【前期信息】山东某公司,企业规模也不算小,但不是IT公司,所以未做很好的数据存储规划。公司的重要数据通过WINDOWS网络共享放在一台PC上,同时也连接打印机,有很多人员直接拷贝数据文件到这台PC上打印。
前几天,忽然F盘的所有文件均无法打开,表现为:
1、文件名称,时间,路径完全正确,磁盘占用空间也正确。
2、所有的jpg图片文件打开都提示:“windows照片查看器无法打开此图片,因为照片查看器不支持此文件格式,或者您没有照片查看器的最新更新”
3、所有的doc打开时都提示:"请选择使文档可读的编码",选择任何一个编码后文件都是错误的。
4、所有的docx打开时都提示:"无法打开文件,因为内容有错误"
5、所有的xls打开时都提示:“您尝试打开的文件的格式与文件扩展名指定的格式不一致,打开文件前请验证文件没有损坏且来源可信”
6、所有的xlsx打开时都提示:"您无法打开文件,因为文件格式或文件扩展名无效,请确定文件未损坏,并且文件扩展名与文件的格式匹配"
7、所有的PDF文档打开时均提示:“打开文档时发生错误,文档已损坏且无法修复”
8、其他所有类型文件均无法正常打开。(键入上述错误提示的目的在于网友可以根据错误提示搜索到本文,没有稿费,不凑字数)
用户首先通过网上下载的一些数据恢复软件进行恢复,但没任何结果。之后先后送修给当地几家数据恢复,均告之无法恢复,或需要送至北京处理,用户一想,反正是要送北京的,数据也非常重要(事后用户告诉我们,这些数据文件如果恢复不了,损失至少在几十万元),于是,就向北京的数据恢复公司进行咨询。
我们的分析和初检结论大致是这样的:
1、确定存储是否RAID。得到的结论是只有一块500G单盘,排除可能的RAID旧盘同步后出现这种故障的可能。
2、确定硬盘是否有物理故障,比如是否有异响,是否访问缓慢,是否提示IO错误等。得到的结论是除了F盘,其他分区数据完全正常,硬盘在其他数据恢复公司检测也无物理故障。排除因物理故障(如硬盘固件缺陷表错误,坏道等)导致的类似故障。
3、确定是否采用加密。得到的结论是无启用过任何加密。排除一些加密系统丢失加密链后直接访问密文导致的类似故障。
4、确定是否采用第三方软件做过分区大小调整、合并。得到的结论是没有。排除因PQ(Norton PartitionMagic)、DiskGenius, Acronis Disk Director Suite等软件调整、合并分区出错导致的类似故障。
5、确定是否操作系统故障。得到的结论是重装系统杀毒后依然。排除因病毒挟持所有可执行文件或加入文件系统拦截层导致的类似故障。
6、无其他异常操作。于是推断故障可能因病毒或木马导致。
因之前遇到过多起类似案例,通常这种破坏并不复杂,而且可逆(一些不道德的小黑客会按此敲诈用户)。与用户沟通后,用户将硬盘送至北亚数据恢复中心。
【确定方案】
将硬盘连接至安全的操作环境中(不加载盘符,不自动写数据,保证完全只读),发现文件系统底层上完全正常,但数据区全部错误。以一个PDF文件为例,在WINHEX中打开时如下图:
