Восстанавливаем доступ к системе после заражения MBRLock
Рассмотрим восстановление доступа к системе, если блокировка происходит сразу после загрузки BIOS.
для восстановления доступа используем образ WinPE&uVS
загружаемся с Winpe&uVS, выбираем каталог Windows c жесткого диска, однако... доступа к данным нет.
загружаемся под текущим пользователем без выбора каталога чтобы получить дамп MBR для анализа на VT.
загрузчик не проходит по списку безопасных uVS,
анализ дампа (512байт) на VT дает следующий результат.
(+анализ дампа (440байт) на VT)
Используем testdisk (добавлен в утилиты образа Winpe&uVS) для анализа проблемы. (функция - "анализ текущей таблицы разделов и поиск потерянных разделов")
Видим, что текущая таблица разделов повреждена.
выполняем поиск копий таблицы разделов и если находится рабочая копия
восстанавливаем (Write) текущую таблицу разделов из найденной копии.
завершаем работу с testdisk
перегружаемся в нормальный режим, проверяем доступ к системе...
если доступа по прежнему нет, значит помимо повреждения таблицы разделов, еше и заменен загрузчик в MBR.
перегружаемся еще раз в Winpe&uVS, если таблица разделов была правильно восстановлена, у нас должен появиться доступ к данным на жестком диске и каталогу системы.
итак, доступ к данным восстановлен, остается заменить загрузчик в MBR на стандартный из списка uVS.
результат анализа на VT (512байт) и (440байт) из MBR
после перезаписи MBR обновите список в uVS, и убедитесь что данный загрузчик имеет статус ПРОВЕРЕН.
перегружаемся в нормальный режим, и продолжаем работать в рабочей системе.
(c), chklst.ru
для восстановления доступа используем образ WinPE&uVS
загружаемся с Winpe&uVS, выбираем каталог Windows c жесткого диска, однако... доступа к данным нет.
загружаемся под текущим пользователем без выбора каталога чтобы получить дамп MBR для анализа на VT.
загрузчик не проходит по списку безопасных uVS,
анализ дампа (512байт) на VT дает следующий результат.
(+анализ дампа (440байт) на VT)
Используем testdisk (добавлен в утилиты образа Winpe&uVS) для анализа проблемы. (функция - "анализ текущей таблицы разделов и поиск потерянных разделов")
Видим, что текущая таблица разделов повреждена.
выполняем поиск копий таблицы разделов и если находится рабочая копия
восстанавливаем (Write) текущую таблицу разделов из найденной копии.
завершаем работу с testdisk
перегружаемся в нормальный режим, проверяем доступ к системе...
если доступа по прежнему нет, значит помимо повреждения таблицы разделов, еше и заменен загрузчик в MBR.
перегружаемся еще раз в Winpe&uVS, если таблица разделов была правильно восстановлена, у нас должен появиться доступ к данным на жестком диске и каталогу системы.
итак, доступ к данным восстановлен, остается заменить загрузчик в MBR на стандартный из списка uVS.
результат анализа на VT (512байт) и (440байт) из MBR
после перезаписи MBR обновите список в uVS, и убедитесь что данный загрузчик имеет статус ПРОВЕРЕН.
перегружаемся в нормальный режим, и продолжаем работать в рабочей системе.
(c), chklst.ru
Мы ищем точки опоры не с целью перевернуть мир, но чтобы не позволить миру опрокинуть нас.
Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.