《計算機(jī)數(shù)據(jù)恢復(fù)技術(shù)》課件第5章

第5章計算機(jī)軟故障處理

5.1文檔修復(fù)5.2密碼遺失處理5.3Windows系統(tǒng)故障處理思考題

5.1文檔修復(fù)

由于數(shù)據(jù)邏輯上的原因，對于操作系統(tǒng)可見的文件，相應(yīng)的應(yīng)用程序卻無法合理、正確地解釋，從而出現(xiàn)諸如“文件損壞無法打開”或打開后為亂碼等情況，通過糾錯、重新計算CRC校驗(yàn)、改正不正確格式等手段來解決這些問題的過程，稱為文檔修復(fù)。

一個Word文檔可能由于存儲時的某種原因，字符編碼類型標(biāo)志位被改變，從而造成格式上出現(xiàn)錯誤，使Word在打開它時無法正確解釋實(shí)際存儲的內(nèi)容，顯示為亂碼。如果重新設(shè)置字符集的標(biāo)志位，就可使文檔恢復(fù)本來面目，這個過程即為文檔修復(fù)。提及文檔修復(fù)，就自然涉及文檔類型。通常不同的應(yīng)用程序，對應(yīng)創(chuàng)建不同格式的文件，由操作系統(tǒng)記錄它們之間的關(guān)聯(lián)關(guān)系，這些信息存放在注冊表中。當(dāng)雙擊這些文檔時

(一般默認(rèn)的操作是打開該文檔)，系統(tǒng)就利用注冊表中登記的關(guān)聯(lián)信息，運(yùn)行相應(yīng)的應(yīng)用程序并打開文檔。每種特定的應(yīng)用程序都有自己特定的文件格式或兼容數(shù)種文件格式。對于不同的文檔，通常都會有相應(yīng)的修復(fù)工具，它們或者是第三方開發(fā)的，或者由開發(fā)應(yīng)用程序的公司自己提供，而且越是流行的文檔類型，相應(yīng)的修復(fù)工具越多。無論哪種文檔修復(fù)工具，都是建立在掌握文檔內(nèi)部格式的基礎(chǔ)之的，正如掌握了文件系統(tǒng)就可以恢復(fù)數(shù)據(jù)一樣，掌握了文檔內(nèi)部結(jié)構(gòu)的細(xì)節(jié)，就可以用來修復(fù)相應(yīng)的文檔。5.1.1辦公文檔修復(fù)

使用Word打開一個文件，常常會出現(xiàn)“文件損壞，無法打開”，或者打開時要求選擇字符集，而打開后呈現(xiàn)亂碼，或者不出現(xiàn)任何提示，直接在打開后出現(xiàn)亂碼等諸種情況。遇到這些問題后，我們可以采用下述方法來實(shí)現(xiàn)文檔的修復(fù)。

1．使用EasyRecovery修復(fù)Word文檔

在數(shù)據(jù)恢復(fù)中，我們已經(jīng)使用了EasyRecovery來恢復(fù)文件，在此，我們將使用EasyRecovery來恢復(fù)Office辦公文檔的功能，其操作過程如下：

(1)在EasyRecovery界面中選擇左邊的“文件修復(fù)”，再選擇“WordRepair”，就會出現(xiàn)選擇文件對話框，如圖5-1所示。圖5-1選擇需修復(fù)的文件

(2)點(diǎn)擊“瀏覽文件”按鈕選擇文件，這是一個標(biāo)準(zhǔn)的文件打開對話框，如圖5-2所示。使用Ctrl鍵可選擇不連續(xù)的文件列表，使用Shift鍵可選擇連續(xù)的文件列表，選擇好后單擊“打開”按鈕。

重復(fù)上述步驟，可以選擇不同目錄下的多個文件。圖5-2打開文件

(3)選擇好待修復(fù)的文件后，調(diào)整修復(fù)后的文件存放的文件夾，準(zhǔn)備工作完成后，單擊“下一步”按鈕。此時，如果所選的文檔處于活動狀態(tài)，則EasyRecovery就不能完成修復(fù)工作，會提示要求關(guān)閉Word，如圖5-3所示。在關(guān)閉Word之后，修復(fù)工作則繼續(xù)進(jìn)行。圖5-3要求關(guān)閉Word注意：如果點(diǎn)擊圖5-1左下角的“屬性”按鈕，則打開如圖5-4所示的選項(xiàng)對話框。若選中“總是創(chuàng)建一個‘搶救的’文件”選項(xiàng)，則不管修復(fù)是否成功，它都將創(chuàng)建一個“搶救的”文檔，并以“文件名_SAL.doc”的形式進(jìn)行存儲。如果不選擇該項(xiàng)，則修復(fù)成功后就創(chuàng)建結(jié)果文檔；若修復(fù)不成功，則不創(chuàng)建結(jié)果文檔。無論選項(xiàng)如何設(shè)置，EasyRecovery在修復(fù)文檔之前都將首先為待修復(fù)文檔創(chuàng)建一個“文件名_BAK.doc”形式的備份文檔，以免損壞原文檔。

圖5-4選項(xiàng)對話框在修復(fù)文件之前創(chuàng)建備份文件時，如果所選文件已經(jīng)有了一個備份文件，則會出現(xiàn)提示，WordRepair會建議使用備份的文件作為修復(fù)的起點(diǎn)，并且不再創(chuàng)建新的備份文件。

此外，無論修復(fù)的文件能不能使用，修復(fù)工作能不能完成，都推薦創(chuàng)建“搶救的”文件。因?yàn)槿绻迯?fù)工作不能徹底完成，這個“搶救的”文件中可能會包含文檔的部分內(nèi)容，可借助它實(shí)現(xiàn)部分修復(fù)。

(4)選擇的所有文檔全部處理完畢后，將顯示一個修復(fù)結(jié)果報告，所有文件的修復(fù)結(jié)果都會顯示出來。修復(fù)過程中遇到錯誤會顯示錯誤信息，可以選擇打印或存儲該修復(fù)報告。

2．使用WordRecovery修復(fù)Word文檔

ConceptData公司開發(fā)有一個Office文檔修復(fù)套件，包括Word、PowerPoint、Access等文檔的修復(fù)工具。

WordRecovery有兩種使用模式：作為獨(dú)立的應(yīng)用程序使用和作為MicrosoftWord的一個插件使用。

WordRecovery作為獨(dú)立應(yīng)用程序使用的步驟如下：

(1)選擇“程序”→“OfficeRecovery”→“RecoveryforWord”，啟動WordRecovery，如圖5-5所示。

(2)選擇“File”→“Recover…”，打開文件選擇對話框；

(3)選擇需要修復(fù)的文檔；

(4)如果文檔使用了密碼保護(hù)，則輸入密碼；

(5)單擊“Recover”按鈕啟動修復(fù)進(jìn)程；

(6)等待修復(fù)過程直至結(jié)束；

(7)出現(xiàn)提示時，保存修復(fù)的文件，并指定一個新的文件名。圖5-5WordRecovery主界面文檔修復(fù)完成后將提示保存修復(fù)結(jié)果，其對話框如圖

5-6所示。

文檔修復(fù)完并保存結(jié)果后，其界面如圖5-7所示，顯示當(dāng)前修復(fù)結(jié)果報告，并等待對下一個文檔進(jìn)行修復(fù)。圖5-6保存修復(fù)的結(jié)果圖5-7修復(fù)完成后的界面

WordRecovery作為MicrosoftWord插件使用的步驟如下：

(1)啟動MicrosoftWord；

(2)選擇“File”菜單下的“Recover”選項(xiàng)(該選項(xiàng)是安裝WordRecovery時自動添加的)，打開一個文檔；

(3)選擇一個文檔進(jìn)行修復(fù)；

(4)如果文檔有密碼保護(hù)，則輸入密碼；

(5)單擊“Recover”按鈕啟動修復(fù)進(jìn)程；

(6)等待修復(fù)過程直至結(jié)束；

(7)出現(xiàn)提示時保存修復(fù)的文件，并指定一個新的文件名。上面介紹了使用EasyRecovery和OfficeRecovery對損壞的Word文檔進(jìn)行修復(fù)的操作過程，對于其它辦公文檔的修復(fù)，其操作過程與此基本相同。OfficeRecovery中的修復(fù)工具既可以單獨(dú)安裝，也可以打包安裝，其安裝程序中所包含的工具，可以根據(jù)自己的實(shí)際需求選擇性地安裝。

注意：即使是同一個應(yīng)用程序，如MicrosoftWord，由于版本的不同，它的文檔格式也不盡相同。由于Office2007的推出和微軟在辦公文檔格式方面的更新，所以必須考慮所使用的修復(fù)工具能否支持需要修復(fù)的文檔的版本，否則使用者容易誤認(rèn)為所用的修復(fù)工具完全不起作用。一般可以查看修復(fù)工具的推出年份來估計它能否較好地修復(fù)文檔。5.1.2壓縮文檔修復(fù)

1．Zip文檔修復(fù)

使用EasyRecovery也可以對Zip文檔進(jìn)行修復(fù)，操作過程和修復(fù)其它Office文檔一樣，這里不再介紹。

如果出現(xiàn)的問題是Zip自解壓文檔不能自解壓，則可以嘗試將其后綴名exe改成zip，然后再使用WinZip進(jìn)行解壓，一般也可以解決問題。如果仍不能解決問題，則可以嘗試一些專業(yè)的修復(fù)工具。下面將介紹使用AdvancedZipRepair修復(fù)Zip文檔的方法。

AZR(AdvancedZipRepair)是一款修復(fù)損壞的Zip文檔和Zip自解壓文檔(即SFX文檔)的強(qiáng)有力的工具。該工具支持各種版本的Zip文檔和用不同應(yīng)用程序創(chuàng)建的Zip自解壓文檔，其主界面如圖5-8所示。圖5-8AZR主界面如果要修復(fù)一個Zip文檔或者Zip自解壓文檔，可單擊“修理”標(biāo)簽(打開時默認(rèn))，然后按照以下步驟進(jìn)行：

(1)在“選擇要修理的Zip或自解壓文件”后的文本框中輸入或者點(diǎn)擊“...”按鈕，選擇一個需要修復(fù)的Zip文檔或SFX文檔，如圖5-9所示。圖5-9選擇待修復(fù)的文檔(2)選擇好待修復(fù)的文檔后，該軟件會自動給出修復(fù)后文檔的名稱，并且默認(rèn)保存在當(dāng)前目錄下，命名規(guī)則為“待修復(fù)文件文件名_fixed.zip”。當(dāng)然，也可以另行選擇保存的文件名和目錄，如圖5-10所示。圖5-10選擇文件和保存路徑

(3)單擊“保存日志”按鈕設(shè)置記錄事件，再單擊“開始修理”按鈕進(jìn)行修復(fù)。

(4)修復(fù)完成后的提示如圖5-11所示，單擊“確定”按鈕關(guān)閉該對話框。圖5-11修復(fù)完成如果要修復(fù)的文件不止一個，則選擇圖5-8中的“批量修理”選項(xiàng)卡，然后選擇“添加文件”，添加需要修復(fù)的文件，或選擇“移除文件”取消已添加的文件。選擇好文件后單擊“開始修理”按鈕即開始修復(fù)工作，如圖5-12所示。(若“修理狀態(tài)”下顯示為“未修理”,則表明所選的壓縮文檔并未損壞，不需要修復(fù))圖5-12批量修復(fù)文檔圖5-8中，“選項(xiàng)”選項(xiàng)卡中是一些選項(xiàng)的設(shè)置，如圖

5-13所示。圖5-13選項(xiàng)設(shè)置“選項(xiàng)”選項(xiàng)卡中主要選項(xiàng)的功能如下：

(1)在修理自解壓文件時使用AZR的exe占位程序：表示使用AZR的解壓代碼替代自解壓文檔原有的解壓代碼。該選項(xiàng)主要在原始的自解壓包不能正常運(yùn)行，或修復(fù)后仍不能正常運(yùn)行的情況下使用。

(2)修理自解壓文件時添加必要的填充：表示AZR在修復(fù)自解壓包時將向自解壓包中寫入一些必要的填充信息，以使自解壓包恢復(fù)正確。在修復(fù)自解壓包時如果修復(fù)的結(jié)果不正確，則可以嘗試該選項(xiàng)。

(3)調(diào)整錯誤的數(shù)據(jù)大?。罕硎続ZR將調(diào)整檔案包中數(shù)據(jù)的長度信息，使之恢復(fù)正確。在大多數(shù)情況下，這有助于從受損的文檔中恢復(fù)出更多的信息，推薦選中該項(xiàng)。

(4)檢查數(shù)據(jù)完整性并修復(fù)錯誤的CRC值：表示如果CRC校驗(yàn)值不正確，AZR將檢查檔案包中的每一個文件并對其進(jìn)行修正。

(5)檢查交叉引用信息：表示AZR將檢查當(dāng)前以及中間的頭部信息的參考信息。這樣可以更加正確地恢復(fù)更多的文件，故建議選中該項(xiàng)。

當(dāng)然，選擇更多的選項(xiàng)在提高恢復(fù)能力的同時，通常也會花費(fèi)更多的時間。

2．RAR文檔修復(fù)

高版本的WinRAR本身對RAR壓縮文檔和Zip壓縮文檔就有修復(fù)能力。啟動WinRAR，先選擇要修復(fù)的壓縮文檔，再在“工具”菜單中選擇“修復(fù)檔案文件”(隨著WinRAR版本的不同，該菜單位置也將不同)，如圖5-14所示。圖5-14修復(fù)壓縮文檔選擇“修復(fù)檔案文件”就是打開和選擇壓縮文檔的類型，而WinRAR也可以自己偵測壓縮文檔的類型，如圖5-15所示。

修復(fù)完成后，顯示修復(fù)結(jié)果，如圖5-16所示。圖5-15選擇修復(fù)后文檔保存位置圖5-16WinRAR修復(fù)結(jié)果提示：對于WinRAR生成的自解壓文件(.exe文件)，同樣可以用上述方法進(jìn)行修復(fù)。另外，在使用WinRAR壓縮文件時，給壓縮文檔增加恢復(fù)記錄，可有效提高網(wǎng)絡(luò)傳輸?shù)仍斐傻膲嚎s文檔局部受損后壓縮文檔的可恢復(fù)性，如圖5-17所示。圖5-17給壓縮文檔添加恢復(fù)記錄5.1.3其它類型文檔修復(fù)

其它較常見的文檔修復(fù)問題有視頻和音頻文件下載后不能播放或者不能正常使用，其修復(fù)通常有如下三種類型。

1．DivX(AVI電影)的修復(fù)

對此類問題，可以使用DivFix軟件觀看部分下載的DivX電影文檔，可以重建或剝?nèi)ノ挥谖募^部的電影索引部分，并可偵測嚴(yán)重導(dǎo)致音頻/視頻流錯誤的一些基本錯誤。

2．rm文件的修復(fù)

針對此類文件，可以使用Rmfix軟件對損毀的rm文件進(jìn)行修復(fù)。例如，一個完整的rm文件只能播放一部分，可以使用Rmfix的自動修復(fù)模式進(jìn)行修復(fù)。又如，rm文件不完整或者是一個沒有下載完全的rm文件，可以通過數(shù)據(jù)塊掃描并重建索引來修復(fù)。

3．wmv/asf文件的修復(fù)

對wmv/asf流媒體文件，可以用微風(fēng)的wmv/asf工具包進(jìn)行修復(fù)。該工具為全中文界面，使用方便，讀者可以參考網(wǎng)絡(luò)中的相關(guān)資料學(xué)習(xí)使用。

現(xiàn)在的文檔修復(fù)工具經(jīng)過逐步的發(fā)展，通常操作和使用都較簡單、直觀。但是，現(xiàn)在的文檔修復(fù)工具功能還不夠強(qiáng)大，文檔修復(fù)的成功率或者效果還不能讓用戶滿意。一方面是由于很多文檔的格式不是公開的，另一方面是因?yàn)楹芏辔臋n格式復(fù)雜，并且本身沒有提供數(shù)據(jù)冗余校驗(yàn)，一旦文檔的某些字節(jié)改變，應(yīng)用程序就無法正確解釋其中的內(nèi)容。

5.2密碼遺失處理

密碼是現(xiàn)代人生活中不可缺少的，甚至可以說，現(xiàn)代人被形形色色的密碼包圍著。密碼本身是用戶為了保護(hù)自己的信息不泄露所采取的一種手段，然而，糟糕的是，密碼過于簡單，容易被人猜測出來，而密碼過于復(fù)雜，則連用戶自己都會忘記。

在個人計算機(jī)的使用中，較常見的密碼遺失問題包括Windows操作系統(tǒng)管理員密碼遺忘、辦公文檔密碼遺失、壓縮文檔密碼遺失等。針對Windows系統(tǒng)管理員密碼遺忘的問題，通常的做法是從系統(tǒng)外部修改SAM文件，使得系統(tǒng)啟動時的驗(yàn)證能通過。而對于辦公文檔和壓縮文檔密碼遺忘的問題，通?？衫霉ぞ哕浖M(jìn)行暴力破解(窮舉法)。5.2.1管理員密碼遺忘的處理

對于Windows操作系統(tǒng)，如果用戶在安裝系統(tǒng)的時候設(shè)置了專門的用戶帳戶和密碼，而沒有對Administrator帳戶設(shè)置密碼(很多普通用戶都屬于這種情況)，則這時問題就比較簡單。重設(shè)密碼的具體操作如下：

(1)按Ctrl+Alt+Del組合鍵(有歡迎界面的WindowsXP需要按兩次)進(jìn)入登錄對話框，在該對話框中輸入用戶名Administrator，然后回車即進(jìn)入系統(tǒng)。

(2)打開“計算機(jī)管理”→“用戶”，在其中可對遺忘密碼的用戶進(jìn)行密碼重新設(shè)定，如圖5-18所示即對帳戶cgp的密碼進(jìn)行重新設(shè)置。圖5-18Windows用戶密碼重置如果遺忘了當(dāng)前Administrator帳戶密碼，此時若在Windows2000系統(tǒng)下，可以通過從外部啟動盤啟動，刪除winnt\system32\config目錄下的sam文件來解決(為安全起見，推薦用ren命令將sam重命名，如sam.old)；若在WindowsXP或者Windows2003系統(tǒng)下，而在最初安裝系統(tǒng)時未對Administrator設(shè)密碼(即Administrator密碼是后來設(shè)置的)或密碼還記得，則可以利用windows\repair目錄下的sam覆蓋windows\system32\config下的sam來解決，覆蓋后的Administrator密碼即恢復(fù)成最初安裝系統(tǒng)時的狀態(tài)?？蓞⒖?.3.1節(jié)中Windows注冊表的備份與修復(fù)來了解相關(guān)操作。更復(fù)雜的情形是，最初安裝WindowsXP/2003系統(tǒng)時所設(shè)的密碼現(xiàn)在也遺忘了。對此需要借助一定的工具軟件來解決，這類工具有ERDCommander工具盤、chntpwd(一個定制的Linux啟動盤)、老毛桃修改的WinPE工具盤等。尤其是老毛桃修改的WinPE工具盤，集成了很多實(shí)用的計算機(jī)維護(hù)工具(包括Windows系統(tǒng)管理員密碼清除工具)，而且是全中文界面，使用簡便。使用該工具清除Windows系統(tǒng)管理員密碼的方法如下：

(1)啟動計算機(jī)，保證CMOS設(shè)置中第一啟動設(shè)備為光驅(qū)，從WinPE工具光盤啟動WinPE系統(tǒng)后，選擇“開始”→“程序”→“目標(biāo)Windows系統(tǒng)維護(hù)”→“Windows用戶密碼修復(fù)”項(xiàng)(注：不同的WinPE修改版中該工具的位置可能不同)，顯示如圖5-19所示的主界面。

(2)點(diǎn)擊“選擇目標(biāo)路徑”，打開文件夾選擇對話框，選中想要恢復(fù)密碼的Windows系統(tǒng)的安裝目錄并確定，如圖5-20所示。圖5-19Windows系統(tǒng)用戶密碼恢復(fù)工具主界面圖5-20選擇目標(biāo)Windows系統(tǒng)安裝目錄位置(3)點(diǎn)擊“修改現(xiàn)有用戶的密碼”，再在下拉列表中選擇用戶名為“Administrator”，在“新密碼”框中輸入新密碼(如123)，然后在“確認(rèn)密碼”框中重新輸入一遍新密碼，最后點(diǎn)擊“應(yīng)用”按鈕。具體步驟如圖5-21中的1、2、3、4所示。(注：該工具實(shí)質(zhì)上是對密碼的HASH值進(jìn)行重置，屬于“密碼重置”而非“密碼修復(fù)”，且“新密碼”和“確認(rèn)密碼”框中不能為空，否則無法點(diǎn)擊“應(yīng)用”按鈕。)圖5-21修改現(xiàn)有用戶的密碼(4)彈出圖5-22所示的提示對話框，說明已經(jīng)成功重置了Administrator用戶的密碼(例中設(shè)為123)。圖5-22重置密碼成功(5)重新啟動計算機(jī)，選擇從硬盤啟動，按Ctrl+Alt+Del組合鍵進(jìn)入登錄對話框，使用剛才重置的Administrator用戶密碼，查看修改成功，如圖5-23所示。

該工具相當(dāng)簡便有效，但是絕不可將該工具用于非法目的！當(dāng)然，由于該工具屬于暴力破解性質(zhì)，機(jī)警的用戶也完全能夠發(fā)覺系統(tǒng)是否遭到入侵。如果實(shí)際情況需要計算破解出原始密碼，例如使用了EFS，則可以嘗試用LC4之類的工具對SAM文件進(jìn)行解密，此處不再介紹，需要的用戶可上網(wǎng)搜索相關(guān)信息。圖5-23登錄Windows查驗(yàn)密碼重置效果5.2.2辦公文檔密碼遺失的處理

在國內(nèi)用戶的實(shí)際使用中，辦公文檔Word的使用率非常高，為了不讓他人看到自己的某些文檔，就必須對文檔進(jìn)行加密。但是在限制了他人閱讀的同時，也會因遺忘密碼而給自己帶來麻煩。此時就需要對辦公文檔進(jìn)行解密。由于Word為人們所熟悉，且其通用性較好，故針對Word密碼遺忘處理的工具非常多。下面將以AdvancedOffice2000PasswordRecovery(AO2000PR)工具為例，介紹辦公文檔密碼遺失處理的一般過程。如果一個Word文檔添加了打開文檔的密碼，則當(dāng)雙擊打開該文檔時會出現(xiàn)提示。例如，有一個Word文檔yyyy.doc添加了打開文檔的密碼，雙擊時出現(xiàn)如圖5-24所示的對話框。下面就用AO2000PR工具對其進(jìn)行解密。圖5-24要求輸入文檔密碼(1)啟動AO2000PR軟件，其主界面如圖5-25所示。

圖5-25AO2000PR主界面

(2)工具欄下的最左邊是打開文件選項(xiàng)，單擊圖標(biāo)

將彈出一個標(biāo)準(zhǔn)的Windows打開文件對話框(見圖5-26)，該對話框的“文件類型”下拉列表中所列也即使用AO2000PR工

具可以實(shí)施密碼破解的文件類型；或單擊圖標(biāo)，彈出最近打開過的文件列表，如圖5-27所示。圖5-26可選文件類型圖5-27最近打開過的文件列表

(3)在正式執(zhí)行破解之前，首先必須對攻擊方式進(jìn)行設(shè)定。圖5-25的Recovery標(biāo)簽下提供了三種攻擊類型(TypeofAttack)，即暴力破解(Brute-ForceAttack)、帶掩碼的暴力破解(Brute-ForcewithMask)和字典破解(DictionaryAttack)。暴力破解是在指定的范圍內(nèi)嘗試所有可能的密碼組合；帶掩碼的暴力破解是指，如果還記得密碼的一部分，則可以使用該方式；字典破解是使用存儲在專門的字典文件里的單詞來進(jìn)行破解嘗試。字典是一個字條占用一行的文本文件(ASCII文件)，行與行之間用換行符隔開。字典攻擊的速度很快，但是字典文件的適應(yīng)性非常重要，好的破解者往往有很多字典，并且可能有自己添加的很多字條。

①如果選用“暴力破解”方式，則單擊Brute-force標(biāo)簽，如圖5-28所示。圖5-28暴力破解方式

暴力破解方式下的選項(xiàng)設(shè)置包括最小長度、最大長度和字符集范圍。一般，密碼可能會包含以下字符：拉丁字母(大寫和小寫)、數(shù)字、特殊符號(!@#$%^&*()_+-=<>,./?[]

{}~:;`’|”\等)和中文符號?？梢詥为?dú)選擇這些范圍，也可以自定義字符范圍。若要自定義字符范圍，則選中“Customcharset(定制字符集)”復(fù)選框，再單擊下邊的按鈕(DefineCustomcharset…)，然后在彈出的圖5-29所示的“Userdefinedcharset”(用戶定義字符集)對話框中，輸入所能想到的所有可能包含的字符，左下角的圖標(biāo)可以(載入)、(存儲)、(清除)和(插入)定義的字符集。圖5-29自定義字符集②如果已經(jīng)知道密碼使用的字符，則可以指定掩碼來減少需檢驗(yàn)的總密碼數(shù)量，即使用“帶掩碼的暴力破解”方式。雖然同一時刻只能設(shè)定固定長度的密碼掩碼，但這種做法仍可大大加快破解的速度。

例如，如果已經(jīng)知道密碼包含3個字符，且以“1”開始，其他字符是數(shù)字或者小寫字母，那么掩碼可以設(shè)置為“1??”，同時字符設(shè)置選中小寫字母a～z和數(shù)字0～9項(xiàng)，取消其他字符集的選擇。該設(shè)置使得程序需要嘗試的密碼總數(shù)量為(26+10)2個，比不加掩碼設(shè)置的總數(shù)量(26+10)3個要少得多。(這里假設(shè)第一個字符的字符集范圍也在小寫字母a～z和數(shù)字0～9的范圍內(nèi))注意：此處符號“?”表示單個字符的通配符。如果密碼中可能出現(xiàn)“?”，則應(yīng)該選擇其他的掩碼以避開“?”。例如，可使用“#”或“*”代替“?”，設(shè)置成“1##”或“1**”。

在“字典破解”方式下，“Startfromlinenumber(起始行數(shù))”使用“#”選項(xiàng)用以設(shè)置從字典中特定的行開始嘗試，如果中斷破解，則顯示當(dāng)前行數(shù)(當(dāng)然也會存入工程文件中)，如圖5-30所示。圖5-30設(shè)置字典的起始行數(shù)

(4)選項(xiàng)(Options)標(biāo)簽中的自動存儲(Auto-save)用于設(shè)定自動保存的時間間隔。每經(jīng)過設(shè)定的時間間隔，程序自動保存一次破解進(jìn)度。該項(xiàng)還可以設(shè)定程序的運(yùn)行級別，是后臺運(yùn)行還是全速運(yùn)行。此外，該項(xiàng)還有一些一般性的設(shè)置，如圖5-31所示。

實(shí)際使用中應(yīng)注意“破解方式”和“選項(xiàng)”設(shè)置的配合。

(5)基準(zhǔn)(Benchmark)標(biāo)簽用于查看破解速度，如圖5-32所示。圖5-31選項(xiàng)設(shè)置圖5-32基準(zhǔn)測試

(6)完成以上設(shè)置后，單擊“Start(開始)”按鈕，程序進(jìn)入破解嘗試狀態(tài)，其進(jìn)度指示如圖5-33所示。圖5-33破解進(jìn)度指示

(7)密碼破解完畢(圖中設(shè)置的破解方式為“帶掩碼的暴力破解”方式，掩碼設(shè)置為zi?????1，并設(shè)置了字符集范圍)，結(jié)果如圖5-34所示?？梢渣c(diǎn)擊密碼右邊的按鈕“CopyPasswordtoClipboard(將密碼復(fù)制到剪貼板)”將結(jié)果復(fù)制到剪貼板，或者直接點(diǎn)擊“Open”按鈕在Word中打開該文檔。圖5-34密碼破解結(jié)果注意，不要隨便在圖5-33的“StartingPassword”處填入字符，否則會影響破解結(jié)果。例中的密碼是“zimejf81”，按ASCII碼大小排列，如果填入字符“zinnnnn1”，它比“zimejf81”大，將導(dǎo)致密碼破解失敗，彈出如圖5-35所示的對話框提示密碼找不到，因?yàn)樗粐L試“zinnnnn1”之后的組合方式；如果填入“zikkkkk1”，則會加快破解進(jìn)度(更準(zhǔn)確地說是破解范圍縮小了)。如果填入的字符長度小于設(shè)定的最小長度，程序?qū)⒑雎裕瑢Τ绦驔]有任何影響；但若填入的字符不在選定的字符集里，則會提示“起始密碼和所選字符集不匹配”，如圖5-36所示。圖5-35填入不合適的起始密碼得到的結(jié)果圖5-36起始密碼和所選字符集不匹配如果選用的是“字典破解”方式，則只需要簡單地選擇想要使用的字典即可。在這種破解方式下，程序?qū)⑹褂米值湮臋n中所有的單詞作為密碼進(jìn)行嘗試。如果密碼有某種意義，如一個完整的單詞，將非常有效。如果不知道密碼形式，可以選擇一些智能變化形式或者嘗試所有的大小寫組合，將非常有幫助。例如，假設(shè)在字典文件中準(zhǔn)備嘗試的單詞是“PASSword”，在選擇二次激活選項(xiàng)后，程序?qū)L試各種組合情況：password

passworD

passwoRd

passwoRD

passwOrd

…

PASSWORd

PASSWORD然而，嘗試所有的組合將花費(fèi)大量的時間，上例中將檢查28個單詞(共256種組合)。但如果使用智能變換，就可以排除相當(dāng)數(shù)量的實(shí)際不可能的組合方式(指密碼設(shè)置者極難記憶的組合)，如：

PASSword (本身)

passWORD (翻轉(zhuǎn))

password (全部小寫)

PASSWORD (全部大寫)

Password (第一個字母大寫，其余字母小寫)

pASSWORD (第一個字母小寫，其余字母大寫)

PaSSWoRD (精華方式：元音小寫，其余字母大寫)

pAsswOrd (精華方式翻轉(zhuǎn))

PaSsWoRd (重音形式1)

pAsSwOrD (重音形式2)

這樣，對每個單詞就只有10種組合方式。程序內(nèi)置有一個字典文件english.dic。程序默認(rèn)把曾經(jīng)破解得到的密碼加入到密碼緩沖區(qū)，并且總是預(yù)先嘗試密碼緩沖區(qū)中的密碼。這本質(zhì)上就是一種用戶字典。當(dāng)然，用戶也可以手動建立字典，或者下載別人現(xiàn)成的字典。總的來說，字典攻擊的速度非?？?，但有效性依賴攻擊者對密碼設(shè)置者設(shè)置密碼習(xí)慣的了解程度。

如果密碼較復(fù)雜，需要較長時間才能破解，則在破解過程中應(yīng)隨時保存工程進(jìn)度，以便下次打開時就可以接著上次的工程進(jìn)度繼續(xù)進(jìn)行。若停止正在進(jìn)行的破解過程，則出現(xiàn)如圖5-37所示的提示對話框。圖5-37停止破解過程使用該工具對Excel、PowerPoint、Access、Outlook等文檔進(jìn)行的密碼恢復(fù)操作也都類似，不再詳細(xì)介紹。

注意：盡管圖5-26列出了AO2000PR可以進(jìn)行密碼破解的文檔類型，但若使用AO2000PR去破解版本高于它所支持的辦公文檔，破解通常會失敗。因此必須先了解所使用的AOPR支持的辦公文檔的版本，再實(shí)施破解。5.2.3壓縮文檔密碼遺失的處理

常見的壓縮文檔有ZIP格式、RAR格式和ACE格式的，從通用性來說，ZIP格式的最為多見。但是，從國內(nèi)用戶的習(xí)慣來看，目前RAR格式的使用更普遍。下面就以ARPR(AdvancedRARPasswordRecovery)軟件破解RAR文檔密碼為例來說明如何破解壓縮文檔的密碼。首先介紹如何對RAR文檔設(shè)置密碼，其方法如下：

(1)在選用WinRAR壓縮文檔后，在其對話框中選擇“高級”標(biāo)簽頁(默認(rèn)為“常規(guī)”標(biāo)簽頁)，如圖5-38所示。

(2)點(diǎn)擊“設(shè)置口令”按鈕，在彈出的對話框中輸入口令和重復(fù)一遍驗(yàn)證口令，然后單擊“確定”按鈕，如圖5-39所示。

(3)完成設(shè)置后點(diǎn)擊“確定”按鈕，即可將文檔壓縮。圖5-38WinRAR高級標(biāo)簽頁圖5-39輸入RAR文檔口令帶有口令的壓縮文檔在打開時其文件名后通常都帶有“*”標(biāo)記，如圖5-40所示。圖5-40帶有口令的壓縮文檔下面介紹破解該壓縮文檔密碼的方法。

(1)啟動ARPR軟件，其主界面如圖5-41所示。

與圖5-25比較可以發(fā)現(xiàn)，ARPR軟件界面的基本組成和AOPR非常相似。事實(shí)上，ARPR軟件的使用方法也和AOPR類似。

假設(shè)該例中我們已經(jīng)知道密碼長度8，第一個字符為z，最后四位為jf81。圖5-41ARPR軟件主界面

(2)在主界面的EncryptedRAR-file子窗口中點(diǎn)擊右邊的LoadRAR-fileintotheproject(在工程中導(dǎo)入RAR文件)按鈕，選擇要破解的RAR文件并打開，如圖5-42所示。

(3)選擇攻擊方式(Typeofattack)為帶掩碼的暴力破解方式(Mask)，如圖5-43所示。

(4)選擇字符集范圍為小寫字母，掩碼為“z???jf81”，如圖5-44所示。圖5-42選擇要破解的RAR文件圖5-43選擇攻擊方式圖5-44設(shè)置字符集范圍和掩碼

(5)點(diǎn)選主界面(圖5-41)中的Start(啟動)按鈕開始破解嘗試。在主界面的下方可以看到破解的進(jìn)程和破解的速度，如圖5-45所示。

(6)破解成功后，出現(xiàn)如圖5-46所示的結(jié)果。(注：該例中的密碼為“zimejf81”。)圖5-45ARPR破解密碼的速度和進(jìn)度圖5-46ARPR破解成功后的結(jié)果通過上述操作我們會發(fā)現(xiàn)，該例中雖已將字符集范圍限定到較小，且設(shè)置了掩碼，使實(shí)際的密碼長度僅相當(dāng)于3個字符，密碼總數(shù)為263=17?576個，但仍然需要消耗大量的時間來進(jìn)行密碼破解。這說明，破解RAR口令的速度是相當(dāng)慢的，和破解Office系列辦公文檔密碼的速度有著天壤之別。但這從另一個側(cè)面說明，Office系列辦公文檔的密碼加密強(qiáng)度很低，而RAR文檔密碼的加密強(qiáng)度相當(dāng)高。因此，只要合理設(shè)置RAR文檔密碼，就可以非常有效地維護(hù)個人文檔的安全。但同時也必須指出，如果用戶忘記了自己RAR文檔的密碼，將會非常麻煩，甚至在實(shí)踐意義上不可破解。

5.3Windows系統(tǒng)故障處理

影響Windows系統(tǒng)正常工作的軟故障很多，有些是特定應(yīng)用方向的，如網(wǎng)絡(luò)故障。我們在此不介紹那些特定于相關(guān)應(yīng)用領(lǐng)域的故障，因?yàn)槟切┕收闲枰獞?yīng)用相關(guān)的知識。我們把重點(diǎn)放在普通用戶關(guān)心的問題上，如注冊表、系統(tǒng)啟動文件、病毒和木馬、流氓軟件和垃圾郵件等。5.3.1Windows注冊表的備份與修復(fù)

下面以Windows2000為例進(jìn)行介紹。

1．注冊表的定義

Windows2000的配置信息存儲在名為注冊表的數(shù)據(jù)庫中。注冊表包含了每個計算機(jī)用戶的配置文件，以及有關(guān)系統(tǒng)硬件、已安裝的程序和屬性設(shè)置的信息。Windows2000在運(yùn)行過程中要一直引用這些信息。

因此，注冊表是Windows2000操作系統(tǒng)的核心與靈魂，存儲和管理著整個操作系統(tǒng)、應(yīng)用程序的關(guān)鍵數(shù)據(jù)，是整個操作系統(tǒng)中最重要的一部分。

2．注冊表的支持文件

對于注冊表的備份和修復(fù)，我們主要關(guān)心它的物理結(jié)構(gòu)，而不討論其邏輯結(jié)構(gòu)(即鍵樹)。在Windows2000中，最主要的注冊表文件(支持文件)在“%systemroot%\system32\config”目錄下，如圖5-47所示(注：%systemroot%是系統(tǒng)的環(huán)境變量，表示W(wǎng)indows2000的安裝路徑，例如C:\winnt，對WindowsXP系統(tǒng)通常為C:\windows)。此文件夾中的每一個文件都是注冊表的重要組成部分，對系統(tǒng)有著關(guān)鍵的作用。其中沒有擴(kuò)展名的文件是當(dāng)前注冊表文件，也是最重要的，主要包括default(缺省注冊表文件)，SAM(安全帳戶管理器注冊表文件)，security(安全注冊表文件)，software(應(yīng)用軟件注冊表文件)和system(系統(tǒng)注冊表文件)。以?.sav為擴(kuò)展名的文件是這些文件的備份，是最近一次系統(tǒng)正常引導(dǎo)過程中保存的。

其他的Windows2000注冊表文件在系統(tǒng)盤的\DocumentsandSettings\DefaultUser下，包括Ntuser.dat和Ntuser.dat.log等。圖5-47注冊表主要的支持文件

3．注冊表所有文件的備份

用系統(tǒng)啟動盤啟動后，進(jìn)入%systemroot%\system32\

config目錄下，將所有文件復(fù)制并存放到安全的位置。該方法實(shí)際上是對注冊表的關(guān)鍵性支持文件作了備份。如果引導(dǎo)卷(操作系統(tǒng)安裝的分區(qū))是NTFS文件系統(tǒng)，那么可以使用ntfspro或者恢復(fù)控制臺來進(jìn)入%systemroot%\system32\config目錄。(恢復(fù)控制臺的啟動比較麻煩，但ntfspro是第三方軟件，其可靠性有待驗(yàn)證。)

4．注冊表的整體導(dǎo)出

可用regedit.exe工具導(dǎo)出注冊表，如圖5-48所示，設(shè)置“導(dǎo)出范圍”為“全部”(即整個注冊表)，“保存類型”為reg文本文件。這樣導(dǎo)出的reg文本包含了所有注冊表信息，但它不同于注冊表的支持文件。圖5-48注冊表整體導(dǎo)出

5．重建注冊表

注冊表被破壞后，可通過以下兩步來重建注冊表。

(1)為了恢復(fù)的安全性和可回溯，建議保存已經(jīng)有問題的注冊表文件。如果是NTFS文件系統(tǒng)，建議使用恢復(fù)控制臺。備份完有問題的注冊表后，刪除%systemroot%\

system32\config下注冊表的支持文件，然后將原先備份的注冊表基礎(chǔ)文件(通常是剛剛裝完基本的系統(tǒng)后備份的文件)復(fù)制到%systemroot%\system32\config下。這樣系統(tǒng)就可以啟動了，但這樣會丟失大量信息。

(2)啟動Windows系統(tǒng)，用regedit.exe工具將備份的reg文本信息導(dǎo)入(合并)到注冊表?？赡軙行畔⒅貜?fù)的沖突，忽略即可。

這樣重建后，注冊表就恢復(fù)到了做reg文本備份時的狀態(tài)。

6．備份系統(tǒng)狀態(tài)

可用備份工具ntbackup.exe備份系統(tǒng)的當(dāng)前狀態(tài)，操作為“開始”→“所有程序”→“附件”→“系統(tǒng)工具”→“備份”→“SystemState”，系統(tǒng)狀態(tài)中包含了注冊表但不僅僅是注冊表，如圖5-49所示。

注意：可通過Windows幫助和網(wǎng)上相關(guān)資料了解如何利用ntbackup.exe備份系統(tǒng)狀態(tài)和還原系統(tǒng)狀態(tài)。圖5-49備份工具備份系統(tǒng)狀態(tài)

7．沒有備份如何恢復(fù)

Windows2000會將最主要的注冊表支持文件備份到“%systemroot%\repair”目錄下，以便在出現(xiàn)故障時修復(fù)。但systemroot%\repair下的文件是系統(tǒng)第一次安裝完成后保留的，若用于系統(tǒng)修復(fù)，會丟失顯卡驅(qū)動配置等信息。因此可采用如下的方法。

如果有用regedit.exe做的reg備份或者ntbackup.exe做的bkf備份，可以使用“基礎(chǔ)文件+reg備份”或者“基礎(chǔ)文件+bkf備份”的方式來恢復(fù)(將%systemroot%\repair下的文件作為基礎(chǔ)文件)。否則只能再次安裝必要的驅(qū)動程序和軟件或者重裝系統(tǒng)。

此外，如果你的系統(tǒng)開啟了Windows自帶的系統(tǒng)還原功能，則可以參考微軟網(wǎng)站相應(yīng)文檔來將注冊表恢復(fù)到過去的某個時間狀態(tài)。5.3.2系統(tǒng)文件丟失后的修復(fù)

系統(tǒng)文件丟失或者損壞對操作系統(tǒng)的正常啟動和工作會產(chǎn)生重要影響。在此我們先

來基本了解一下操作系統(tǒng)的正常啟動過程。下面以WindowsXP操作系統(tǒng)的啟動為例來介紹。

1．系統(tǒng)啟動過程

從按下計算機(jī)電源啟動計算機(jī)到進(jìn)入到桌面完成啟動需經(jīng)歷如下幾個階段。

1)預(yù)引導(dǎo)階段

從按下計算機(jī)電源到操作系統(tǒng)啟動之前這段時間，我們稱之為預(yù)引導(dǎo)(Pre-Boot)階段。在這個階段里，計算機(jī)首先運(yùn)行PowerOnSelfTest(POST)檢測系統(tǒng)的總內(nèi)存以及其他硬件設(shè)備的現(xiàn)狀，如果計算機(jī)系統(tǒng)的BIOS(基本輸入/輸出系統(tǒng))是即插即用的，那么計算機(jī)硬件設(shè)備將檢驗(yàn)并完成配置。計算機(jī)的基本輸入/輸出系統(tǒng)定位計算機(jī)的引導(dǎo)設(shè)備后，MBR(MasterBootRecord)被加載并運(yùn)行。在預(yù)引導(dǎo)階段，計算機(jī)將加載WindowsXP的NTLDR文件。

2)引導(dǎo)階段

WindowsXPProfessional引導(dǎo)階段包含以下4個階段。

首先，在初始引導(dǎo)加載器階段(InitialBootLoader)，NTLDR將計算機(jī)微處理器從實(shí)模式轉(zhuǎn)換為32位平面內(nèi)存模式。在實(shí)模式中，系統(tǒng)為MS-DOS保留了640?KB的內(nèi)存，其余內(nèi)存均視為擴(kuò)展內(nèi)存；在32位平面內(nèi)存模式中，系統(tǒng)視所有內(nèi)存為可用內(nèi)存。之后，NTLDR啟動內(nèi)建的mini-filesystemdrivers，通過該步，使NTLD可以識別每一個用NTFS或者FAT文件系統(tǒng)格式化的分區(qū)，以便發(fā)現(xiàn)并加載WindowsXPProfessional。至此，初始引導(dǎo)加載器階段就結(jié)束了。其次，進(jìn)入操作系統(tǒng)選擇階段。如果計算機(jī)安裝了不止一個操作系統(tǒng)(也就是多系統(tǒng))，而且正確設(shè)置了boot.ini使系統(tǒng)提供有操作系統(tǒng)的選擇，則計算機(jī)顯示器會顯示一個操作系統(tǒng)選單，這是NTLDR讀取boot.ini的結(jié)果。

boot.ini中主要包含著如下內(nèi)容：

[bootloader]

timeout=30

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operatingsystems]

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS=“MicrosoftWindowsXPProfessional”

/fastdetect

multi(0)disk(0)rdisk(0)partition(2)\WINNT="WindowsWindows2000Professional"其中，multi(0)表示磁盤控制器，disk(0)rdisk(0)表示磁盤，partition(x)表示分區(qū)。NTLDR就是從這里查找WindowsXPProfessional的系統(tǒng)文件的位置的。如果boot.ini中只有一個操作系統(tǒng)選項(xiàng)，或者timeout的值為0，則系統(tǒng)不出現(xiàn)操作系統(tǒng)選擇菜單，直接引導(dǎo)到那個唯一的系統(tǒng)或者默認(rèn)的系統(tǒng)。在選擇啟動WindowsXPProfessional后，操作系統(tǒng)選擇階段結(jié)束，硬件檢測階段開始。再次，在硬件檢測階段，

將收集計算機(jī)硬件信息列表并將列表返回到NTLDR，這樣做的目的是便于以后將這些硬件信息加入到注冊表HKEY_LOCAL_MACHINE下的HARDWARE中。

最后，硬件檢測完成后，進(jìn)入配置選擇階段。如果計算機(jī)含有多個硬件配置文件，可以通過按上下鍵在信息列表中選擇；如果只有一個硬件配置文件，計算機(jī)不顯示該信息列表而直接使用默認(rèn)的配置文件加載WindowsXP專業(yè)版。

至此，引導(dǎo)階段結(jié)束。該階段中系統(tǒng)要用到的文件有NTLDR、boot.ini、、ntoskrnl.exe、Ntbootdd.sys和bootsect.dos(可選的)等。

3)加載內(nèi)核階段

在加載內(nèi)核階段，NTLDR加載稱為WindowsXP內(nèi)核的ntoskrnl.exe。系統(tǒng)首先加載WindowsXP內(nèi)核(但是沒有將它初始化)，接著NTLDR加載硬件抽象層(HAL，hal.dll)，然后，系統(tǒng)繼續(xù)加載HKEY_LOCAL_

MACHINE\SYSTEM鍵，NTLDR讀取select鍵來決定哪一個ControlSet(控制集)將被加載。ControlSet中包含著設(shè)備的驅(qū)動程序以及需要加載的服務(wù)，而NTLDR加載的是HKEY_LOCAL_MACHINE\

SYSTEM\Services\...?下Start鍵值為0的最底層設(shè)備驅(qū)動。當(dāng)作為ControlSet鏡像的CurrentControlSet被加載時，NTLDR將傳遞控制給內(nèi)核，初始化內(nèi)核階段即開始了。

4)初始化內(nèi)核階段

在初始化內(nèi)核階段開始的時候，彩色的WindowsXP的logo以及進(jìn)度條顯示在屏幕中央，在該階段，系統(tǒng)完成啟動的如下四項(xiàng)任務(wù)：

(1)內(nèi)核使用在硬件檢測時收集到的數(shù)據(jù)創(chuàng)建HKEY_

LOCAL_MACHINE\HARDWARE鍵。

(2)內(nèi)核通過引用HKEY_LOCAL_MACHINE\system\

Current的默認(rèn)值復(fù)制ControlSet創(chuàng)建CloneControlSet。CloneControlSet配置是計算機(jī)數(shù)據(jù)的備份，不包括啟動中的改變，也不會被修改。

(3)系統(tǒng)完成初始化以及加載設(shè)備驅(qū)動程序，內(nèi)核初始化那些在加載內(nèi)核階段被加載的底層驅(qū)動程序，然后內(nèi)核掃描HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\

Services\...下Start鍵值為1的設(shè)備驅(qū)動程序。這些設(shè)備驅(qū)動程序在加載的時候便完成初始化，如果有錯誤發(fā)生，內(nèi)核將使用ErrorControl鍵值來決定如何處理。當(dāng)值為3時，錯誤標(biāo)志為危急/關(guān)鍵，系統(tǒng)初次遇到錯誤會以LastKnownGoodControlSet重新啟動，如果使用LastKnownGoodControlSet啟動仍然產(chǎn)生錯誤，系統(tǒng)報告啟動失敗，錯誤信息將被顯示，系統(tǒng)停止啟動；當(dāng)值為2時，錯誤情況為嚴(yán)重，系統(tǒng)啟動失敗并且以LastKnownGoodControlSet重新啟動，如果系統(tǒng)啟動時已經(jīng)在使用LastKnownGood值，它會忽略錯誤并且繼續(xù)啟動；當(dāng)值為1時，錯誤為普通，系統(tǒng)會產(chǎn)生一個錯誤信息，但是仍然會忽略這個錯誤并且繼續(xù)啟動；當(dāng)值為0時，忽略，系統(tǒng)不會顯示任何錯誤信息而繼續(xù)運(yùn)行SessionManager。啟動了WindowsXP高級子系統(tǒng)以及服務(wù)后，SessionManager啟動控制所有輸入、輸出設(shè)備以及訪問顯示器屏幕的Win32子系統(tǒng)和Winlogon進(jìn)程，初始化內(nèi)核完畢。

5)登錄

Winlogon.exe啟動LocalSecurityAuthority后，顯示W(wǎng)indowsXPProfessional歡迎界面或者登錄對話框。此時，系統(tǒng)還可能在后臺繼續(xù)初始化剛才沒有完成的驅(qū)動程序。

ServiceController最后執(zhí)行以及掃描HKEY_LOCAL_

MACHINE\SYSTEM\CurrentControlSet\Services來檢查是否還有服務(wù)需要加載。ServiceController查找start鍵值為2或更高的服務(wù)，服務(wù)按照start的值以及DependOnGroup和DependOnService的值來加載。只有用戶成功登錄到計算機(jī)后，WindowsXP的啟動才被認(rèn)為已經(jīng)完成。在成功登錄后，系統(tǒng)拷貝CloneControlSet到LastKnownGoodControlSet，完成這一步驟后，才意味著系統(tǒng)已經(jīng)成功引導(dǎo)。

2．系統(tǒng)文件修復(fù)

下面介紹常見系統(tǒng)文件丟失或者損壞后的解決方法。

1)?NTLDR文件丟失或者損壞

在突然停電(斷電)或在高版本系統(tǒng)的基礎(chǔ)上安裝低版本的操作系統(tǒng)時，很容易造成NTLDR文件的丟失或者損壞(低版本的NTLDR覆蓋高版本的可以看作是損壞)，在登錄系統(tǒng)時通常會出現(xiàn)“NTLDRisMissingPressanykeytorestart”的故障提示，這可在“故障恢復(fù)控制臺”中進(jìn)行解決。方法如下：插入WindowsXP安裝光盤，像通常安裝系統(tǒng)一樣，但不選擇安裝系統(tǒng)，而選擇用故障恢復(fù)控制臺修復(fù)(R)。出現(xiàn)恢復(fù)控制臺后，根據(jù)提示選擇要登錄的系統(tǒng)并輸入管理員密碼登錄。然后，在故障恢復(fù)控制臺的命令狀態(tài)下輸入“copyx:\i386\ntldrc:\”命令并回車即可(“x”為光驅(qū)所在的盤符，這里假設(shè)系統(tǒng)卷為c:)。

提示：如果NTLDR文件所在的分區(qū)(通常是激活的主分區(qū))是FAT分區(qū)，也可以直接從DOS啟動，從系統(tǒng)安裝盤的i386目錄下將NTLDR拷貝一份；如果是NTFS分區(qū)，可以通過加載ntfspro來實(shí)現(xiàn)DOS下對NTFS分區(qū)的訪問。如果NTLDR并非丟失，而是文件損壞，建議先用ren命令重命名損壞的文件，然后從安裝盤拷貝完好的文件。

2)?文件丟失或者損壞

文件丟失或者損壞時，通常會出現(xiàn)“NTDETECT.COM丟失或損壞(失敗)”的提示。解決該問題的方法和解決NTLDR文件丟失或者損壞的方法基本相同，這里不再重復(fù)。

3)?boot.ini文件丟失或者數(shù)據(jù)錯誤

通常，boot.ini文件丟失或者文件結(jié)構(gòu)錯誤的時候，NTLDR因?yàn)檎也坏秸_結(jié)構(gòu)的boot.ini，就提示boot.ini文件找不到或者非法，然后默認(rèn)從當(dāng)前硬盤的第一個分區(qū)下查找Windows系統(tǒng)目錄(對WindowsXP是\Windows\system32目錄)。如果系統(tǒng)確實(shí)安裝在第一個分區(qū)下，Windows仍然能夠正常啟動；否則，因?yàn)檎也坏较到y(tǒng)目錄的位置，會出現(xiàn)找不到ntoskrnl.exe或hal.dll的提示(請參閱前述關(guān)于WindowsXP啟動過程的論述)。如果boot.ini文件存在，并且結(jié)構(gòu)正確，但是其中關(guān)于分區(qū)的指示partition(x)的數(shù)字x不正確，則同樣因?yàn)檎也坏较到y(tǒng)目錄的位置，會出現(xiàn)找不到hal.dll的提示(屏幕提示為hal.dll丟失或者損壞，但事實(shí)上是因?yàn)槲恢貌徽_而找不到)。例如，原來WindowsXP系統(tǒng)安裝在第3個分區(qū)partition(3)，安裝了“一鍵恢復(fù)Ghost”后，系統(tǒng)無法正常啟動。用Diskman軟件觀察分區(qū)后發(fā)現(xiàn)，“一鍵恢復(fù)Ghost”增加了一個主分區(qū)，從而WindowsXP所在分區(qū)變成第4個分區(qū)，將partition(3)修改成partition(4)后，系統(tǒng)即正常啟動。對于boot.ini文件丟失或者數(shù)據(jù)錯誤問題，因?yàn)閎oot.ini只是一個一定格式的文本文件，所以我們可通過重建該文件或者修正該文件來解決。用DOS啟動盤啟動后，如果是NTFS分區(qū)，加載ntfspro，然后用編輯boot.ini文件保存即可。

4)非啟動相關(guān)的系統(tǒng)文件丟失或損壞

對于單個的非啟動相關(guān)的系統(tǒng)文件丟失或損壞，其處理方法是相同的，即從安裝光盤解壓一份完好的文件到對應(yīng)的目錄下。例如，compmgmt.msc文件丟失或損壞會造成計算機(jī)管理不可用，這時，在“運(yùn)行”窗口中輸入“expandx:\i386\

compmgmt.ms_c:\windows\system32\compmgmt.msc”命令并回車執(zhí)行(其中“x”為光驅(qū)的盤符)或者打開命令提示符，輸入“expandx:\i386\compmgmt.ms_c:\windows\system32\

compmgmt.msc”回車執(zhí)行。同樣，rundll32.exe和MFC42u.DLL文件丟失或損壞，通常都會有相應(yīng)提示，如圖5-50和圖5-51所示，從i386目錄將rundll32.ex_和MFC42u.dl_解壓到對應(yīng)系統(tǒng)目錄即可。

提示：有些DLL文件復(fù)制到相應(yīng)的目錄后還需要進(jìn)行注冊，如System32文件夾中的abc.dll文件需要系統(tǒng)進(jìn)行注冊認(rèn)證時，可在運(yùn)行窗口中執(zhí)行“regsvr32c:\windows\system32\

abc.dll”命令，然后進(jìn)行組件的注冊操作即可。圖5-50Rundll32.exe文件丟失或損壞的提示圖5-51MFC42u.dll文件丟失或損壞的提示

5)另類文件丟失

這類故障出現(xiàn)時一般會給出一組CLSID(ClassIDoridentifier)注冊碼，而不是告訴用戶所損壞或丟失的文件名稱，因此經(jīng)常會讓一些用戶感到不知所措。例如，在運(yùn)行窗口中執(zhí)行“gpedit.msc”命令來打開組策略時出現(xiàn)了“管理單元初始化失敗”的提示窗口(見圖5-52)，點(diǎn)擊“確定”也不能正常地打開相應(yīng)的組策略(見圖5-53)，經(jīng)過檢查發(fā)現(xiàn)是因?yàn)閬G失了gpedit.dll文件所致。雖然窗口中沒有提示所丟失的文件名，但是在實(shí)際解決這類故障時也不是很難。圖5-52管理單元初始化失敗圖5-53創(chuàng)建管理單元失敗事實(shí)上，窗口中的CLSID類標(biāo)識就是一個解決問題的線索。因?yàn)樽员碇袝o每個對象分配一個唯一的標(biāo)識，這樣就可通過在注冊表中查找來獲得相關(guān)的線索。具體方法如下：

在“運(yùn)行”窗口中執(zhí)行“regedit”命令，然后在打開的注冊表窗口中依次點(diǎn)擊“編輯”→“查找”；在輸入框中輸入CLSID標(biāo)識(本例中的CLSID標(biāo)識是“{8FC0B734-A0E1-11D1-A7D3-0000F87571E3}”)，再在搜索的類標(biāo)識中選中“InProcServer32”項(xiàng)；接著在右側(cè)窗口中雙擊“默認(rèn)”項(xiàng)，在“數(shù)值數(shù)據(jù)”中會出現(xiàn)%SystemRoot%\System32\GPEdit.dll”，其中的GPEdit.dll就是本例所丟失或損壞的文件。這時，只要將安裝光盤中的相關(guān)文件解壓或直接復(fù)制到相應(yīng)的目錄中，即可完全修復(fù)。以上所述都是在Windows系統(tǒng)可以正常登錄的前提下的，而事實(shí)上，某些系統(tǒng)文件丟失或損壞后盡管有提示，但Windows已經(jīng)無法啟動。此時，可以進(jìn)入故障恢復(fù)控制臺，使用expand命令(在安裝盤的i386目錄下也包含了此命令)從安裝盤解壓對應(yīng)的文件到系統(tǒng)目錄下即可。

提示：盡管expand.exe為命令行命令，但它只能運(yùn)行在Windows環(huán)境或者故障恢復(fù)控制臺下，不能在DOS模式下運(yùn)行。

6)較多系統(tǒng)文件丟失或者異常

在遇到病毒或者其它某種故障后，如果有較多的系統(tǒng)文件丟失或異常(被病毒篡改)，再用expand就顯得力不從心了，這時可使用SFC文件檢測器命令，進(jìn)行全面的檢測并修復(fù)受損的系統(tǒng)文件。方法如下：

在“運(yùn)行”窗口中執(zhí)行“sfc/scannow”命令，此時SFC文件檢測器將立即掃描所有受保護(hù)的系統(tǒng)文件(見圖5-54)，其間會提示用戶插入Windows安裝光盤。大約10分鐘后，SFC就會檢測并修復(fù)好受保護(hù)的系統(tǒng)文件。圖5-54SFC掃描受保護(hù)的系統(tǒng)文件提示：如果沒有WindowsXP安裝盤，但之前在硬盤上備份了安裝盤文件，也可以按照如下設(shè)置，使SFC通過硬盤上的安裝文件來恢復(fù)系統(tǒng)文件。

在注冊表編輯器窗口中，依次展開“HKEY_LOCAL_

MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\

Setup”子鍵，然后在右側(cè)窗口中修改InstallationSources、ServicePackSourcePath和SourcePath三個鍵值為硬盤上的系統(tǒng)安裝程序路徑。例如WindowsXP的安裝源文件存放在G盤WinXP文件夾中，那么修改以上三個鍵的鍵值為“G:\WinXP”。這樣再使用SFC命令時，就可以直接使用硬盤上的安裝文件來恢復(fù)系統(tǒng)，而不需要再插入安裝光盤了。5.3.3病毒故障的手工處理

隨著網(wǎng)絡(luò)在我們的學(xué)習(xí)、工作和生活中越來越普及，各種電腦病毒和木馬也越來越猖獗。長時間上網(wǎng)就很有可能被攻擊者在電腦中植入木馬。對于病毒和木馬，雖然有殺毒軟件和防火墻，但是手工處理也非常重要，尤其是殺毒軟件不能清除或者殺毒軟件本身被病毒感染或者禁用時。當(dāng)然，病毒完全用手工來處理既費(fèi)時費(fèi)力，且容易遺漏，因此，這里說的病毒故障手工處理，并不排斥各種工具軟件的使用。恰恰相反，在檢測類工具軟件和殺毒軟件的輔助下，手工處理病毒和木馬可以做到高效和徹底。下面介紹手工處理病毒的一些基本方法：

(1)檢查網(wǎng)絡(luò)連接情況。由于不少木馬會主動偵聽端口，或者會連接特定的IP和端口，所以我們可以在沒有用戶認(rèn)可的程序連接網(wǎng)絡(luò)的情況下，通過檢查網(wǎng)絡(luò)連接情況來發(fā)現(xiàn)是否存在木馬。具體步驟是：點(diǎn)擊“開始”→“運(yùn)行”，輸入“cmd”，然后輸入“netstat-an”命令，查看所有和自己電腦建立連接的IP以及自己電腦偵聽的端口。顯示結(jié)果包含四部分，即Proto(連接方式)、LocalAddress(本地連接地址)、ForeignAddress(和本地建立連接的外部地址)和State(當(dāng)前端口狀態(tài))，如圖5-55所示。通過該詳細(xì)信息就可以完全了解電腦的網(wǎng)絡(luò)連接情況。注：可以上網(wǎng)查閱資料來了解不同病毒和木馬可能利用的端口。圖5-55用netstat檢查網(wǎng)絡(luò)連接情況

(2)查看目前運(yùn)行的服務(wù)。服務(wù)是很多木馬用來保持自己在系統(tǒng)中永遠(yuǎn)能處于運(yùn)行狀態(tài)的方法之一?？梢酝ㄟ^點(diǎn)擊“開始”→“運(yùn)行”，輸入“cmd”，然后輸入“netstart”來查看系統(tǒng)中究竟開啟了哪些服務(wù)。如果發(fā)現(xiàn)了不應(yīng)該(不需要)開啟的服務(wù)，可以進(jìn)入計算機(jī)管理工具中的“服務(wù)”，找到相應(yīng)的服務(wù)，停止并禁用它。一般病毒的服務(wù)名稱是中文的或者很短。這里要求熟悉Windows系統(tǒng)本身的服務(wù)，并且了解自己安裝的軟件使用的服務(wù)。

(3)檢查系統(tǒng)啟動項(xiàng)。由于注冊表對于普通用戶來說比較復(fù)雜，故木馬常隱藏于此。檢查注冊表啟動項(xiàng)的方法如下：點(diǎn)擊“開始”→“運(yùn)行”，輸入“regedit”，然后檢查HKEY_

LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion、HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion和HKEY_USERS\Default\Software\

Microsoft\Windows\CurrentVersion下所有以“run”開頭的鍵值。此外，Windows安裝目錄下的System.ini也是木馬喜歡隱藏的地方。打開該文件，查看該文件的[boot]字段中是否有shell=Explorer.exefile.exe樣的內(nèi)容，如有，則file.exe很可能就是木馬程序。

(4)檢查系統(tǒng)帳戶。惡意的攻擊者喜歡在電腦中留一個帳戶以便控制你的計算機(jī)。他們采用的方法就是激活一個系統(tǒng)中的默認(rèn)帳戶(但這個帳戶卻很少使用)，然后把這個帳戶的權(quán)限提升為管理員權(quán)限。這個帳戶是系統(tǒng)中最大的安全隱患，惡意的攻擊者可以通過該帳戶任意地控制你的計算機(jī)。針對這種情況，可以用以下方法對帳戶進(jìn)行檢測。點(diǎn)擊“開始”→“運(yùn)行”，輸入“cmd”，然后在命令行下輸入“netuser”，查看計算機(jī)上有哪些用戶，如圖5-56所示，再使用“netuser用戶名”查看這些用戶有什么權(quán)限。一般除了Administrator是administrators組的，其他都不應(yīng)該屬于administrators組。如果發(fā)現(xiàn)一個系統(tǒng)內(nèi)置的用戶屬于administrators組，那幾乎可以肯定你的電腦被入侵了。可以使用“netuser用戶名/del”來刪除該用戶。圖5-56用netuser命令檢查系統(tǒng)帳戶以上方法主要是檢查是否有木馬存在，如果檢查出有木馬存在，可以按如下方法繼續(xù)查殺木馬。

(5)運(yùn)行任務(wù)管理器，刪除木馬程序。

(6)檢查注冊表中Run、RunService等幾項(xiàng)，先用導(dǎo)出分支的方法備份，再將可疑的鍵值刪除。

(7)刪除上述可疑鍵值對應(yīng)的硬盤中的可執(zhí)行文件。在不確信的時候，可以用重命名的方法代替刪除，以便刪除錯誤時恢復(fù)。一般這種文件都在WINDOWS或WINNT、system、system32這樣的文件夾下，它們一般不會單獨(dú)存在，很可能是由某個母文件復(fù)制過來的。檢查C、D、E等盤下有無可疑的.exe、.com或.bat文件，有則刪除之。

(8)檢查注冊表HKEY_LOCAL_MACHINE和HKEY_CURRENT_USER\SOFTWARE\Microsoft\InternetExplorer\Main中的幾項(xiàng)(如LocalPage)，如果被修改了，改回即可。

(9)檢查HKEY_CLASSES_ROOT\txtfile\shell\open\

command等幾個常用文件類型的默認(rèn)打開程序是否被更改，如果被更改則一定要改回。因?yàn)楹芏嗖《揪褪峭ㄟ^修改?.txt文件的默認(rèn)打開程序而使病毒在用戶打開文本文件時加載的。下面介紹如何利用工具軟件(查殺毒軟件)來輔助病毒和木馬的手工查殺。殺毒軟件可以選擇NortonAntivirus、瑞星、卡巴斯基等，防火墻可以選擇瑞星、諾頓或者天網(wǎng)等，系統(tǒng)檢測工具可以選擇SystemRepairEngineer等。我們以一個例子來說明SystemRepairEngineer和NortonAntivirus客戶端的基本使用方法。

(1)在WindowsXP中運(yùn)行病毒樣本rundll32.exe，用任務(wù)管理器可以發(fā)現(xiàn)rundll32.exe消耗了大量的CPU資源，如圖

5-57所示。圖5-57病毒進(jìn)程rundll32.exe消耗CPU資源

(2)運(yùn)行SREng(SystemRepairEngineer)，選擇“智能掃描”，并選中“正在運(yùn)行的進(jìn)程”和“進(jìn)程特權(quán)掃描”復(fù)選框，如圖5-58所示。

(3)點(diǎn)擊右下角的“掃描”按鈕，SREng開始掃描，如圖5-59所示。圖5-58SREng智能掃描圖5-59SREng正在對系統(tǒng)進(jìn)行掃描

(4)掃描結(jié)束后，SREng給出一個詳細(xì)報告，保存該報告以便分析。從報告中發(fā)現(xiàn)以下異常情況。

進(jìn)程特權(quán)掃描后顯示：

特殊特權(quán)被允許：SeLoadDriverPrivilege[PID=1336,C:\DocumentsandSettings\Beta\MyDocuments\rundll32_病毒樣本\rundll32.exe]從正在運(yùn)行的進(jìn)程中查找PID為1336的進(jìn)程rundll32.exe，發(fā)現(xiàn)如下結(jié)果：

[PID:1336?/?Beta][C:\DocumentsandSettings\Beta\MyDocuments\rundll32_病毒樣本\rundll32.exe][N/A,]

[C:\WINDOWS\system32\tdll.dll][N/A,]

[C:\ProgramFiles\VMware\VMwareTools\hook.dll][N/A,]

查找該進(jìn)程用到的模塊tdll.dll和hook.dll，可以從文件屬性中發(fā)現(xiàn)hook.dll經(jīng)過簽名，是可信的，如圖5-60所示。而tdll.dll沒有經(jīng)過簽名，從文件的時間戳發(fā)現(xiàn)tdll.dll的最后修改時間是當(dāng)天，如圖5-61所示。圖5-60經(jīng)過數(shù)字簽名的hook.dll圖5-61tdll.dll的時間戳因此，tdll.dll是值得懷疑的模塊。在SREng的報告中可以找到所有使用了該模塊的進(jìn)程，或者在命令提示符下用tasklist命令列舉出使用了tdll.dll的進(jìn)程，如圖5-62所示。圖5-62使用tdll.dll模塊的所有進(jìn)程

(5)安裝好NortonAntivirus企業(yè)版客戶端，并且更新病毒特征代碼庫后，掃描計算機(jī)。很快，殺毒軟件發(fā)現(xiàn)了該病毒，并將它進(jìn)行了隔離，如圖5-63和圖5-64所示。圖5-63NortonAntivirus發(fā)現(xiàn)該病毒的通知圖5-64NortonAntivirus隔離了病毒說明：

(1)有些病毒和木馬喜歡以線程方式掛鉤(Hook)到Explorer.exe進(jìn)程，從而實(shí)現(xiàn)隱藏自己的目的。這時用SREng或者tasklist/m命令可以發(fā)現(xiàn)Explorer.exe進(jìn)程中異常的模塊，建議殺死Explorer.exe進(jìn)程，在“無桌面”的狀態(tài)下清理病毒和木馬。

(2)有些病毒和木馬具有一定的防殺能力，例如一打開任務(wù)管理器它就將其關(guān)閉，注冊表編輯器Regedit.exe一打開就立刻被關(guān)閉，某些知名殺毒軟件被禁用，查殺木馬軟件一發(fā)現(xiàn)就被刪除等。此時，可以在Windows啟動時按下F8鍵，進(jìn)入帶命令提示符的安全模式，用tasklist、taskkill命令來代替任務(wù)管理器的功能。

(3)例中的殺毒軟件成功隔離了病毒。但很多時候，殺毒軟件可以發(fā)現(xiàn)病毒，卻始終無法隔離或刪除它，或者不能刪除干凈，尤其是一些掛鉤了winlogon.exe進(jìn)程的病毒和木馬。因?yàn)閣inlogon.exe這樣的進(jìn)程屬于Windows運(yùn)行不可缺少的，所以一方面殺毒軟件在刪除著病毒體，而另一方面病毒線程在監(jiān)控著系統(tǒng)，一旦發(fā)現(xiàn)病毒體被刪除，立刻產(chǎn)生新的病毒體。這時可以嘗試用一些殺毒軟件提供的“粉碎”病毒體的功能，