无忧启动论坛

 找回密码
 注册
搜索
最纯净的「微PE装机优盘」UEPON大师作品系统gho:最纯净好用系统下载站数据恢复、数据保护、视频编辑
Win To Go 极致利器(IXUNCIS固态U盘)无忧启动网成立20周年!广告联系 QQ:184822951 微信:wuyouceo
查看: 3929|回复: 2

[原创] Trojan.Win32.Cosmu.cvd病毒的清除和最优数据恢复方法探索

[复制链接]
发表于 2019-11-24 07:48:11 | 显示全部楼层 |阅读模式
  Trojan.Win32.Cosmu.cvd病毒的清除和最优数据恢复方法探索

一、病毒及名称的来源
  该病毒主要攻击对象是FAT文件系统的根目录内的文件夹,它会把各文件夹修改成病毒代码、病毒体长度约244KB、文件名是原目录名加上可执行文件的扩展名"EXE"并隐藏,原目录名和内容被移动到隐藏目录\360SCANBOX\SHADOW下保存,还在文件夹内部存放多个长度为196KB的文件、其文件名的构成方式与前相同;还会在根目录增加一些其它的病毒文件,如ms-dos.com,autorun.ini和Usb 2.0 Driver文件夹(其内有多个病毒文件)等。虽然网上还没有找到其详细介绍,但作者在前一篇做过报道。其传播是通过染毒的移动设备及网络的文件传输、下载等。这病毒名称是卡巴斯基给出的,而360杀毒是用另一个病毒名称标识。
   病毒除了添加额外的病毒文件外,还把根目录内的各文件夹修改成带病毒代码的可执行文件并修改其文件属性为隐藏和隐藏已知的扩展名,若用户未修改系统的缺省设置,导致用户看不到已中毒的文件夹,有可能导致用户反复拷贝同一文件夹。这些隐藏文件夹还能欺骗360杀毒软件,其内病毒不会被识别,这是删除先前所找到的18个中的部分病毒后、再次扫描又识别出来新的40多个病毒。

二、病毒的行为及危害性分析
   从图1、2可知,中此病毒后会增加许多的额外文件或文件夹,如MS-DOS.COM、AUTORUN.INF、Usb 2.0 Driver,另有数量与原根目录内文件夹个数一致的病毒体、借用原文件夹名、增加“EXE”扩展名保存并隐藏,即修改文件夹为可执行文件,从而为病毒体的加载和传播创造有利条件。若用户未修改资源管理器的缺省设置,则找不到这些染毒的文件夹,因而用户有可能反复复制那些文件夹和其内的文件,复制完成后又很快消失了,导致磁盘空间被无谓地快速占用。对于剩余空间较多、用户已意识到系统中毒的磁盘,其危害性不会太大,可以通过杀毒软件杀毒找回原来已消失的文件夹,但部分文件的完整性会遭到破坏;而对剩余空间不多的盘其危害性就非常大,可以说其与磁盘杀手无异:因为中毒后的系统是不会出现磁盘空间不足的警告,其主要攻击对象是根目录内的文件夹和根目录,在没有存储空间可用时就用0xff占用并毁坏根目录首簇的内容和数据区头部的32个扇区、还有其它扇区,导致根目录受到严重破坏,出现更多的文件无法找到和许多文件名或文件尺寸异常的现象

三、数据恢复方法及效果对比
   常用的数据恢复工具有DISKGENIUS 和EasyRecovery,为了检验其数据恢复的完整性,使用DISKGENIUS4.3和EasyRecovery11.5 Professional做数据恢复处理和对比试验。对杀毒之后的盘先使用DISKGENIUS的“恢复误删除的文件”功能,由于丢失的文件不是人为删除的文件,故分散在各文件夹下的删除文件意义不大,仅统计分别放在“丢失的文件”和“所有类型”内的文件共7946个、占用空间1.6GB。虽然能找到1.6GB,但是有用的文件少、且文件名被修改成统一的数字命名,需要人工识别的工作量大。另外,在SYS文件夹下存在长度为196KB、360提示带“蠕虫病毒(Worm.Win32.FakeFolder.BIN)”病毒的文件多达7495个,与找到总数7946相比,所找到的有用数据非常少,这也是数据被严重损坏的佐证。使用DISKGENIUS的“恢复整个分区的文件”功能,仅统计 “未格式化(已识别)-->丢失的文件”内找到的文件共19772个、文件夹326个、占用空间3.99GB。这种恢复方式所找到的文件个数较多、且许多文件保留了原来的文件名,但忽视了根目录的存在,故有许多文件夹是用起始簇号命名,后期归类整理和文件命令的工作量较大;更糟糕的是存在大量的重复内容——约273个文件夹的内容完全一致,每个文件夹占用14.8MB的空间、合计4040.4MB,这也是其找到的文件个数多、占用空间大的原因所在,但有用的恢复数据非常少。
    对杀毒之后的U盘使用EasyRecovery的“Deleted File”找到文件共8531个、文件夹506个、占用空间2.43GB。其恢复数据是按块号和簇号命名文件夹,而与根目录已有的文件夹无关,这为数据归类整理增加了工作量;现根目录、约三分之一的内容保存在 Block_3013568\Orphaned_Folders\Cluster_0文件夹,内有2911个文件、48个文件夹,占用空间211MB;另外,所找到的文件中内有1528个文件扩展名为TMP的临时文件,占用空间50.2MB;此外,还有大量以簇号、无扩展名的文件。因此其后期归类整理和文件命名的工作量大,但比diskgen的“恢复整个分区的文件”后期处理的工作量小。所找到的文件数量和占用空间也明显小于后者。从找到的有效文件、文件夹数量和占用空间分析,其恢复效果优于diskgen的“恢复误删除的文件”。因为EasyRecovery的“Formated File” 恢复方式与diskgen的“恢复整个分区的文件”一样忽视了现根目录和FAT表的存在,故有许多文件或文件夹是用起始簇号命名,后期归类整理和文件命令的工作量更大,故其数据恢复的效果欠佳,即不符合该U盘的实际情况是中毒导致数据损坏,而非误删除和磁盘误格式化所致。

四、探索新的数据恢复方法
    从前面的对比可知:针对病毒损坏根目录的盘,使用常规磁盘工具的误删除或磁盘误格式化的数据恢复其效果不太理想,是否还有更好的方法供选择?针对这种情形目前还没有现成的数据恢复方式可供使用,为此,本人花费约半年的时间、重点研究这种被病毒破坏其根目录完整性盘的数据恢复方法,经过反复对比和不断优化,总算找到了更优的数据恢复方法,对杀毒之后的盘其处理过程如下:
1、先检查两份FAT表的一致性。发现存在问题(难得的是病毒仅损坏第二份FAT表的尾部——添加许多值为0xff的字符)则选择好的去替换掉已损坏的内容;
2、对异常目录项进行处理,即清除无效目录项;
3、用Chkdsk.exe、带参数/f /v去检查该U盘因根目录损坏而导致许多的失联文件:共找到失联文件4569个(此前,客户已反映:经过前期的杀毒和数据恢复处理仍有许多的文件和文件夹找不到),通过Chkdsk找到了如此多的失联文件,我才真正明白此病毒的危害性,这也是传统的数据恢复工具难以提高其数据恢复成功率的主要原因;
4、识别Chkdsk所找到失联文件的属性和类型。借用WinHex.exe虽然可以逐一人工识别:查各文件的内容,根据文件内容识别出是文件、还是文件夹?若为文件夹则修改其为文件夹的属性,对FAT类型的分区即修改目录项0xb处的值为0x10;否则根据文件头部几个字节,识别出其文件类型,并修改其文件扩展名为所对应的文件类型;
5、自动识别Chkdsk所找到失联文件的属性和类型,由于所找到的文件个数多,人工识别的工作量大且依赖于识别者的技术水平和工作经验,为此,根据自己多年的数据恢复经验,开发出了一款专用的数据恢复软件,专门用于识别处理由Chkdsk所找到失联文件的属性和类型。
    针对前面所提到U盘已找到4569个失联文件:已识别出其中的59个以属于文件夹,其内还包含有子目录,在此共找到文件夹172个(注:已去掉了部分空文件夹,否则会找到更多的文件夹);找到普通文件2498个、其中313个已识别出其文件类型,已去掉重复文件或无效文件夹2012个,与原来的4569相比,其去除率为44.03%;需要人工进一步识别文件类型的2185个,已减少到原来的47.82%。整个FOUND.000文件夹共有普通文件6756个,各文件夹内的文件名是原样恢复的普通文件共4258个,占整个已恢复文件的63.03%;原样恢复的文件夹共113个,占整个已恢复文件夹的65.70%;FOUND.000内所找到的文件和文件夹占用空间共计1.68GB,约占该分区有效存储空间3.72GB的45.16%,是杀毒后所找到文件空间的2.72倍;所找到的文件个数是杀毒后所找到文件个数的3.78倍。这是已去掉重复文件或文件夹后所获得的统计数据。因此,后期的文件命名、识别和归类工作主要集中在2498个文件和59个文件夹,总之,能找到这么多的有用数据应该说效果不错。
    该方法是根据自己多年的数据恢复经验开发出的一款专用软件,专门用于识别处理由Chkdsk所找到失联文件的属性和类型,这为本人以后清除病毒、处理被病毒破坏的文件装载表和根目录的重要数据盘创造了有利条件。如USBC病毒,其行为比该病毒更可恨:它同时破坏盘上的所有区域,中毒之后的盘一般都无法访问。现有的恢复手段其数据恢复的成功率不超过80%,若使用本人设计的这款工具和事前对中毒盘做必要的处理,其数据恢复的成功率至少能提高十个百分点。更不会出现某些人所说的:中毒之后只有对盘彻底格式化、重新分区和再安装新系统这一愚蠢做法。试问这样操作、还有数据能保存或保护吗?在此希望广大电脑用户改变中毒盘的处理方法,不要“谈病色变”,可以采用移动杀毒工具挽救你的宝贵资料,随时检测你所用系统的安全性。

五、数据恢复效果的进一步分析
    这次数据恢复共使用了三种方法:前两种方法分别是DISKGENIUS 和EasyRecovery,后一种是本人自创、新的数据恢复方法。他们数据恢复效果已在前面进行了说明并做了部分对比。在此,对他们的数据恢复效果做进一步对比。数据恢复的有效数据构成是:杀毒之后的有用数据之和,加上每种恢复方法所找到的有效数据,作为各方法总的恢复数据。杀毒之后的有用数据之和是一个定数632MB,因而可以忽略。故只要对比各方法所找到的有效数据量即可。
     仅从已找到的有效文件数量和占用空间是很难判断各方法,但去掉无效文件个数与所占用的存储空间可知:以新的数据恢复方法为佳,无效文件的个数和占用空间以DISKGENIUS的“恢复整个分区的文件”最差,而以新的数据恢复方法无效个数最少为佳。

六、存在问题说明
   从前面对比可知,还有2498个文件未找到归属,内有2185个普通文件需要人工识别文件类型。究其原因是病毒在无磁盘空间可用的情况下、随意破坏和覆盖数据区的内容(许多情况是用0xFF覆盖)所致,造成许多文件名和文件尺寸的异常:仅FOUND.000目录其占用空间是该盘实际空间的25倍之多,而决非是本恢复工具的缺陷所致。

发表于 2019-11-24 08:24:58 来自手机 | 显示全部楼层
本帖最后由 窄口牛 于 2019-11-24 08:38 编辑

暂时还没见过这么厉害的文件夹病毒变种。
回复

使用道具 举报

发表于 2019-11-25 08:12:45 | 显示全部楼层
卡巴斯基杀毒软件免费版下载
http://jinshanduba.org.cn/kasperskyfree/
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2020-12-2 12:06

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表