Phantasy Garden

なんか随分と久しぶりにコラムを書く気がします。たった一週間振りなのに。昔は一週間くらい平気でサボタージュしていたもんですが、今はなんか毎日更新していても苦にならないくらいでしたからねぇ。くだらん雑文ならさくさく書けるような技術でも見についたのかしらん。

さておき、こんなに間があいたのは、掲示板にも書きましたけどもHDDがおーるあぼーんされてしまったからですよ。なんかどうもWhiterというトロイにひっかかったっぽいんです。ディレクトリ構造だけ残してファイルは全消去、おまけに0バイトで上書きしてから削除するもんだから復元ソフトでの復旧が困難という。人生で初のウィルス系の感染が危険度Aのやつだとわ……。これ、ファイル共有ソフト関連で広まっているらしくそっち系では割と有名なのですが、稀に某巨大掲示板などに張られているファイルDLリンク先がこれだったということもあるようで。まぁ、某巨大掲示板もアングラっちゃアングラですが。だからファイル共有ソフトを知らない人なら、あまり一般的なトロイとは言いづらいですね。コレ自体は結構昔から存在するんですが。俺が感染したのもAVGとかのアンチウィルスソフトに引っかからんかったからだし。しかも亜種だったらしく、再起動するまでもなくいきなり全データデリート。最初は意味不明でした。寝起きであまり頭が働いていなかったというのもあり、デスクトップのショートカットが消えていく理由がさっぱり分からず。まぁいいやと思って再起動しようとしたら、NTLDR is missing...とか出て起動できないんDeath。

正直、何が起きたのかさっぱり理解できませんでした。何度やってもNTローダが見つからないって言われて、Windowsが起動しない。仕方ないのでブートCDから修復ディスクを併用して修復してみても、ファイルがさっぱり見えなくなってたり。Dドライブや作業ドライブのファイルが一切なく、空き領域が99%とかなってるんですよ。ディレクトリは残っていましたけども。はて、OSがいかれてファイルが読み込めなくなってるんだろうかと疑問に思い、システムを復元してみます。不幸中の幸いで、先週HDD増設とシステムドライブの変更を行っていたものだから、ちょっと前ですが40GBのHDDに元のシステムがほぼまるまる残っていたのですよ。それを使って起動してみたんです。けど、相変わらずファイルが見えない。

このあたりでようやくDドライブや作業ドライブそのものが壊れてるんじゃないかと思い始めます。とりあえず、システムを20GBのほうに戻して40GBのほうをフォーマットして領域を確保しておいて。ファイル復元のため、まずは『復元』で試行。ファイルサイズが33バイトばっかりで復元できない。次にFINALDATAをインストール。何故か再起動。

ログオン後、数秒後に再起動連発。

…………。えと、いったいなんなんでしょうか。インストール中に再起動なんか起こしたからプログラムがいかれてしまわれたのでしょうか。それを探ろうにもログオン数秒で探せるわけがなく、『またウィルスかなんかか!?』とか本気で思いました。まぁでもセーフモードで起動するとなんとか動くし、外部にも内部にも怪しげなデータアクセスは行われていないようなのでやはりインストール失敗の線が濃厚。とりあえず、FINALDATAをアンインストール。再起動。

直りません。ヲイヲイ、そこは直ってもらわないと困るんだが。再インストール→アンインストールを繰り返しても直らない。ヤヴァイ。レジストリのスタートアップにもそれらしきものがない。もう40GBのほうフォーマットしちまったYO。もうシステムは復帰できないのに。嗚呼消さなければよかった……。

などと後悔するも、身体は地道にヘルプファイルを参照したりして情報収集してましたが。んで、ヘルプにドライブマネージャなる項目を発見。そういえば、FINALDATAのインストール後にドライブマネージャをインストールしますかとか質問されてOKしたような気が。これは別アンインストールしなければならんらしく、サービスで自動起動を確認してみると、ありました。既に失われたはずのプログラムを自動起動しようとしているサービスが。即刻削除。ようやく、システムが通常まで回復しますた。FINALDATAのインストールも完了。つーか、この時点でようやくスタートラインなんですけどね。『復元』で33バイトしか復元できないということから既にWhiterではないかと疑ってましたが、実はそれでも復元できるのではないかと思ってます。

ここでWhiter感染後の経過を思い出してみると、Whiterと思われるプログラムを実行した後、HDDが全消去されるまでの時間がやけに短かったような気がするのです。60GBと80GBの二つのHDDを全消去するのに5分もかからなかったかと。これはおかしいんですよ。使用領域もどちらも70%はあったので、かなり大量にファイルがあったはずなんです。全ファイルを削除するには5分では利かないハズ。1GBくらいのファイルを別ドライブに移動しようとすれば分かると思います。とすると、考えられるのはファイルインデックスがやられたのではないかと。データ自体は残っているのではないかと。

Whiterによる削除と分かっていながらFINALDATAを使用しているのもそれが理由です。バイナリ解析から直接データにアクセスすれば復元できるのではないかと思ったからで。FINALDATAでクラスタスキャンしてみます。時間は13時間ほど。長いな。寝たり学校行ったりして時間を潰し、深夜3時過ぎにしてやっとスキャン終了10分前になったところで、

停電。

…………_| ̄|○

電気の使いすぎとかではないです。電子レンジとオーブントースターを併用しても落ちないのに、パソコンだけでブレーカーが落ちるはずがない。案の定、外は雨。自然災害によるものっぽいですな。

神はそこまで俺が嫌いなのですか。

俺にデータを復元させないための陰謀でしょうか。神様の陰湿な嫌がらせとしか思えないのですが。13時間の苦労は一体なんだったんだと泣く泣く再起動し、再びクラスタスキャン。また13時間耐えるのかと鬱なことを考えt

再び停電。

(#ノ゚Д゚)ノ ┫:・’.::・┻┻)‘ν゚)・;'.、:・'.

俺、なんか間違ったことでもしたのでしょうか。Whiterにかかってしまったのがそもそも間違いではあるのですが、こーゆー天罰の仕方はあんまりではないかと存じます。むしろHDDが全消去されたという事実を認めるより辛かったよ。

まぁ、その後ゴリゴリ頑張ってスキャンしてディスクを見てみたら、やはりファイルサイズは33バイトでした。しかしバイナリから直接アクセスしてみたところ、これまた案の定データがまだ残っているようです。実際、消えたはずのJPGファイルを試しで復元してみたところ2つを完全復旧できました。そこらへんの詳しい復元方法は後日にするとして、とりあえずデータがある程度までなら復元できそうなことに安堵。

今はまたクラスタスキャンで時間つぶしの最中です。実は、FINALDATAをアップデートパッチを当てていなかったのでセクタの書き出しが失敗してしまったのですよ。だから再スキャンが必要になったわけですが。というか、ここまでこじつけるのにコラムではさらっと書いてますが、かなり苦労してます。ファイルヘッダの情報をかき集めたりバイナリ解析で独自に調べたりして、ヘッダからスキャンしたクラスタを検索して、データの始まりと終わりを見つけて復元して。ファイル構造に対する相応の知識が求められるので、それこそクラスタスキャンの時間以上にネットで検索したりもしました。

一番酷かったのは木曜日の朝に起きて学校行って夜は徹夜でパソコンにかまけて、金曜日も朝から学校で3限にレポートが消えていたことを思い出して必死でレポート書いて4限に提出してそのまま実験に入って、夜は部活の新歓コンパに参加してそのまま徹夜で過ごして。丸45時間くらい寝てませんでした。死ヌ。むしろ死にたい。

まぁ本音をぶっちゃけると、今ではそれほど消えたデータに執着しなくなってきてます。ネットで落とせるプログラムなどは落としてくればいい話だし、サイト関連はサーバにあるし、消えた自作のデータに関しても記念のように残していたくらいであまり実用性はなかったし。外部から得たデータのほうが比重が大きかったので、早い話がデータ復元よりも速く復帰できるんです。なので、復元させたいと思うのはエミュなどのセーブデータとか、現在進行形だった作りかけのデータとかですね。それでも量はたいしたものではないです。やはり、システム領域のバックアップが存在したことが大きいと思います。おかげでメールデータやカスタマイズした環境を楽に復元できましたし。

今回のWhiter事件は、データの全消去という手痛い損害はあったものの、それ以上に得るものがあったところがあるかと。復元させるために学んだ知識はもとより、ウィルスに対する緩みがちだった意識も引き締まったと思います。バックアップも大切です。そう思えば、データを失ったのもいい授業料ではなかったかと考えられますしね。

あと、今後のためにWhiterなどの上書き削除に対するトロイの対策とやられたときの復元方法もまとめておきたいところ。

Comment

名前:

機械的スパムを防止するための検証です。以下の画像に書かれている文字列(半角英数字)を入力してください。
Captcha Image
認証:

Information

About this website

サイト名『空想庭園』。御巫 悠が自由気ままに運営しているサイトです。役に立たないコラム書きがメインなのかもしれません。

本サイトはクリエイティブ・コモンズ表示4.0 国際ライセンスの下に提供されています。

Twitterアカウント: spherewind1(twitter.com)

Recent Weblog

Recent Comment

Weblog Search

Weblog Category

Friend Links