電腦還原原理解析

1、要想實現(xiàn)硬盤還原，需要做到兩個步驟：第一步是分析扇區(qū)，還原產品通過分區(qū)表和文件分配表，獲取當前硬盤哪些扇區(qū)是已經使用過的，哪些扇區(qū)是暫未使用的。第二步是攔截讀寫，還原產品通過還原驅動程序攔截硬盤讀寫驅動，并改變系統(tǒng)對硬盤的讀寫，實現(xiàn)對硬盤已經存在的數據的保護。舉個簡單的例子。Windows要將一段內容寫入到硬盤的第100扇區(qū)，這時還原驅動會將它攔截下來，通過還原算法將這段內容轉而寫入到了硬盤中空閑的第1000扇區(qū)，并將這個扇區(qū)映射關系（

2、100→1000）記錄下來，這樣實際上100扇區(qū)原先的內容并未改變。之后當Windows要讀取100扇區(qū)時，還原驅動通過查詢將1000扇區(qū)的內容提交給Windows，Windows則認為它成功的從100扇區(qū)得到了想要的數據。這樣對用戶甚至Windows來說硬盤隨時都在發(fā)生著改變，然而實際上硬盤原有的數據都沒有改變。當Windows重新啟動后，包括這個100→1000在內的所有記錄都被清除了，在用戶和Windows看來，硬盤沒有發(fā)生任何變

3、化，數據被還原了。目前還原方式不外乎硬件還原和軟件還原兩種。那么還原卡和還原軟件有什么區(qū)別呢？我們一一分析?，F(xiàn)在流行的還原軟件大致可分為兩種，一種是以冰點為代表的純驅動還原軟件。這一類的還原軟件只有一個驅動程序，在Windows啟動過程中加載。這個驅動程序不僅要實現(xiàn)對硬盤驅動的攔截，它還要在程序加載時完成對硬盤已使用扇區(qū)和未使用扇區(qū)的分析。它把還原的兩個步驟結合到了一個驅動程序當中。它還舍棄了從Windows開始啟動后，到還原驅動程序啟

4、動前這段時間Windows對硬盤的讀寫（事實上這段時間幾乎沒有寫操作）。這是實現(xiàn)還原最簡單的方法，簡單就會存在安全性的問題，我們后面再分析。第二種是以還原精靈為代表的類還原卡軟件。顧名思義，它們和還原卡很類似，它們的特點是通過修改硬盤的主引導記錄（MBR）來啟動還原。啟動還原的代碼是在安裝時寫入到硬盤中去的。我們知道，硬盤都是通過主引導記錄來啟動的。還原精靈將硬盤原有的主引導記錄保存下來，并改成自己的主引導程序。這樣當硬盤啟動時，系統(tǒng)就

5、會首先加載還原精靈的主引導程序。分析扇區(qū)這一步就是在這個時候完成的。而同時還原精靈可以做很多事情，包括分析硬盤扇區(qū)，還原，轉儲（又叫更新硬盤數據）等等，這讓它也能實現(xiàn)還原卡的諸多功能。當還原精靈做完了這些事后，就去加載硬盤原有的主引導記錄，開始啟動Windows。然后還是通過驅動程序，完成對硬盤讀寫的攔截。還原卡的工作原理和還原精靈類似，也是分兩部分，只不過它的啟動是通過插在主板PCI槽上的還原卡來實現(xiàn)的。這種方式啟動時間更早，而且也無

6、需修改硬盤的引導區(qū)，相比之下更加安全。還原卡在啟動時，同樣可以實現(xiàn)轉儲等功能，甚至還能實現(xiàn)網絡對拷，硬盤復制等附加功能，這些對于擁有多臺相同型號電腦的機房來說，非常實用。了解了這些還原產品的原理后，我們可以對它們做一番比較。（考慮到市場上還原產品很多，各有特點和附加的功能，所以我們只針對還原相關的功能，對以上三類還原產品做比較）。功能比較純驅動還原軟件的功能都很簡單，只有開機還原，和開放還原兩個功能。這和它的工作原理有關。沒有引導程序，

7、讓它無法執(zhí)行轉儲等類似于整理磁盤的功能。當還原驅動處于工作狀態(tài)時，就是開機還原；當還原驅動停止工作時，就是開放還原。類還原卡軟件，顧名思義和還原卡很類似。它除了有開機還原和開放還原的功能外，時間都比存儲設備要早。也就是說，雖然你用U盤進入了DOS，但是還原已經起了作用，你刪除的文件還是可以還原回來。那么我要是在U盤中是一個WinPE呢？WinPE下沒有還原驅動，的確是可以破壞。不過別忘了，還原卡還有個CMOS保護功能！每次啟動時會檢查C

8、MOS，一旦發(fā)現(xiàn)CMOS被修改，還原卡會將CMOS恢復回去。即使你在Windows下修改了CMOS，當你重啟時，CMOS還是會被恢復回去。這樣你就永遠無法用U盤啟動了，管你U盤里裝了WinPE又怎樣。光盤、軟盤、PXE同樣起不了作用。最后不得不提一下機器狗，這個病毒曾經讓所有還原產品疲于打補丁。實際上它的原理就是繞過還原驅動，從更底層的硬盤驅動直接訪問硬盤。無論是還原軟件還是還原卡都是通過攔截硬盤讀寫來實現(xiàn)還原的，所以它們都無法躲過機器