CHKLST.RU

Восстанавливаем доступ к системе после заражения MBRLock

отредактировано December 2016 Раздел: Windows
Рассмотрим восстановление доступа к системе, если блокировка происходит сразу после загрузки BIOS.

image

для восстановления доступа используем образ WinPE&uVS

загружаемся с Winpe&uVS, выбираем каталог Windows c жесткого диска, однако... доступа к данным нет.

image

загружаемся под текущим пользователем без выбора каталога чтобы получить дамп MBR для анализа на VT.
загрузчик не проходит по списку безопасных uVS,

image

анализ дампа (512байт) на VT дает следующий результат.
(+анализ дампа (440байт) на VT)

Используем testdisk (добавлен в утилиты образа Winpe&uVS) для анализа проблемы. (функция - "анализ текущей таблицы разделов и поиск потерянных разделов")

image

Видим, что текущая таблица разделов повреждена.

image

выполняем поиск копий таблицы разделов и если находится рабочая копия

image

восстанавливаем (Write) текущую таблицу разделов из найденной копии.

image

завершаем работу с testdisk

image

перегружаемся в нормальный режим, проверяем доступ к системе...
если доступа по прежнему нет, значит помимо повреждения таблицы разделов, еше и заменен загрузчик в MBR.
перегружаемся еще раз в Winpe&uVS, если таблица разделов была правильно восстановлена, у нас должен появиться доступ к данным на жестком диске и каталогу системы.

image

итак, доступ к данным восстановлен, остается заменить загрузчик в MBR на стандартный из списка uVS.
результат анализа на VT (512байт) и (440байт) из MBR

image

после перезаписи MBR обновите список в uVS, и убедитесь что данный загрузчик имеет статус ПРОВЕРЕН.
перегружаемся в нормальный режим, и продолжаем работать в рабочей системе. :)

(c), chklst.ru






Тэги темы:
Войдите или Зарегистрируйтесь чтобы комментировать.