故障存储: 金士顿64G U盘/fat32
故障现象:
这个案例中数据源是中维安防录像机,U盘连接到录像机上然后得到了指定时间段的14条视频(2023-11-20 22时之后)文件,然后在电脑上查看没有任何问题。之后更换电脑查看时U盘中了EXE病毒,然后换电脑使用360杀毒,数据全部丢失,再次接入到电脑(电脑上的病毒还在所以U盘再次感染),多次感染并杀毒后,U盘上只剩下图1中一大堆EXE文件。
图1:EXE病毒算是一种“远古”时期的病毒
故障分析:
EXE病毒是一种比较古老且单一的病毒,感染原理如下:
1、病毒主体先附加到系统进程,然后在不同位置创建各个“守护程序”;
2、遍历所有逻辑盘找出文件属性中为目录的项目(即查找所有文件夹),把这些目录全部关联病毒主体或者“守护程序”的EXE文件;
3、这样每次当双击文件夹时相等于是先运行病毒(或者是“守护程序”);
病毒感染成功后会把EXE伪装成文件夹图标,但在实际创建过程中还是会对原始目录项做删除操作(一般是关联成功后再删除),所以对数据有很大的风险由于是病毒正处于关联阶段时此时断开USB设备或者电脑关机极有可能导致数据全部丢失。另外360在查杀时会把这些EXE文件全部删除,删除过程中如果激活病毒守护程序会导致再次感染,多次感染时病毒可能会出错,此时可能仅对有限的目录项进行感染。
这个案例中U盘经历了多次感染,多次杀毒,最终结果导致U盘中没有任何有效数据。
图2:经过多次感染和杀毒U盘中空空如也
故障处理:
针对这种情况使用CHS零壹视频恢复程序专业版进行扫描,
STEP1:扫描大类选择“记录仪视频”,小类选择“中维MP4”(或者直接打开样本文件也可以),然后点击扫描。
STEP2:等待扫描完成
经过扫描成功找到了中维MP4文件,经过客户核对,其所需的14条视频文件全部正常。
图3:其中一条播放效果(已对画面做了马赛克处理)
这就是金士顿U盘中病毒后的恢复方法,对于各种安防产品、专业影视、智能摄像头、可视门铃、无人机、记录仪等设备CHS恢复的效果可以做到取证级---确保每一帧画面都100%正常,成功助力国内各大公检法机构的取证请求,大家在遇到此类问题时,欢迎和我们联系!