計算機病毒防治技術(shù)

計算機病毒防治技術(shù)第1頁，共63頁。本章的學習目標了解計算機病毒防治的現(xiàn)狀掌握常用病毒防治技術(shù)了解病毒防治技術(shù)的缺陷掌握典型病毒防治方法第2頁，共63頁。防治技術(shù)概括成四個方面：檢測清除預防被動防治免疫主動防治第3頁，共63頁。本章內(nèi)容病毒防治技術(shù)現(xiàn)狀目前的流行技術(shù)病毒防治技術(shù)的缺陷數(shù)據(jù)備份與數(shù)據(jù)恢復驅(qū)動程序設(shè)計第4頁，共63頁。病毒防治技術(shù)現(xiàn)狀防病毒產(chǎn)品的歷史一對一的防病毒產(chǎn)品防病毒卡自身不被感染但不能清楚磁盤病毒90年代中期，查殺防合一90年代末期開始，推出了實時防病毒產(chǎn)品第5頁，共63頁。新時期的防病毒產(chǎn)品趨勢反黑客技術(shù)與反病毒技術(shù)相結(jié)合從入口攔截病毒（網(wǎng)絡(luò)入口、系統(tǒng)入口）全面解決方案個性化定制（后期服務(wù)）區(qū)域化到國際化第6頁，共63頁。病毒防治技術(shù)的幾個階段第一代反病毒技術(shù)采取單純的病毒特征診斷，但是對加密、變形的新一代病毒無能為力。第二代反病毒技術(shù)采用靜態(tài)廣譜特征掃描技術(shù)，可以檢測變形病毒，但是誤報率高，殺毒風險大。第三代反病毒技術(shù)將靜態(tài)掃描技術(shù)和動態(tài)仿真跟蹤技術(shù)相結(jié)合。第四代反病毒技術(shù)基于多位CRC校驗和掃描機理、啟發(fā)式智能代碼分析模塊、動態(tài)數(shù)據(jù)還原模塊（能查出隱蔽性極強的壓縮加密文件中的病毒）、內(nèi)存解毒模塊、自身免疫模塊等先進解毒技術(shù)，能夠較好地完成查解毒的任務(wù)。第五代反病毒技術(shù)主要體現(xiàn)在反蠕蟲病毒、惡意代碼、郵件病毒等技術(shù)。這一代反病毒技術(shù)作為一種整體解決方案出現(xiàn)，形成了包括漏洞掃描、病毒查殺、實時監(jiān)控、數(shù)據(jù)備份、個人防火墻等技術(shù)的立體病毒防治體系。第7頁，共63頁。目前的流行技術(shù)虛擬機技術(shù)宏指紋識別技術(shù)驅(qū)動程序技術(shù)計算機監(jiān)控技術(shù)數(shù)字免疫系統(tǒng)網(wǎng)絡(luò)病毒防御技術(shù)立體防毒技術(shù)……第8頁，共63頁。虛擬機技術(shù)接近于人工分析的過程原理用程序代碼虛擬出一個CPU來，同樣也虛擬CPU的各個寄存器，甚至將硬件端口也虛擬出來，用調(diào)試程序調(diào)入“病毒樣本”并將每一個語句放到虛擬環(huán)境中執(zhí)行，這樣我們就可以通過內(nèi)存和寄存器以及端口的變化來了解程序的執(zhí)行，從而判斷是否中毒。加密、變形等病毒第9頁，共63頁。主要執(zhí)行過程：在查殺病毒時，在機器虛擬內(nèi)存中模擬出一個“指令執(zhí)行虛擬機器”；在虛擬機環(huán)境中虛擬執(zhí)行（不會被實際執(zhí)行）可疑帶毒文件；在執(zhí)行過程中，從虛擬機環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則說明發(fā)現(xiàn)了病毒。殺毒過程是在虛擬環(huán)境下摘除可疑代碼，然后將其還原到原文件中，從而實現(xiàn)對各類可執(zhí)行文件內(nèi)病毒的殺除。第10頁，共63頁。宏指紋識別技術(shù)宏指紋識別技術(shù)（MacroFinger）是基于Office復合文檔BIFF格式精確查殺各類宏病毒的技術(shù)。其特點是：1、能夠查殺Word、Excel、PowerPoint等各類Office文檔中的宏病毒；2、能夠查出Word、Excel、PowerPoint加密文件中的宏病毒；3、能夠清除文檔中未知名的宏，因此，從理論上來說可以查殺所有的未知宏病毒；4、可以修復部分宏病毒或其他不合格殺毒產(chǎn)品破壞過的Office文檔。第11頁，共63頁。驅(qū)動程序技術(shù)DOS設(shè)備驅(qū)動程序VxD（虛擬設(shè)備驅(qū)動）是微軟專門為Windows制定的設(shè)備驅(qū)動程序接口規(guī)范。NT核心驅(qū)動程序WDM（WindowsDriverModel）是Windows驅(qū)動程序模型的簡稱。作用：開發(fā)監(jiān)控程序、接近系統(tǒng)內(nèi)核的程序第12頁，共63頁。32位內(nèi)核技術(shù)首先，32位較16位大大擴展了內(nèi)存尋址空間，這是顯而易見的，但就反病毒技術(shù)而言，這一問題以前并沒有引起我們足夠的重視。其次，16位應用程序無法實現(xiàn)多任務(wù)、多線程調(diào)度。系統(tǒng)支持問題。第13頁，共63頁。計算機監(jiān)控技術(shù)計算機監(jiān)控技術(shù)（實時監(jiān)控技術(shù)）：注冊表監(jiān)控腳本監(jiān)控內(nèi)存監(jiān)控郵件監(jiān)控文件監(jiān)控等優(yōu)點：解決了用戶對病毒的“未知性”，或者說是“不確定性”問題。實時監(jiān)控是先前性的，而不是滯后性的。第14頁，共63頁。監(jiān)控病毒源技術(shù)郵件跟蹤體系例如，消息跟蹤查尋協(xié)議（MTQP-MessageTrackingQueryProtocol）網(wǎng)絡(luò)入口監(jiān)控防病毒體系例如，TVCS-TrendVirusControlSystem第15頁，共63頁。無縫連接技術(shù)嵌入式殺毒技術(shù)無縫連接是在充分掌握系統(tǒng)的底層協(xié)議和接口規(guī)范的基礎(chǔ)上，開發(fā)出與之完全兼容的產(chǎn)品的技術(shù)。應用實例右鍵快捷方式硬盤格式的支持Office套件的支持等第16頁，共63頁。主動內(nèi)核技術(shù)在操作系統(tǒng)和網(wǎng)絡(luò)的內(nèi)核中加入反病毒功能，使反病毒成為系統(tǒng)本身的底層模塊，而不是一個系統(tǒng)外部的應用軟件是主動內(nèi)核技術(shù)。應用難度大開源非開源第17頁，共63頁。檢查壓縮文件技術(shù)壓縮文件是病毒的重要藏身地之一。殺毒思路：第一種：壓縮病毒碼第二種：先解壓后查毒（需要虛擬執(zhí)行技術(shù)）第18頁，共63頁。啟發(fā)式代碼掃描技術(shù)啟發(fā)式指的“自我發(fā)現(xiàn)的能力”或“運用某種方式或方法去判定事物的知識和技能?！币粋€運用啟發(fā)式掃描技術(shù)的病毒檢測軟件，實際上就是以特定方式實現(xiàn)的動態(tài)跟蹤器或反編譯器，通過對有關(guān)指令序列的反編譯逐步理解和確定其蘊藏的真正動機。第19頁，共63頁。例如，一段程序以如下序列開始：MOVAH,5INT13h該程序?qū)崿F(xiàn)調(diào)用格式化盤操作的BIOS指令功能，那么這段程序就高度可疑值得引起警覺，尤其是假如這段指令之前不存在取得命令行關(guān)于執(zhí)行的參數(shù)選項，又沒有要求用戶交互地輸入繼續(xù)進行的操作指令時，可以有把握地認為這是一個病毒或惡意破壞的程序。第20頁，共63頁。可疑的功能：格式化磁盤類操作搜索和定位各種可執(zhí)行程序的操作實現(xiàn)駐留內(nèi)存的操作發(fā)現(xiàn)非常的或未公開的系統(tǒng)功能調(diào)用的操作等等。不同的操作賦予不同的權(quán)值第21頁，共63頁。免疫技術(shù)免疫的原理傳染模塊要做傳染條件判斷病毒程序要給被傳染對象加上傳染標識黑色星期五在正常對象中自動加上這種標識，就可以不受病毒的傳染，起到免疫的作用計算機病毒免疫的方法1．針對某一種病毒進行的計算機病毒免疫第22頁，共63頁。把感染標記寫入文件和內(nèi)存，防止病毒感染缺點:對于不設(shè)有感染標識的病毒不能達到免疫的目的。當出現(xiàn)這種病毒的變種不再使用這個免疫標志時，或出現(xiàn)新病毒時，免疫標志發(fā)揮不了作用。某些病毒的免疫標志不容易仿制，非要加上這種標志不可，則對原來的文件要做大的改動。不可能對一個對象加上各種病毒的免疫標識。這種方法能阻止傳染，卻不能阻止已經(jīng)感染的病毒的破壞行為。第23頁，共63頁。2．基于自我完整性檢查的計算機病毒的免疫方法。為可執(zhí)行程序增加一個免疫外殼，同時在免疫外殼中記錄有關(guān)用于恢復自身的信息。執(zhí)行具有這種免疫功能的程序時，免疫外殼首先得到運行，檢查自身的程序大小、校驗和，生成日期和時間等情況，沒有發(fā)現(xiàn)異常后，再轉(zhuǎn)去執(zhí)行受保護的程序。這種免疫方法可以看作是一種通用的自我完整性檢驗方法。缺點和不足：第24頁，共63頁。（1）每個受到保護的文件都要增加1KB-3KB，需要額外的存儲空間。（2）現(xiàn)在使用中的一些校驗碼算法不能滿足防病毒的需要，被某些種類的病毒感染的文件不能被檢查出來。（3）無法對付覆蓋方式的文件型病毒。（4）有些類型的文件不能使用外加免疫外殼的防護方法，這樣將使那些文件不能正常執(zhí)行。（5）當某些尚不能被病毒檢測軟件檢查出來的病毒感染了一個文件，而該文件又被免疫外殼包在里面時，這個病毒就像穿了“保護盔甲”，使查毒軟件查不到它，而它卻能在得到運行機會時跑出來繼續(xù)傳染擴散。第25頁，共63頁。數(shù)字免疫系統(tǒng)數(shù)字免疫系統(tǒng)主要包括封閉循環(huán)自動化網(wǎng)絡(luò)防病毒技術(shù)和啟發(fā)式偵測技術(shù)。前者是一個后端基礎(chǔ)設(shè)施，可以為企業(yè)級用戶提供高級別的病毒保護。后者則可以自動監(jiān)視可疑行為，為網(wǎng)絡(luò)防病毒產(chǎn)品對付未知病毒提供依據(jù)。數(shù)字免疫系統(tǒng)還可以將病毒解決方案廣泛發(fā)送到被感染的PC機上。數(shù)字免疫系統(tǒng)的超流量控制。第26頁，共63頁。立體防毒技術(shù)全方位的威脅--〉立體防病毒體系立體防毒體系將計算機的使用過程進行逐層分解，對每一層進行分別控制和管理，從而達到病毒整體防護的效果。該體系通過安裝殺毒、漏洞掃描、病毒查殺、實時監(jiān)控、數(shù)據(jù)備份、個人防火墻、游戲保護等多種病毒防護手段，將電腦的每一個安全環(huán)節(jié)都監(jiān)控起來，從而全方位地保護了用戶電腦的安全。第27頁，共63頁。廣譜特征碼是對特征碼法的改變，本質(zhì)上一樣。在特征碼中加入掩碼等。第28頁，共63頁。網(wǎng)絡(luò)病毒防御技術(shù)網(wǎng)絡(luò)的復雜性--〉網(wǎng)絡(luò)病毒防御技術(shù)用戶桌面、工作站、服務(wù)器、Internet網(wǎng)關(guān)和病毒防火墻等各個層次進行防護：用戶桌面的防護：桌面系統(tǒng)和遠程PC是主要的病毒感染源。Internet網(wǎng)關(guān)的防護。群件和電子郵件是網(wǎng)絡(luò)中重要的通信聯(lián)絡(luò)線。防火墻的防護。在防火墻上過濾多種協(xié)議的病毒?；诠ぷ髡镜姆乐渭夹g(shù)。工作站就像是計算機網(wǎng)絡(luò)的大門，只有把好這道大門，才能有效防止病毒的侵入。第29頁，共63頁?；诜?wù)器的防治技術(shù)。網(wǎng)絡(luò)服務(wù)器是計算機網(wǎng)絡(luò)的中心。加強計算機網(wǎng)絡(luò)的管理。管理手段，而非技術(shù)手段。技術(shù)被動防御，管理上積極主動硬件設(shè)備及軟件系統(tǒng)的使用、維護、管理、服務(wù)等各個環(huán)節(jié)制定出嚴格的規(guī)章制度對管理員及用戶加強法制教育和職業(yè)道德教育應有專人負責具體事務(wù)，跟蹤行業(yè)新技術(shù)第30頁，共63頁。先進的網(wǎng)絡(luò)多層病毒防護策略具有三個特點：層次性在用戶桌面、服務(wù)器、Internet網(wǎng)關(guān)以及病毒防火墻安裝適當?shù)姆蓝静考?，以網(wǎng)為本、多層次地最大限度地發(fā)揮作用。集成性所有的保護措施是統(tǒng)一的和相互配合的，支持遠程集中式配置和管理。自動化系統(tǒng)能自動更新病毒特征碼數(shù)據(jù)庫、殺毒策略和其它相關(guān)信息。第31頁，共63頁。移動通訊工具和PDA的殺毒技術(shù)全新的領(lǐng)域目前已有部分公司（例如，Trendmicro、Mcafee、F-Secure等）推出這類產(chǎn)品。第32頁，共63頁。病毒防治技術(shù)的缺陷技術(shù)反思一次一次的大面積發(fā)生缺陷永無止境的服務(wù)庫、培訓、指導等未知病毒發(fā)現(xiàn)有限未知病毒清除的準確性從恢復的角度來考慮第33頁，共63頁。數(shù)據(jù)備份與數(shù)據(jù)恢復a-人為原因b-軟件原因c-盜竊d-硬件的毀壞e-計算機病毒f-硬件故障數(shù)據(jù)丟失原因調(diào)查

在病毒清除工作越來越困難的今天，數(shù)據(jù)備份和恢復成了計算機病毒防治技術(shù)的一個核心問題第34頁，共63頁。數(shù)據(jù)備份--個人PC備份策略一、備份個人數(shù)據(jù)所謂個人數(shù)據(jù)就是用戶個人勞動的結(jié)果，包括自己制作的各種文檔、編制的各種源代碼、下載或從其他途徑獲取的有用數(shù)據(jù)和程序等等。養(yǎng)成良好存放的習慣：拒絕所有的缺省位置個人數(shù)據(jù)集中存放經(jīng)常備份這些數(shù)據(jù)養(yǎng)成良好的定期備份習慣第35頁，共63頁。二、備份系統(tǒng)重要數(shù)據(jù)磁盤的分區(qū)表、主引導區(qū)、引導區(qū)等重要區(qū)域的數(shù)據(jù)。三、注冊表的備份系統(tǒng)把它物理地分為兩個文件:USER.DAT(用戶設(shè)置)和SYSTEM.DAT(系統(tǒng)設(shè)置)。備份方式：系統(tǒng)自動備份USER.DAT-〉USER.DAOSYSTEM.DAT-〉SYSTEM.DAOC:\WINDOWS\SYSBCKUP目錄中以CAB文件格式備份了最近五天開機后的系統(tǒng)文件。其備份文件名分別是rb000.cab、rb001.cab、rb002.cab、rb003.cab和rb005.cab。（可用Windows自帶的Scanreg.exe命令）手工備份Cfgback.exe、手工備份兩個文件、導出注冊表第36頁，共63頁。四、OUTLOOK數(shù)據(jù)的備份首先，應對注冊表的相關(guān)部分備份。Hkey-current-user\Software\Microsoft\InternetAccountManager\Accounts然后，還要對目錄文件進行備份。%windows%\applicationdata\microsoft\outlook最后，通訊簿的備份。五、Foxmail數(shù)據(jù)的備份比OutLook簡單第37頁，共63頁。六、即時消息數(shù)據(jù)的備份1.備份MESSAGES(歷史數(shù)據(jù))2.備份ADDRESSBOOK(地址數(shù)據(jù))七、輸入法自定義詞組的備份1.中文五筆輸入法中自定義詞組的備份C:\Windows\System\wbx.emb2.智能拼音輸入法中自定義詞組的備份C:\WINDOWS\SYSTEM\tmmr.rem3.微軟拼音輸入法中自定義詞組的備份C:\Windows\pjyyP.UPT第38頁，共63頁。八、IE收藏夾和NN書簽的備份IE收藏夾C:\Windows\Favorites文件夾NN書簽將其saveas為一個html文件第39頁，共63頁。數(shù)據(jù)備份--系統(tǒng)級備份策略

一、數(shù)據(jù)備份需求分析關(guān)鍵服務(wù)器的地位越來越重要，需要備份造成系統(tǒng)失效的主要原因有以下幾個方面：硬盤驅(qū)動器損壞，由于一個系統(tǒng)或電器的物理損壞導致文件、數(shù)據(jù)的丟失；人為錯誤，人為刪除一個文件或格式化一個磁盤（占數(shù)據(jù)災難的80%）；黑客的攻擊，黑客侵入計算機系統(tǒng)，破壞計算機系統(tǒng)；病毒，使計算機系統(tǒng)感染，甚至損壞計算機數(shù)據(jù)；自然災害，火災、洪水或地震也會無情地毀滅計算機系統(tǒng)；電源浪涌，一個瞬間過載電功率損害計算機驅(qū)動器上的文件；磁干擾，生活、工作中常見的磁場可以破壞磁碟中的文件。第40頁，共63頁。建立完整的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)必須考慮以下內(nèi)容：計算機網(wǎng)絡(luò)數(shù)據(jù)備份的自動化，以減少系統(tǒng)管理員的工作量；使數(shù)據(jù)備份工作制度化、科學化；對介質(zhì)管理的有效化，防止讀寫操作的錯誤；對數(shù)據(jù)形成分門別類的介質(zhì)存儲,使數(shù)據(jù)的保存更細致、科學；自動介質(zhì)的清洗輪轉(zhuǎn),提高介質(zhì)的安全性和使用壽命；以備份服務(wù)器形成備份中心，對各種平臺的應用系統(tǒng)及其他信息數(shù)據(jù)進行集中的備份，系統(tǒng)管理員可以在任意一臺工作站上管理、監(jiān)控、配置備份系統(tǒng)，實現(xiàn)分布處理，集中管理的特點；維護人員可以容易地恢復損壞的整個文件系統(tǒng)和各類數(shù)據(jù)；備份系統(tǒng)還應考慮網(wǎng)絡(luò)帶寬對備份性能的影響，備份服務(wù)器的平臺選擇及安全性，備份系統(tǒng)容量的適度冗余，備份系統(tǒng)良好的擴展性等因素。第41頁，共63頁。二、備份設(shè)備的選擇常用的存儲介質(zhì)類型有：磁盤、磁帶、光盤和MO（磁光盤）等。1.四種磁帶技術(shù)的比較Dat螺旋掃描、4mm、高強金屬帶、20GBDlt高強金屬帶、40GBLto開放標準、100GB8mm螺旋掃描、高速第42頁，共63頁。2、數(shù)據(jù)備份的容量計算網(wǎng)絡(luò)中的總數(shù)據(jù)量，q1；數(shù)據(jù)備份時間表（即增量備份的天數(shù)），假設(shè)用戶每天作一個增量備份，周末作一個全備份，d=6天每日數(shù)據(jù)改變量，即q2期望無人干涉的時間，假定為3個月，m=3數(shù)據(jù)增長量的估計，假定每年以20%遞增，i=20%考慮壞帶，不可預見因素，一般為30%，假定u=30%通過以上各因素考慮，可以較準確地推算出備份設(shè)備的大概容量為：

c=[（q1+q2*d）*4*m*(1+i)]*（1+u）第43頁，共63頁。三、分析應用環(huán)境、選擇備份管理軟件大型數(shù)據(jù)庫自動備份功能缺陷包括：但它們既不能實現(xiàn)自動備份，而且只能將數(shù)據(jù)備份到磁帶機或硬盤上，不能驅(qū)動磁帶庫等自動加載設(shè)備?，F(xiàn)有產(chǎn)品：legatonetworker、caarcserve、hpopenviewomnibackii、ibmadsm及veritasnetbackup等第44頁，共63頁。四、存儲備份策略備份策略可以確定需備份的內(nèi)容、備份時間及備份方式。目前被采用最多的備份策略主要有以下三種：1、完全備份（full

backup）2、增量備份（incremental

backup）3、差分備份（differential

backup）差分備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。第45頁，共63頁。差分備份的恢復簡單：系統(tǒng)管理員只需要對兩份備份文件進行恢復，即完全備份的文件和災難發(fā)生前最近的一次差分備份文件，就可以將系統(tǒng)恢復。增量備份恢復復雜。在實際應用中，備份策略通常是以上三種的結(jié)合。例如每周一至周六進行一次增量備份或差分備份，每周日進行全備份，每月底進行一次全備份，每年底進行一次全備份。第46頁，共63頁。五、項目實施過程應注意的問題1、統(tǒng)計備份客戶機信息了解各臺備份主機的系統(tǒng)配置、備份數(shù)據(jù)量、備份方式（文件、數(shù)據(jù)庫在線）、允許的備份時間窗口，每日數(shù)據(jù)增量等信息。2、做好培訓工作3、制定備份策略制定備份日程表制定備份客戶機分組方案制定備份卷分組方案第47頁，共63頁。配置各客戶機選項其它選項配置：包括管理員設(shè)置，數(shù)據(jù)遠程恢復權(quán)限設(shè)置，設(shè)備并行流設(shè)置，設(shè)備自動管理選項，數(shù)據(jù)壓縮選項等4、日常維護有關(guān)問題硬件（磁帶磁頭等）、軟件維護第48頁，共63頁。數(shù)據(jù)恢復數(shù)據(jù)恢復正常數(shù)據(jù)恢復災難數(shù)據(jù)恢復所謂災難數(shù)據(jù)恢復是指由于各種原因?qū)е聰?shù)據(jù)損失時把保留在介質(zhì)上的數(shù)據(jù)重新恢復的過程。即使數(shù)據(jù)被刪除或硬盤出現(xiàn)故障，只要在介質(zhì)沒有嚴重受損的情況下,數(shù)據(jù)就有可能被完好無損地恢復。重要性第49頁，共63頁。一、災難數(shù)據(jù)恢復的分類軟件恢復由病毒感染、誤分區(qū)、誤格式化等造成的數(shù)據(jù)丟失，仍然有可能使用第三方軟件來恢復硬件恢復至于硬件恢復，如修復盤面劃傷、磁組撞毀、芯片以及其他元器件燒壞等都成為硬件恢復第50頁，共63頁。二、數(shù)據(jù)可恢復的前提如果被刪除的文件已經(jīng)被其他文件取代，或者文件數(shù)據(jù)占用的空間已經(jīng)分配給其他文件，那么該文件就不可能再恢復了。電子碎紙機就是利用這種原理來設(shè)計的。如果硬件或介質(zhì)損壞嚴重，也是不可能恢復的。第51頁，共63頁。三、出現(xiàn)數(shù)據(jù)災難時如何處理如果是由病毒感染、誤分區(qū)、誤格式化等原因造成的數(shù)據(jù)丟失，這將關(guān)系到整塊硬盤數(shù)據(jù)的存亡，千萬不要再用該硬盤進行任何操作，更不能繼續(xù)往上面寫任何數(shù)據(jù)，而應馬上找專業(yè)人員來處理；如果是由硬件原因造成的數(shù)據(jù)丟失（如硬盤受到激烈振動而損壞），則要注意事故發(fā)生后的保護工作，不應繼續(xù)對該存儲器反復進行測試，否則，將造成永久性的損壞！第52頁，共63頁。四、低難度數(shù)據(jù)恢復1.如果懷疑硬盤有故障，先檢查信號線和電源是否插好，或?qū)⒂脖P掛接到另一臺正常機器上，用BIOS檢測，如果還是無法檢測到硬盤，就是硬件故障。2.如果懷疑分區(qū)損壞，可用Win98的Fdisk命令觀察，如無任何分區(qū)顯示即表示已被破壞。3.如果懷疑硬盤電路板有故障，可以找一個相同型號的好硬盤更換電路板。4.如果是硬盤分區(qū)損壞、誤格式化或誤刪除，可以將該硬盤掛接到另一臺正常機器上作為第二個硬盤，用Easyrecovery或Finaldata數(shù)據(jù)恢復軟件搶救數(shù)據(jù)。第53頁，共63頁。五、高難度數(shù)據(jù)恢復第一，分區(qū)表破壞原因：1.個人誤操作刪除分區(qū)，只要沒有進行其它的操作完全可以恢復。2.安裝多系統(tǒng)引導軟件或者采用第三方分區(qū)工具，有恢復的可能性。3.病毒破壞，可以部分或者全部恢復。4.利用Ghost克隆分區(qū)/硬盤破壞，只可以部分恢復或者不能恢復。牢記以下兩點:1.在硬盤數(shù)據(jù)出現(xiàn)丟失后，請立即關(guān)機，不要再對硬盤進行任何寫操作，那樣會增大修復的難度，也影響到修復的成功率.2.你的每一步操作都應該是可逆的（就像NortonDiskDoctor中的Undo功能）或者對故障硬盤是只讀的（大名大名鼎鼎的EasyRecovery和Lost&Found都是這種工作原理）。

第54頁，共63頁。第二，硬盤壞扇區(qū)邏輯壞道——軟件恢復物理壞道——標記壞道使用硬盤的注意事項：1.硬盤在工作時不能突然關(guān)機2.防止灰塵進入3.要防止溫度過高4.要定期整理硬盤上的信息5.要定期對硬盤進行殺毒第55頁，共63頁。6.用手拿硬盤時要小心7.盡量不要使用硬盤壓縮技術(shù)8.在工作中不能移動硬盤9.使用塑料或橡皮來消除硬盤噪音第56頁，共63頁。第三，磁頭損壞精度是1-2微寸一?；覊m是4-8微寸，人的頭發(fā)是10微寸。恢復難度較大（跟換磁頭）第57頁，共63頁。第四，盤片損傷硬盤的盤片都是使用塑料材料作為盤片基質(zhì)，然后再在塑料基質(zhì)上涂上磁性材料就可構(gòu)成硬盤的盤片。采用鋁材料作為硬盤盤片基質(zhì)隨后推出，目前市場上的IDE硬盤幾乎都是使用鋁硬盤盤片基質(zhì)。而采用玻璃材料作為盤片基質(zhì)則是最新的硬盤盤片技術(shù)。硬盤由多個盤片組成（可以恢復未被破壞的那些盤片）第58頁，共63頁。六、數(shù)據(jù)恢復工具箱一、EasyRecovery6.0恢復被刪除文件，連不小心格式化后的分區(qū)數(shù)據(jù)都可以恢復；恢復引導記錄、BIOS參數(shù)數(shù)據(jù)塊、分區(qū)表、FAT表、引導區(qū)等；6.0版本能對ZIP文件及Office文檔進行修復。二、FinaData它不依賴目錄入口和FAT表記錄的信息，所以它既可以恢復的被刪除的文件，還可以在整個目錄入口和FAT表都遭到破壞的情況下進行數(shù)據(jù)恢