電腦上所有檔案都打不開的解決方法和過程

2021-07-28 03:30:37 字數 3034 閱讀 7825

【前期資訊】

山東某公司,企業規模也不算小,但不是it公司,所以未做很好的資料儲存規劃。公司的重要資料通過windows網路共享放在一台pc上,同時也連線印表機,有很多人員直接拷貝資料檔案到這台pc上列印。前幾天,忽然f盤的所有檔案均無法開啟,表現為:

1、檔名稱,時間,路徑完全正確,磁碟占用空間也正確。

8、其他所有型別檔案均無法正常開啟。(鍵入上述錯誤提示的目的在於網友可以根據錯誤提示搜尋到本文,沒有稿費,不湊字數) 

1、確定儲存是否raid。得到的結論是只有一塊500g單盤,排除可能的raid舊盤同步後出現這種故障的可能。

2、確定硬碟是否有物理故障,比如是否有異響,是否訪問緩慢,是否提示io錯誤等。得到的結論是除了f盤,其他分割槽資料完全正常,硬碟在其他資料恢復公司檢測也無物理故障。排除因物理故障(如硬碟韌體缺陷表錯誤,壞道等)導致的類似故障。

3、確定是否採用加密。得到的結論是無啟用過任何加密。排除一些加密系統丟失加密鏈後直接訪問密文導致的類似故障。

4、確定是否採用第三方軟體做過分區大小調整、合併。得到的結論是沒有。排除因pq(norton partitionmagic)、diskgenius, acronis disk director suite等軟體調整、合併分割槽出錯導致的類似故障。

5、確定是否作業系統故障。得到的結論是重灌系統防毒後依然。排除因病毒挾持所有可執行檔案或加入檔案系統攔截層導致的類似故障。

6、無其他異常操作。於是推斷故障可能因病毒或木馬導致。

因之前遇到過多起類似案例,通常這種破壞並不複雜,而且可逆(一些不道德的小黑客會按此敲詐使用者)。與使用者溝通後,使用者將硬碟送至北亞資料恢復中心。

【確定方案】     

將硬碟連線至安全的操作環境中(不載入碟符,不自動寫資料,保證完全唯讀),發現檔案系統底層上完全正常,但資料區全部錯誤。以乙個pdf檔案為例,在winhex中開啟時如下圖:

圖一:

乙個正常的pdf檔案,二進位制結構一定是以0x46445025(即ascii的「%pdf」)做為開頭標誌。這個檔案的開頭以0x71736712開始。兩者比較,顯然是一種異或轉換,通過計算,兩者相差(異或)0x37。觀察本pdf檔案的尾部,發現同樣做了篡改。

於是,在winhex中選中檔案所有內容,對選中塊以0x37做位元組異或(xor):

圖二:圖三:

儲存出來後,開啟,檔案正常。接下來對其他檔案做分析,發現篡改的演算法均是全部檔案對某個值xor,但此值不確定,按位元組概率計算,應該有256種可能,加上檔案數量及型別眾多,顯然不能手動進行修正。需要分析其xor加數的生成規律。分析過程如下:

1、推斷是否與路徑相關:在同一路徑下開啟不同的檔案分析篡改的異或加數,發現不盡相同,排除。

2、推斷是否與檔名稱相關:查詢所有檔案,按名稱排序,找到相同檔名稱但大小不同的檔案,開啟後分析篡改的異或加數,發現不相同,排除。

3、推斷是否與型別相關:找到同一型別的幾個不同檔案,分析篡改的異或加數,發現不相同,排除。

5、推斷是否與檔案頭部相關:查詢頭部相同的檔案(有同一檔案的不同更新,頭部是相同的),進行分析,也排除。

6、推斷尾部相關的可能性不大。(當然如果後面分析仍無法得到規律,則需返回此項再做驗證)

7、推斷是否與檔案建立時間相關:分別查詢相同建立時間、相同訪問時間、相同最後一次訪問時間的2個檔案,進行分析,發現與此無關,排除。

首先通過命令方式列印所有檔案的大小,windows很不擅長此操作,改用linux處理:    

find ./  |xargs ls -ld 2>/dev/null|awk '' >../list.txt 

之後用excel開啟此列表檔案,如下圖:

圖四:

因篡改的異或加數只有乙個位元組,故推斷,如果與大小相關,極有可能是對檔案大小mod 256後關係對應,於是在excel中計算所有檔案大小值 的mod 256,如下圖:

圖五:

對mod 256的值進行排序,excel可能可以直接實現,不過,至少可以複製整列,再以數字方式貼上:

圖六:

排序後如下圖:

圖七:

對相同mod 256的檔案進行篡改驗證,未發現不符合規律者,基本斷定篡改值與檔案大小mod 256的值存在完全對映關係。

對所有可能做抽樣分析後,得到篡改異或加數的生成規律:

圖八:

至此,篡改演算法得到,同時修正演算法也自然就容易多了。

【解決方案】   

通過vs2010下編寫程式解決,修復程式原始碼如下:

圖九:

【驗證】

程式執行完成後,對檔案進行抽檢,無報錯,為進一步確定可靠性,查詢所有jpg檔案,顯示縮圖,無異常。

圖十:

查詢所有doc檔案,顯示作者,標題(這兩個資訊是通過內容部分得到的),未發現異常(只是os盜版的痕跡挺重,呵呵),至此,確定演算法正確。資料恢復完成。

圖十一:

本文出自 「張宇(資料恢復)」 部落格,請務必保留此出處

電腦可以上網,但是所有網頁都打不開的解決辦法

在使用電腦過程中,相信大家都遇到過,電腦可以聯網但是,打不開網頁的情況,今天我分享技巧教大家怎麼解決這個問題 常見情況 設定了 伺服器,導致網頁打不開,電腦qq使用的埠和訪問網際網路埠不太一樣。這就是導致能上qq但是不能開啟網頁的原因 操作步驟 在桌面上開啟internet explorer圖示,右...

Mac上重灌pycharm打不開的解決方法

明明已經把舊版本扔進了廢紙簍,但是mac上重灌pycharm還是打不開?點選圖示沒反應?原因很可能是之前的pycharm沒有解除安裝乾淨!本文提供徹底清除舊版本pycharm的解決辦法。本文以pycharm2019.2為例,如果不知道你的電腦上裝的是什麼,可以在目錄下執行ls命令來檢視。具體步驟如下...

CHM檔案打不開的最終解決辦法

由於程式設計的需要,所以偶裝了windows server 2003系統,安裝好後,chm的檔案可以正常開啟,但是裝了sp1以及在網上公升級後有的補丁後,一開啟 chm的檔案,就會出現如圖所示的錯誤,在網上查了n多的資料,都不行.現將其整理出來給大家,需要的頂一下 注 windows server ...