電腦還原原理解析

1、要想實現(xiàn)硬盤還原，需要做到兩個步驟：第一步是分析扇區(qū)，還原產(chǎn)品通過分區(qū)表和文件分配表，獲取當(dāng)前硬盤哪些扇區(qū)是已經(jīng)使用過的，哪些扇區(qū)是暫未使用的。第二步是攔截讀寫，還原產(chǎn)品通過還原驅(qū)動程序攔截硬盤讀寫驅(qū)動，并改變系統(tǒng)對硬盤的讀寫，實現(xiàn)對硬盤已經(jīng)存在的數(shù)據(jù)的保護(hù)。舉個簡單的例子。Windows要將一段內(nèi)容寫入到硬盤的第100扇區(qū)，這時還原驅(qū)動會將它攔截下來，通過還原算法將這段內(nèi)容轉(zhuǎn)而寫入到了硬盤中空閑的第1000扇區(qū)，并將這個扇區(qū)映射關(guān)系（

2、100→1000）記錄下來，這樣實際上100扇區(qū)原先的內(nèi)容并未改變。之后當(dāng)Windows要讀取100扇區(qū)時，還原驅(qū)動通過查詢將1000扇區(qū)的內(nèi)容提交給Windows，Windows則認(rèn)為它成功的從100扇區(qū)得到了想要的數(shù)據(jù)。這樣對用戶甚至Windows來說硬盤隨時都在發(fā)生著改變，然而實際上硬盤原有的數(shù)據(jù)都沒有改變。當(dāng)Windows重新啟動后，包括這個100→1000在內(nèi)的所有記錄都被清除了，在用戶和Windows看來，硬盤沒有發(fā)生任何變

3、化，數(shù)據(jù)被還原了。目前還原方式不外乎硬件還原和軟件還原兩種。那么還原卡和還原軟件有什么區(qū)別呢？我們一一分析?，F(xiàn)在流行的還原軟件大致可分為兩種，一種是以冰點為代表的純驅(qū)動還原軟件。這一類的還原軟件只有一個驅(qū)動程序，在Windows啟動過程中加載。這個驅(qū)動程序不僅要實現(xiàn)對硬盤驅(qū)動的攔截，它還要在程序加載時完成對硬盤已使用扇區(qū)和未使用扇區(qū)的分析。它把還原的兩個步驟結(jié)合到了一個驅(qū)動程序當(dāng)中。它還舍棄了從Windows開始啟動后，到還原驅(qū)動程序啟

4、動前這段時間Windows對硬盤的讀寫（事實上這段時間幾乎沒有寫操作）。這是實現(xiàn)還原最簡單的方法，簡單就會存在安全性的問題，我們后面再分析。第二種是以還原精靈為代表的類還原卡軟件。顧名思義，它們和還原卡很類似，它們的特點是通過修改硬盤的主引導(dǎo)記錄（MBR）來啟動還原。啟動還原的代碼是在安裝時寫入到硬盤中去的。我們知道，硬盤都是通過主引導(dǎo)記錄來啟動的。還原精靈將硬盤原有的主引導(dǎo)記錄保存下來，并改成自己的主引導(dǎo)程序。這樣當(dāng)硬盤啟動時，系統(tǒng)就

5、會首先加載還原精靈的主引導(dǎo)程序。分析扇區(qū)這一步就是在這個時候完成的。而同時還原精靈可以做很多事情，包括分析硬盤扇區(qū)，還原，轉(zhuǎn)儲（又叫更新硬盤數(shù)據(jù)）等等，這讓它也能實現(xiàn)還原卡的諸多功能。當(dāng)還原精靈做完了這些事后，就去加載硬盤原有的主引導(dǎo)記錄，開始啟動Windows。然后還是通過驅(qū)動程序，完成對硬盤讀寫的攔截。還原卡的工作原理和還原精靈類似，也是分兩部分，只不過它的啟動是通過插在主板PCI槽上的還原卡來實現(xiàn)的。這種方式啟動時間更早，而且也無

6、需修改硬盤的引導(dǎo)區(qū)，相比之下更加安全。還原卡在啟動時，同樣可以實現(xiàn)轉(zhuǎn)儲等功能，甚至還能實現(xiàn)網(wǎng)絡(luò)對拷，硬盤復(fù)制等附加功能，這些對于擁有多臺相同型號電腦的機(jī)房來說，非常實用。了解了這些還原產(chǎn)品的原理后，我們可以對它們做一番比較。（考慮到市場上還原產(chǎn)品很多，各有特點和附加的功能，所以我們只針對還原相關(guān)的功能，對以上三類還原產(chǎn)品做比較）。功能比較純驅(qū)動還原軟件的功能都很簡單，只有開機(jī)還原，和開放還原兩個功能。這和它的工作原理有關(guān)。沒有引導(dǎo)程序，

7、讓它無法執(zhí)行轉(zhuǎn)儲等類似于整理磁盤的功能。當(dāng)還原驅(qū)動處于工作狀態(tài)時，就是開機(jī)還原；當(dāng)還原驅(qū)動停止工作時，就是開放還原。類還原卡軟件，顧名思義和還原卡很類似。它除了有開機(jī)還原和開放還原的功能外，時間都比存儲設(shè)備要早。也就是說，雖然你用U盤進(jìn)入了DOS，但是還原已經(jīng)起了作用，你刪除的文件還是可以還原回來。那么我要是在U盤中是一個WinPE呢？WinPE下沒有還原驅(qū)動，的確是可以破壞。不過別忘了，還原卡還有個CMOS保護(hù)功能！每次啟動時會檢查C

8、MOS，一旦發(fā)現(xiàn)CMOS被修改，還原卡會將CMOS恢復(fù)回去。即使你在Windows下修改了CMOS，當(dāng)你重啟時，CMOS還是會被恢復(fù)回去。這樣你就永遠(yuǎn)無法用U盤啟動了，管你U盤里裝了WinPE又怎樣。光盤、軟盤、PXE同樣起不了作用。最后不得不提一下機(jī)器狗，這個病毒曾經(jīng)讓所有還原產(chǎn)品疲于打補(bǔ)丁。實際上它的原理就是繞過還原驅(qū)動，從更底層的硬盤驅(qū)動直接訪問硬盤。無論是還原軟件還是還原卡都是通過攔截硬盤讀寫來實現(xiàn)還原的，所以它們都無法躲過機(jī)器