杀死D2病毒的后遗症 湖 南 江 涌 1993-09-17 “FAT not recognizable on/dev/hdod” (这是对硬盘C:操作,以下均以C盘为例),不能达到预期的目的,当然,对该盘重新格式化以后,在两种操做系统下都可正常使用,但对装有大量数据的磁盘(特别是硬盘)格式化,实在不是好的选择。 我以PCTOOLS(4.21)为工具,对以上现象进行了研究,我们知道DOS盘是依靠FAT表来记录每个文件所分配到的簇,而D2病毒程序是占住盘的最后一簇,并在FAT表中相应位置做一标记,在正常情况写盘时,DOS设置两个完全相同的FAT表,但是,D2病毒感染盘后只填写了第一个FAT表,D2病毒杀死后,FAT表以及磁盘最后一簇的内容并未改变,这样一来就造成了两个FAT表不一致,而XENIX系统下对DOS盘操作又要求两个FAT表完全一致,否则,就出现“不可识别的文件分配表”的提示。 现在原因找到了,我们仍然以PCTOOLS为工具,来治愈此后遗症,在文件分配表中,每一个簇号有一个12位或16位的登记项,(当盘容量小于4087簇时,为12位,否则为16位,硬盘容量一般都大于4087簇),步骤如下: (1).运行PCTOOLS后,按F3键。 (2).按“E”键,选择C盘。 (3).按F2键,这时屏幕上出现提示,其中有如下两行。: “R”=First ROOT directory sector “C”=Enter a cluster#(216215) “16215”即为该硬盘的最后一簇号(该数对不同硬盘不一样)。 (4).进行下列运算: 16215乘以2再除以512,商63余174,得出最后一簇在第一个FAT表中的位置为64扇区174、175(十进制)两字节处,且其内容为FFF8至FFFF中的一个,这时,将其改为0000即可。 如果不进行第(4)步的运算,也可用DEBUG修改,按照第(3)步的提示选择“R”,就可得到根目录的第一个逻辑扇区号为129。那么前一个扇区号128(80H)即为第二个FAT表的最后一个扇区,64(40H)就是第一个FAT表的最后一个扇区。这时退出PCTOOLS,运行DEBUG后,执行如下命令即可。 -L 100 2 80 1 -W 100 2 40 1 进行了以上修改,不用格式化,也可在XENIX系统下对该DOS盘操作了。 (湖南 江 涌)