电脑中所有文件都无法的打开的修复过程.pdfVIP

【前期信息】 山东某公司，企业规模也不算小，但不是 IT 公司，所以未做很好的数据存储规划。公司 的重要数据通过WINDOWS 网络共享放在一台PC 上，同时也连接打印机，有很多人员直接 拷贝数据文件到这台PC 上打印。前几天，忽然F 盘的所有文件均无法打开，表现为： 1、文件名称，时间，路径完全正确，磁盘占用空间也正确。 2、所有的jpg 图片文件打开都提示：“windows 照片查看器无法打开此图片，因为照片查 看器不支持此文件格式，或者您没有照片查看器的最新更新” 3、所有的doc 打开时都提示：请选择使文档可读的编码，选择任何一个编码后文件都 是错误的。 4 、所有的docx 打开时都提示：无法打开文件，因为内容有错误 5、所有的xls 打开时都提示：“您尝试打开的文件的格式与文件扩展名指定的格式不一致， 打开文件前请验证文件没有损坏且来源可信” 6、所有的xlsx 打开时都提示：您无法打开文件，因为文件格式或文件扩展名无效，请确 定文件未损坏，并且文件扩展名与文件的格式匹配 7、所有的PDF 文档打开时均提示：“打开文档时发生错误,文档已损坏且无法修复” 8、其他所有类型文件均无法正常打开。(键入上述错误提示的目的在于网友可以根据错误 提示搜索到本文，没有稿费，不凑字数) 用户首先通过网上下载的一些数据恢复软件进行恢复，但没任何结果。之后先后送修给当 地几家数据恢复，均告之无法恢复，或需要送至北京处理，用户一想，反正是要送北京的， 数据也非常重要(事后用户告诉我们，这些数据文件如果恢复不了，损失至少在几十万元)， 于是，就向北京的数据恢复公司进行咨询。我们的分析和初检结论大致是这样的： 1、确定存储是否RAID。得到的结论是只有一块500G 单盘，排除可能的RAID 旧盘同步后 出现这种故障的可能。 2、确定硬盘是否有物理故障，比如是否有异响，是否访问缓慢，是否提示IO 错误等。得 到的结论是除了F 盘，其他分区数据完全正常，硬盘在其他数据恢复公司检测也无物理故障。 排除因物理故障(如硬盘固件缺陷表错误，坏道等)导致的类似故障。 3、确定是否采用加密。得到的结论是无启用过任何加密。排除一些加密系统丢失加密链 后直接访问密文导致的类似故障。 4 、确定是否采用第三方软件做过分区大小调整、合并。得到的结论是没有。排除因 PQ(Norton PartitionMagic)、DiskGenius, Acronis Disk Director Suite 等软件调整、合并分区出错 导致的类似故障。 5、确定是否操作系统故障。得到的结论是重装系统杀毒后依然。排除因病毒挟持所有可 执行文件或加入文件系统拦截层导致的类似故障。 6、无其他异常操作。于是推断故障可能因病毒或木马导致。 因之前遇到过多起类似案例，通常这种破坏并不复杂，而且可逆(一些不道德的小黑客会 按此敲诈用户)。与用户沟通后，用户将硬盘送至北亚数据恢复中心。 【确定方案】 将硬盘连接至安全的操作环境中(不加载盘符，不自动写数据，保证完全只读)，发现文件 系统底层上完全正常，但数据区全部错误。以一个PDF 文件为例，在WINHEX 中打开时如下 图： 图一： 一个正常的PDF 文件，二进制结构一定是以0 即ASCII 的“%PDF ”)做为开头标 志。这个文件的开头以0开始。两者比较，显然是一种异或转换，通过计算，两 者相差(异或)0x37。观察本PDF 文件的尾部，发现同样做了篡改。 于是，在WINHEX 中选中文件所有内容，对选中块以0x37 做字节异或(xor)： 图二： 图三： 保存出来后，打开，文件正常。接下来对其他文件做分析，发现篡改的算法均是全部文件 对某个值xor ，但此值不确定，按字节概率计算，应该有256 种可能，加上文件数量及类型 众多，显然不能手动进行修正。需要分析其xor 加数的生成规律。分析过程如下： 1、推断是否与路径相关：在同一路径下打开不同的文件分析篡改的异或加数，发现不尽 相同，排除。 2、推断是否与文件名称相关：查找所有文件，按名称排序，找到相同文件名称但大小不 同的文件，打开后分析篡改的异或加数，发现不相同，排除。 3、推断是否与类型相关：找到同一类型的几个不同文件，分析篡改的异或加数，发现不 相同，排除。 4 、推断是否与存储的物理位置相关：在WINHEX 中按不同文件起始位置进行分析篡改的 异或加数，未发现相关性，排除。 5、推断是否与文件头部相关：