GHOST中毒還原疑問
 

系統為C槽~XXX.GHO備份檔放D槽~備份時間為系統重灌完並灌完驅動~假設為完全無中毒狀態的備份

GHOST好像類似鏡像原理~以1:1的方式備份~包含程式登陸機碼等等都有備份到~

假設今天中毒了~用GHOST把D槽的XXX.GHO檔還原回C槽~這時候系統還是中毒嗎?還是無毒?因為沒有格式化只是蓋回去而已~這樣病毒會不見嗎?

1.如果GHOST檔無毒,還原後系統是無毒的 (GHOST還原是不需要格式化的)
2.但是,如果你的病毒是會自己傳染(像USB病毒),而不是執行才發作
那中毒的D槽還是會在重開機後,把病毒感染回C去

不考慮傳染型病毒~傳染型病毒即使重灌格式化也是有可能跑到D槽~

GHOST如問題描述~是不需要格式化~是採覆蓋的方式~不格式化的狀態下病毒會不殘留嗎?

小弟的想法是~假設C槽有3各檔~檔名分別是A.B.C~D槽同樣有3各檔~檔名同樣是A.B.C~把D的3各檔複製到C槽~系統會發現同一檔名是否覆蓋~選是~哪就是覆蓋(模擬GHOST的方式)~

若今天C槽中毒哪就變成有4各檔A.B.C.D(D檔假設為中毒病毒)~同樣模擬上述方式覆寫過去~沒有同樣跟D檔一樣的檔名~哪D檔就會順利存在不會被覆蓋到~(因GHOST沒格式化)

以上是小弟會有此疑問的原因

ghost還原後，原本磁碟的檔案就跟你當初做image時一模一樣多

沒有什麼D檔中毒的問題，因為還原後，你的D檔根本不會存在C槽

ghost執行的方式，可不是單純的將image檔解壓縮後複製回C.........

還原後會變成~系統重灌完並灌完驅動~這一步~

GHOST還原過程並沒格式化~哪D檔跑哪去了?怎麻會消失了~小弟的疑問在這~爬了文章都沒看到~是這問題太蠢嗎?還是太有深度?疑問中 :confused:

應該是你對硬碟存放檔案規則不大熟悉

檔案的實際存在與否,與能用與否是兩回事
1.病毒可能在還原被覆蓋了(就算只有部分被覆蓋,病毒也無法執行了)
2.就算病毒實體所在位址沒被使用,病毒沒被覆蓋
但檔案配置表上它已經被還原成"空"的位址,
也就是從原本GHOST檔案定義,那個區域是空的(空也是一種存在型式)
電腦認為裡面沒有東西,電腦認為空的位址是無法自動執行的
(就算實際位址上有一大堆0001111010001...)
任何檔案隨時可使用病毒所在空間(不過就是電磁與01問題)並覆蓋它

除非你要用救援軟體,試著把病毒就回來,並完整的救回,重新存放
否則病毒自己並無法違反電腦的運作規則,
自己找到自己並從新把自己按順序組合.....
病毒我不內行,不過我猜,大概只有開機型的組合語言病毒,
才能在OS還沒載入前,跳過"檔案配置表"找到自己的病毒碼放在那個位址

一各蘿蔔一各坑~即使蘿蔔被拔掉了~原位置只留下坑和根~即使蘿蔔再種回去也不可能再長出第二顆蘿蔔~

小弟解讀你的內容這樣是否正確?感謝大大的知識分享~

不是，蘿蔔和坑一樣在，只是電腦「看不到」了
而程式只有在電腦「看的到」的時候才有辦法執行，既然病毒一樣「看不到」的話就不會執行
然後電腦會判斷它「看不到」的地方是空的，就挖新坑把其他蘿蔔種下，舊的坑和蘿蔔於是消失不再

小弟就是這各意思~大大的解釋的確比較好~小弟解釋的並不是哪麼好~有點模糊~表達能力粗淺~

留下病毒的根~但只有根還是長不出蘿蔔來~