker這樣的加密程序加密過的,那么數據拯救回來的可能性就比較低了。

恢復數據之后,這些文件的文件名可能已經丟失了,但是文件的狀態非常棒,數據也還完好,你可以把它們恢復到你的外接的存儲設備上,重新整理一下文件名和位置,再來重新安裝操作系統。
不過重新安裝系統的時候,如果條件允許,請一定要使用UEFI+GPT這種組合的安裝模式且關閉CSM來抵御引導區病毒的襲擊,而且需要安裝至少Windows 8。
如果電腦不能支持UEFI啟動模式,那么重裝系統完成之后,請一定要及時關閉可能的端口,安裝好系統更新并做好引導區防護工作,避免類似病毒的威脅。

Petya病毒以及其變種的運作原理和損失挽救方案步驟

數據無價,這是小編得出的結論,不管如何,重要數據文件備份到網盤或者移動硬盤才能更加安心。Petya病毒是一方面可以影響電腦數據的東西,還有人為損壞硬盤,硬盤的自然損壞,以及自己的錯誤操作都會導致數據丟失。所以請備份好自己的數據。
標簽: 系統問題
重裝系統幫助
U盤裝系統
優白云U盤裝系統

聯系我們 | 關于我們 | 網站地圖 | 白云一鍵重裝系統QQ群

提供一鍵重裝系統win7旗艦版,一鍵重裝xp系統,以及重裝win10專業版的重裝系統軟件以及系統重裝的相關教程
Copyright@2019-2024白云系統 版權所有. All Rights Reserved. ?備案號:粵ICP備20000429號
白云一鍵重裝系統唯一網址:www.8e8u.cn

主站蜘蛛池模板: 99精品久久99久久久久 | 韩国美女福利专区一区二区 | 亚洲国产精品久久人人爱 | 蜜臀精品 | 婷婷亚洲五月 | 日日操夜夜操狠狠操 | 天天噜噜揉揉狠狠夜夜 | 欧美激情精品久久久久久久九九九 | 欧美高清一区 | 国产自偷自拍 | 九九视频在线免费观看 | 久久九九亚洲精品 | 久久国产精品高清一区二区三区 | 国产精品合集一区二区三区 | 成人久久18网站 | 高清视频欧美性生活 | 99热这里只有精品久久免费 | 久久国产精品免费专区 | 97综合 | 免费看毛片的网站 | 国产高清视频免费 | 全国男人的天堂天堂网 | 久久99精品久久久久久综合 | 99久久精品一区二区三区 | www视频完整版 | 免费视频亚洲 | 久久久久久久网 | 日韩理论电影2021第1页 | 久热香蕉精品视频在线播放 | 少女免费观看完整版 | 日本九九视频 | 一级毛片播放 | 免费国产成高清人在线视频 | 成人在线观看国产 | 国产在线公开视频 | 操欧美老女人 | 免费电影在线观看网站入口 | 中国的毛片 | 狠狠综合视频精品播放 | 日本羞羞动漫 | www.亚洲综合|