計算機病毒防治技術(shù).ppt

計算機病毒防治技術(shù),本章的學習目標,了解計算機病毒防治的現(xiàn)狀 掌握常用病毒防治技術(shù) 了解病毒防治技術(shù)的缺陷 掌握典型病毒防治方法,防治技術(shù)概括成四個方面： 檢測 清除 預防 被動防治 免疫 主動防治,本章內(nèi)容,病毒防治技術(shù)現(xiàn)狀 目前的流行技術(shù) 病毒防治技術(shù)的缺陷 數(shù)據(jù)備份與數(shù)據(jù)恢復 驅(qū)動程序設(shè)計,病毒防治技術(shù)現(xiàn)狀,防病毒產(chǎn)品的歷史 一對一的防病毒產(chǎn)品 防病毒卡 自身不被感染 但不能清楚磁盤病毒 90年代中期，查殺防合一 90年代末期開始，推出了實時防病毒產(chǎn)品,新時期的防病毒產(chǎn)品趨勢 反黑客技術(shù)與反病毒技術(shù)相結(jié)合 從入口攔截病毒（網(wǎng)絡(luò)入口、系統(tǒng)入口） 全面解決方案 個性化定制（后期服務(wù)） 區(qū)域化到國際化,病毒防治技術(shù)的幾個階段,第一代反病毒技術(shù)采取單純的病毒特征診斷，但是對加密、變形的新一代病毒無能為力。 第二代反病毒技術(shù)采用靜態(tài)廣譜特征掃描技術(shù)，可以檢測變形病毒，但是誤報率高，殺毒風險大。 第三代反病毒技術(shù)將靜態(tài)掃描技術(shù)和動態(tài)仿真跟蹤技術(shù)相結(jié)合。 第四代反病毒技術(shù)基于多位CRC校驗和掃描機理、啟發(fā)式智能代碼分析模塊、動態(tài)數(shù)據(jù)還原模塊（能查出隱蔽性極強的壓縮加密文件中的病毒）、內(nèi)存解毒模塊、自身免疫模塊等先進解毒技術(shù)，能夠較好地完成查解毒的任務(wù)。 第五代反病毒技術(shù)主要體現(xiàn)在反蠕蟲病毒、惡意代碼、郵件病毒等技術(shù)。這一代反病毒技術(shù)作為一種整體解決方案出現(xiàn)，形成了包括漏洞掃描、病毒查殺、實時監(jiān)控、數(shù)據(jù)備份、個人防火墻等技術(shù)的立體病毒防治體系。,目前的流行技術(shù),虛擬機技術(shù) 宏指紋識別技術(shù) 驅(qū)動程序技術(shù) 計算機監(jiān)控技術(shù) 數(shù)字免疫系統(tǒng) 網(wǎng)絡(luò)病毒防御技術(shù) 立體防毒技術(shù) ,虛擬機技術(shù),接近于人工分析的過程 原理 用程序代碼虛擬出一個CPU來，同樣也虛擬CPU的各個寄存器，甚至將硬件端口也虛擬出來，用調(diào)試程序調(diào)入“病毒樣本”并將每一個語句放到虛擬環(huán)境中執(zhí)行，這樣我們就可以通過內(nèi)存和寄存器以及端口的變化來了解程序的執(zhí)行，從而判斷是否中毒。 加密、變形等病毒,主要執(zhí)行過程： 在查殺病毒時，在機器虛擬內(nèi)存中模擬出一個“指令執(zhí)行虛擬機器”； 在虛擬機環(huán)境中虛擬執(zhí)行（不會被實際執(zhí)行）可疑帶毒文件； 在執(zhí)行過程中，從虛擬機環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則說明發(fā)現(xiàn)了病毒。 殺毒過程是在虛擬環(huán)境下摘除可疑代碼，然后將其還原到原文件中，從而實現(xiàn)對各類可執(zhí)行文件內(nèi)病毒的殺除。,宏指紋識別技術(shù),宏指紋識別技術(shù)（Macro Finger）是基于Office復合文檔BIFF格式精確查殺各類宏病毒的技術(shù)。 其特點是： 1、能夠查殺Word、Excel、PowerPoint等各類Office文檔中的宏病毒； 2、能夠查出Word、Excel、PowerPoint加密文件中的宏病毒； 3、能夠清除文檔中未知名的宏，因此，從理論上來說可以查殺所有的未知宏病毒； 4、可以修復部分宏病毒或其他不合格殺毒產(chǎn)品破壞過的Office文檔。,驅(qū)動程序技術(shù),DOS設(shè)備驅(qū)動程序 VxD（虛擬設(shè)備驅(qū)動）是微軟專門為Windows制定的設(shè)備驅(qū)動程序接口規(guī)范。 NT核心驅(qū)動程序 WDM（Windows Driver Model）是Windows驅(qū)動程序模型的簡稱。 作用：開發(fā)監(jiān)控程序、接近系統(tǒng)內(nèi)核的程序,32位內(nèi)核技術(shù),首先，32位較16位大大擴展了內(nèi)存尋址空間，這是顯而易見的，但就反病毒技術(shù)而言，這一問題以前并沒有引起我們足夠的重視。 其次，16位應(yīng)用程序無法實現(xiàn)多任務(wù)、多線程調(diào)度。 系統(tǒng)支持問題。,計算機監(jiān)控技術(shù),計算機監(jiān)控技術(shù)（實時監(jiān)控技術(shù)）： 注冊表監(jiān)控 腳本監(jiān)控 內(nèi)存監(jiān)控 郵件監(jiān)控 文件監(jiān)控等 優(yōu)點： 解決了用戶對病毒的“未知性”，或者說是“不確定性”問題。 實時監(jiān)控是先前性的，而不是滯后性的。,監(jiān)控病毒源技術(shù),郵件跟蹤體系 例如，消息跟蹤查尋協(xié)議（MTQP-Message Tracking Query Protocol） 網(wǎng)絡(luò)入口監(jiān)控防病毒體系 例如，TVCS-Trend Virus Control System,無縫連接技術(shù),嵌入式殺毒技術(shù) 無縫連接是在充分掌握系統(tǒng)的底層協(xié)議和接口規(guī)范的基礎(chǔ)上，開發(fā)出與之完全兼容的產(chǎn)品的技術(shù)。 應(yīng)用實例 右鍵快捷方式 硬盤格式的支持 Office套件的支持等,主動內(nèi)核技術(shù),在操作系統(tǒng)和網(wǎng)絡(luò)的內(nèi)核中加入反病毒功能，使反病毒成為系統(tǒng)本身的底層模塊，而不是一個系統(tǒng)外部的應(yīng)用軟件是主動內(nèi)核技術(shù)。 應(yīng)用難度大 開源 非開源,檢查壓縮文件技術(shù),壓縮文件是病毒的重要藏身地之一。 殺毒思路： 第一種：壓縮病毒碼 第二種：先解壓后查毒（需要虛擬執(zhí)行技術(shù)）,啟發(fā)式代碼掃描技術(shù),啟發(fā)式指的“自我發(fā)現(xiàn)的能力”或“運用某種方式或方法去判定事物的知識和技能?！?一個運用啟發(fā)式掃描技術(shù)的病毒檢測軟件，實際上就是以特定方式實現(xiàn)的動態(tài)跟蹤器或反編譯器，通過對有關(guān)指令序列的反編譯逐步理解和確定其蘊藏的真正動機。,例如，一段程序以如下序列開始： MOV AH, 5 INT 13h 該程序?qū)崿F(xiàn)調(diào)用格式化盤操作的BIOS指令功能，那么這段程序就高度可疑值得引起警覺， 尤其是假如這段指令之前不存在取得命令行關(guān)于執(zhí)行的參數(shù)選項，又沒有要求用戶交互地輸入繼續(xù)進行的操作指令時，可以有把握地認為這是一個病毒或惡意破壞的程序。,可疑的功能： 格式化磁盤類操作 搜索和定位各種可執(zhí)行程序的操作 實現(xiàn)駐留內(nèi)存的操作 發(fā)現(xiàn)非常的或未公開的系統(tǒng)功能調(diào)用的操作等等。 不同的操作賦予不同的權(quán)值,免疫技術(shù),免疫的原理 傳染模塊要做傳染條件判斷 病毒程序要給被傳染對象加上傳染標識 黑色星期五 在正常對象中自動加上這種標識，就可以不受病毒的傳染，起到免疫的作用 計算機病毒免疫的方法 1針對某一種病毒進行的計算機病毒免疫,把感染標記寫入文件和內(nèi)存，防止病毒感染 缺點: 對于不設(shè)有感染標識的病毒不能達到免疫的目的。 當出現(xiàn)這種病毒的變種不再使用這個免疫標志時，或出現(xiàn)新病毒時，免疫標志發(fā)揮不了作用。 某些病毒的免疫標志不容易仿制，非要加上這種標志不可，則對原來的文件要做大的改動。 不可能對一個對象加上各種病毒的免疫標識。 這種方法能阻止傳染，卻不能阻止已經(jīng)感染的病毒的破壞行為。,2基于自我完整性檢查的計算機病毒的免疫方法。 為可執(zhí)行程序增加一個免疫外殼，同時在免疫外殼中記錄有關(guān)用于恢復自身的信息。 執(zhí)行具有這種免疫功能的程序時，免疫外殼首先得到運行，檢查自身的程序大小、校驗和，生成日期和時間等情況，沒有發(fā)現(xiàn)異常后，再轉(zhuǎn)去執(zhí)行受保護的程序。 這種免疫方法可以看作是一種通用的自我完整性檢驗方法。 缺點和不足：,（1）每個受到保護的文件都要增加1KB-3KB，需要額外的存儲空間。 （2）現(xiàn)在使用中的一些校驗碼算法不能滿足防病毒的需要，被某些種類的病毒感染的文件不能被檢查出來。 （3）無法對付覆蓋方式的文件型病毒。 （4）有些類型的文件不能使用外加免疫外殼的防護方法，這樣將使那些文件不能正常執(zhí)行。 （5）當某些尚不能被病毒檢測軟件檢查出來的病毒感染了一個文件，而該文件又被免疫外殼包在里面時，這個病毒就像穿了“保護盔甲”，使查毒軟件查不到它，而它卻能在得到運行機會時跑出來繼續(xù)傳染擴散。,數(shù)字免疫系統(tǒng),數(shù)字免疫系統(tǒng)主要包括封閉循環(huán)自動化網(wǎng)絡(luò)防病毒技術(shù)和啟發(fā)式偵測技術(shù)。 前者是一個后端基礎(chǔ)設(shè)施，可以為企業(yè)級用戶提供高級別的病毒保護。 后者則可以自動監(jiān)視可疑行為，為網(wǎng)絡(luò)防病毒產(chǎn)品對付未知病毒提供依據(jù)。 數(shù)字免疫系統(tǒng)還可以將病毒解決方案廣泛發(fā)送到被感染的PC機上。 數(shù)字免疫系統(tǒng)的超流量控制。,立體防毒技術(shù),全方位的威脅-立體防病毒體系 立體防毒體系將計算機的使用過程進行逐層分解，對每一層進行分別控制和管理，從而達到病毒整體防護的效果。 該體系通過安裝殺毒、漏洞掃描、病毒查殺、實時監(jiān)控、數(shù)據(jù)備份、個人防火墻、游戲保護等多種病毒防護手段，將電腦的每一個安全環(huán)節(jié)都監(jiān)控起來，從而全方位地保護了用戶電腦的安全。,廣譜特征碼,是對特征碼法的改變，本質(zhì)上一樣。 在特征碼中加入掩碼等。,網(wǎng)絡(luò)病毒防御技術(shù),網(wǎng)絡(luò)的復雜性-網(wǎng)絡(luò)病毒防御技術(shù) 用戶桌面、工作站、服務(wù)器、Internet網(wǎng)關(guān)和病毒防火墻等各個層次進行防護： 用戶桌面的防護：桌面系統(tǒng)和遠程PC是主要的病毒感染源。 Internet網(wǎng)關(guān)的防護。群件和電子郵件是網(wǎng)絡(luò)中重要的通信聯(lián)絡(luò)線。 防火墻的防護。在防火墻上過濾多種協(xié)議的病毒。 基于工作站的防治技術(shù)。工作站就像是計算機網(wǎng)絡(luò)的大門，只有把好這道大門，才能有效防止病毒的侵入。,基于服務(wù)器的防治技術(shù)。網(wǎng)絡(luò)服務(wù)器是計算機網(wǎng)絡(luò)的中心。 加強計算機網(wǎng)絡(luò)的管理。管理手段，而非技術(shù)手段。 技術(shù)被動防御，管理上積極主動 硬件設(shè)備及軟件系統(tǒng)的使用、維護、管理、服務(wù)等各個環(huán)節(jié)制定出嚴格的規(guī)章制度 對管理員及用戶加強法制教育和職業(yè)道德教育 應(yīng)有專人負責具體事務(wù)，跟蹤行業(yè)新技術(shù),先進的網(wǎng)絡(luò)多層病毒防護策略具有三個特點： 層次性 在用戶桌面、服務(wù)器、Internet網(wǎng)關(guān)以及病毒防火墻安裝適當?shù)姆蓝静考?，以網(wǎng)為本、多層次地最大限度地發(fā)揮作用。 集成性 所有的保護措施是統(tǒng)一的和相互配合的，支持遠程集中式配置和管理。 自動化 系統(tǒng)能自動更新病毒特征碼數(shù)據(jù)庫、殺毒策略和其它相關(guān)信息。,移動通訊工具和PDA的殺毒技術(shù),全新的領(lǐng)域 目前已有部分公司（例如，Trend micro、Mcafee、F-Secure等）推出這類產(chǎn)品。,病毒防治技術(shù)的缺陷,技術(shù)反思 一次一次的大面積發(fā)生 缺陷 永無止境的服務(wù) 庫、培訓、指導等 未知病毒發(fā)現(xiàn) 有限未知 病毒清除的準確性 從恢復的角度來考慮,數(shù)據(jù)備份與數(shù)據(jù)恢復,a-人為原因 b-軟件原因 c-盜竊 d-硬件的毀壞 e-計算機病毒 f-硬件故障,數(shù)據(jù)丟失原因調(diào)查,在病毒清除工作越來越困難的今天， 數(shù)據(jù)備份和恢復成了計算機病毒防治技術(shù)的一個核心問題,數(shù)據(jù)備份-個人PC備份策略,一、備份個人數(shù)據(jù) 所謂個人數(shù)據(jù)就是用戶個人勞動的結(jié)果，包括自己制作的各種文檔、編制的各種源代碼、下載或從其他途徑獲取的有用數(shù)據(jù)和程序等等。 養(yǎng)成良好存放的習慣： 拒絕所有的缺省位置 個人數(shù)據(jù)集中存放 經(jīng)常備份這些數(shù)據(jù) 養(yǎng)成良好的定期備份習慣,二、備份系統(tǒng)重要數(shù)據(jù) 磁盤的分區(qū)表、主引導區(qū)、引導區(qū)等重要區(qū)域的數(shù)據(jù)。 三、注冊表的備份 系統(tǒng)把它物理地分為兩個文件:USER.DAT(用戶設(shè)置)和SYSTEM.DAT(系統(tǒng)設(shè)置)。 備份方式： 系統(tǒng)自動備份 USER.DAT -USER.DAO SYSTEM.DAT -SYSTEM.DAO C:WINDOWSSYSBCKUP目錄中以CAB文件格式備份了最近五天開機后的系統(tǒng)文件。其備份文件名分別是rb000.cab、rb001.cab、rb002.cab、rb003.cab和rb005.cab。（可用Windows自帶的Scanreg.exe命令 ） 手工備份 Cfgback.exe、手工備份兩個文件、導出注冊表,四、OUTLOOK數(shù)據(jù)的備份 首先，應(yīng)對注冊表的相關(guān)部分備份。Hkey-current-userSoftwareMicrosoftInternet AccountManagerAccounts 然后，還要對目錄文件進行備份。 %windows%application datamicrosoftoutlook 最后，通訊簿的備份。 五、Foxmail數(shù)據(jù)的備份 比OutLook簡單,六、即時消息數(shù)據(jù)的備份 1.備份MESSAGES(歷史數(shù)據(jù)) 2.備份ADDRESS BOOK(地址數(shù)據(jù)) 七、輸入法自定義詞組的備份 1.中文五筆輸入法中自定義詞組的備份 C:WindowsSystemwbx.emb 2.智能拼音輸入法中自定義詞組的備份 C:WINDOWSSYSTEMtmmr.rem 3.微軟拼音輸入法中自定義詞組的備份 C:WindowspjyyP.UPT,八、IE收藏夾和NN書簽的備份 IE收藏夾 C:WindowsFavorites文件夾 NN書簽 將其save as為一個html文件,數(shù)據(jù)備份-系統(tǒng)級備份策略 一、數(shù)據(jù)備份需求分析,關(guān)鍵服務(wù)器的地位越來越重要，需要備份 造成系統(tǒng)失效的主要原因有以下幾個方面： 硬盤驅(qū)動器損壞，由于一個系統(tǒng)或電器的物理損壞導致文件、數(shù)據(jù)的丟失； 人為錯誤，人為刪除一個文件或格式化一個磁盤（占數(shù)據(jù)災(zāi)難的80%）； 黑客的攻擊，黑客侵入計算機系統(tǒng)，破壞計算機系統(tǒng)； 病毒，使計算機系統(tǒng)感染，甚至損壞計算機數(shù)據(jù)； 自然災(zāi)害，火災(zāi)、洪水或地震也會無情地毀滅計算機系統(tǒng)； 電源浪涌，一個瞬間過載電功率損害計算機驅(qū)動器上的文件； 磁干擾，生活、工作中常見的磁場可以破壞磁碟中的文件。,建立完整的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)必須考慮以下內(nèi)容： 計算機網(wǎng)絡(luò)數(shù)據(jù)備份的自動化，以減少系統(tǒng)管理員的工作量； 使數(shù)據(jù)備份工作制度化、科學化； 對介質(zhì)管理的有效化，防止讀寫操作的錯誤； 對數(shù)據(jù)形成分門別類的介質(zhì)存儲,使數(shù)據(jù)的保存更細致、科學； 自動介質(zhì)的清洗輪轉(zhuǎn),提高介質(zhì)的安全性和使用壽命； 以備份服務(wù)器形成備份中心，對各種平臺的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進行集中的備份，系統(tǒng)管理員可以在任意一臺工作站上管理、監(jiān)控、配置備份系統(tǒng)，實現(xiàn)分布處理，集中管理的特點； 維護人員可以容易地恢復損壞的整個文件系統(tǒng)和各類數(shù)據(jù)； 備份系統(tǒng)還應(yīng)考慮網(wǎng)絡(luò)帶寬對備份性能的影響，備份服務(wù)器的平臺選擇及安全性，備份系統(tǒng)容量的適度冗余，備份系統(tǒng)良好的擴展性等因素。,二、 備份設(shè)備的選擇,常用的存儲介質(zhì)類型有：磁盤、磁帶、光盤和MO（磁光盤）等。 1.四種磁帶技術(shù)的比較 Dat 螺旋掃描、4mm、高強金屬帶、20GB Dlt 高強金屬帶、 40GB Lto 開放標準、100GB 8mm 螺旋掃描、高速,2、數(shù)據(jù)備份的容量計算 網(wǎng)絡(luò)中的總數(shù)據(jù)量，q1； 數(shù)據(jù)備份時間表（即增量備份的天數(shù)），假設(shè)用戶每天作一個增量備份，周末作一個全備份，d=6天 每日數(shù)據(jù)改變量，即q2 期望無人干涉的時間，假定為3個月，m=3 數(shù)據(jù)增長量的估計，假定每年以20%遞增，i=20% 考慮壞帶，不可預見因素，一般為30%，假定u=30% 通過以上各因素考慮，可以較準確地推算出備份設(shè)備的大概容量為： c=（q1+q2*d）*4*m*(1+i)*（1+u）,三、分析應(yīng)用環(huán)境、選擇備份管理軟件,大型數(shù)據(jù)庫自動備份功能 缺陷包括： 但它們既不能實現(xiàn)自動備份，而且只能將數(shù)據(jù)備份到磁帶機或硬盤上，不能驅(qū)動磁帶庫等自動加載設(shè)備。 現(xiàn)有產(chǎn)品：legato networker、ca arcserve、hp openview omnibackii、ibm adsm及veritas netbackup等,四、存儲備份策略,備份策略可以確定需備份的內(nèi)容、備份時間及備份方式。目前被采用最多的備份策略主要有以下三種： 1、完全備份（full backup） 2、增量備份（incremental backup） 3、差分備份（differential backup） 差分備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。,差分備份的恢復簡單：系統(tǒng)管理員只需要對兩份備份文件進行恢復，即完全備份的文件和災(zāi)難發(fā)生前最近的一次差分備份文件，就可以將系統(tǒng)恢復。 增量備份恢復復雜。 在實際應(yīng)用中，備份策略通常是以上三種的結(jié)合。例如每周一至周六進行一次增量備份或差分備份，每周日進行全備份，每月底進行一次全備份，每年底進行一次全備份。,五、 項目實施過程應(yīng)注意的問題,1、統(tǒng)計備份客戶機信息 了解各臺備份主機的系統(tǒng)配置、備份數(shù)據(jù)量、備份方式（文件、數(shù)據(jù)庫在線）、允許的備份時間窗口，每日數(shù)據(jù)增量等信息。 2、做好培訓工作 3、制定備份策略 制定備份日程表 制定備份客戶機分組方案 制定備份卷分組方案,配置各客戶機選項 其它選項配置：包括管理員設(shè)置，數(shù)據(jù)遠程恢復權(quán)限設(shè)置，設(shè)備并行流設(shè)置，設(shè)備自動管理選項，數(shù)據(jù)壓縮選項等 4、日常維護有關(guān)問題 硬件（磁帶磁頭等）、軟件維護,數(shù)據(jù)恢復,數(shù)據(jù)恢復 正常數(shù)據(jù)恢復 災(zāi)難數(shù)據(jù)恢復 所謂災(zāi)難數(shù)據(jù)恢復是指由于各種原因?qū)е聰?shù)據(jù)損失時把保留在介質(zhì)上的數(shù)據(jù)重新恢復的過程。即使數(shù)據(jù)被刪除或硬盤出現(xiàn)故障，只要在介質(zhì)沒有嚴重受損的情況下,數(shù)據(jù)就有可能被完好無損地恢復。 重要性,一、災(zāi)難數(shù)據(jù)恢復的分類,軟件恢復 由病毒感染、誤分區(qū)、誤格式化等造成的數(shù)據(jù)丟失，仍然有可能使用第三方軟件來恢復 硬件恢復 至于硬件恢復，如修復盤面劃傷、磁組撞毀、芯片以及其他元器件燒壞等都成為硬件恢復,二、數(shù)據(jù)可恢復的前提,如果被刪除的文件已經(jīng)被其他文件取代，或者文件數(shù)據(jù)占用的空間已經(jīng)分配給其他文件，那么該文件就不可能再恢復了。電子碎紙機就是利用這種原理來設(shè)計的。 如果硬件或介質(zhì)損壞嚴重，也是不可能恢復的。,三、出現(xiàn)數(shù)據(jù)災(zāi)難時如何處理,如果是由病毒感染、誤分區(qū)、誤格式化等原因造成的數(shù)據(jù)丟失，這將關(guān)系到整塊硬盤數(shù)據(jù)的存亡，千萬不要再用該硬盤進行任何操作，更不能繼續(xù)往上面寫任何數(shù)據(jù)，而應(yīng)馬上找專業(yè)人員來處理； 如果是由硬件原因造成的數(shù)據(jù)丟失（如硬盤受到激烈振動而損壞），則要注意事故發(fā)生后的保護工作，不應(yīng)繼續(xù)對該存儲器反復進行測試，否則，將造成永久性的損壞！,四、低難度數(shù)據(jù)恢復,1. 如果懷疑硬盤有故障，先檢查信號線和電源是否插好，或?qū)⒂脖P掛接到另一臺正常機器上，用BIOS檢測，如果還是無法檢測到硬盤，就是硬件故障。 2. 如果懷疑分區(qū)損壞，可用Win98的Fdisk命令觀察，如無任何分區(qū)顯示即表示已被破壞。 3. 如果懷疑硬盤電路板有故障， 可以找一個相同型號的好硬盤更換電路板。 4. 如果是硬盤分區(qū)損壞、誤格式化或誤刪除，可以將該硬盤掛接到另一臺正常機器上作為第二個硬盤，用Easyrecovery或 Finaldata 數(shù)據(jù)恢復軟件搶救數(shù)據(jù)。,五、高難度數(shù)據(jù)恢復,第一，分區(qū)表破壞 原因： 1.個人誤操作刪除分區(qū)，只要沒有進行其它的操作完全可以恢復。 2.安裝多系統(tǒng)引導軟件或者采用第三方分區(qū)工具，有恢復的可能性。 3.病毒破壞，可以部分或者全部恢復。 4.利用Ghost克隆分區(qū)/硬盤破壞，只可以部分恢復或者不能恢復。 牢記以下兩點: 1.在硬盤數(shù)據(jù)出現(xiàn)丟失后，請立即關(guān)機，不要再對硬盤進行任何寫操作，那樣會增大修復的難度，也影響到修復的成功率. 2.你的每一步操作都應(yīng)該是可逆的（就像Norton Disk Doctor中的Undo功能）或者對故障硬盤是只讀的（大名大名鼎鼎的EasyRecovery和Lost&Found都是這種工作原理）。,第二，硬盤壞扇區(qū),邏輯壞道軟件恢復 物理壞道標記壞道 使用硬盤的注意事項： 1.硬盤在工作時不能突然關(guān)機 2.防止灰塵進入 3.要防止溫度過高 4.要定期整理硬盤上的信息 5.要定期對硬盤進行殺毒,6.用手拿硬盤時要小心 7.盡量不要使用硬盤壓縮技術(shù)