对于GHOST,相信大家都经常使用吧?如果使用GHOST出现失误,导致硬盘分区丢失,宝贵的数据还能找回吗?答案是肯定的,下面就是笔者的一次数据恢复经历。www.bway.cn推荐文章
故障起因
一天,朋友火急火燎地打电话说硬盘的数据全丢失了。我赶去一看,原来朋友的电脑是Tualatin 赛扬1.1GHz处理器/810T主板/256MB内存/三星80GB硬盘/SONY CDRW光驱,在三星80GFMS货代软件B硬盘上有4个分区,C盘安装了Windows XP SP2,D、E、F盘保存着数据,在D盘的GHOST目录里存放有C盘的干净系统备份CBAK.GHO。
由于最近觉得系统有点慢,朋友就想把CBAK.GHO恢复到C盘,没想到在恢复的时候,由于海运国际物流软件粗心大意,把本来的分区恢复“Local→Partition→From Image”错选成了全盘恢复“Local→Disk→From Image”,而后面的步骤也没仔细看,就一路回车,结果恢复结束后,D、E、F盘都不见了!由于D盘上保存着平FMS货代软件常工作用的程序、文档、报表等重要数据,所以把朋友急得团团转。
修复过程
将朋友的硬盘挂到笔者的电脑上,发现这个硬盘现在只有一个C盘,容量为硬盘的最大容量。先用FinalData2、EasyRecovery6等数据恢复软件对硬盘进行全面扫描进销存软件,都只能找到C分区以前删除过的数据,后面分区的文件一个也找不到,看来此路不通。www.bway.cn
静下心来仔细分析了一下,由于备份镜像(图1)远小于原来的C分区的容量,所以后面分区的数据肯定没有被覆盖,上述恢复软件只能恢复现存分区里面丢失的文出纳软件件,解决问题的关键在于如何找回后面的分区。
Disk Genius(下面简称DISKGEN)具有强大的分区表重建功能,笔者希望使用它重建分区表,但使用DISKGEN扫描只能找到现在的C分区,如果不保留这个C分区继续扫描,在扫描到柱面60的时候死机,试了几次都是如此。
如果C分区大小和原来一样,那么DISKGEN不就能从正确的位置开始扫描了吗?可惜朋友已经记不清原来的各个分区的具体大小了,怎么办?在浏览朋友硬盘上的数据时,忽然发现C盘中居然有一个GHOST目录(图2),里面有一个文件CBAK.GHO。难道GHOST全盘恢复时把这个文件也合并到了C盘?我马上将该文件拷贝到自己的硬盘上进行测试,发现果然如此!并且这个文件完好无损,用GHOST尝试恢复这个文件,得知原来的C盘容量为7632.4MB。
进入GHOST,选择全盘恢复功能Local→Disk→From Image,镜像文件选择拷贝到笔者硬盘上的CBAK.GHO,目标硬盘选择朋友的三星80GB硬盘。
接下来的步骤非常关键:在出现的“Destination Drive Details”窗口中,GHOST会显示目标硬盘C盘的默认大小为硬盘的最大容量,这时用“Tab”键将光标移动到“New Size”下面的数字栏中,将C盘容量调整为7632.4MB,再进行恢复!
恢复完成后重启电脑,运行DISKGEN扫描朋友的硬盘,选择“重建分区表”→“交互方式”(图3),在保留第一个7632.4MB的C分区后,DISKGEN马上扫描到了丢失的扩展分区(图4),并发现了扩展分区中的3个逻辑分区,正好对应原来的D、E、F盘,太好了!保存扫描结果并重启电脑,发现D、E、F盘都完好无损,里面的数据也都安然无恙!
将硬盘装回朋友的电脑后,发现C盘系统不能启动,没关系,重新恢复一次C盘就好了。
总结
事后我模拟了朋友的操作过程,发现如果电脑中只有一块硬盘,那么在使用该硬盘内的镜像文件进行全盘恢复时,GHOST会提示:“目标硬盘包含着当前镜像文件,如果继续,你可以选择保留或者删除这个镜像文件”。软件的默认选项就是“保留”,正是这个默认操作,使朋友的C盘镜像得以保留,也为这次数据的完美恢复奠定了基础。
?
用Longhorn版“任务管理器”揪木马
最近有网友将任务管理器从Longhorn测试版操作系统中剥离出来,放在网上供下载(http://www.cniti.com/soft/epc/2004-10/taskmgr.rar)。这个版本的任务管理器可以直接升级WindowsXP/Server 2003的任务管理器,而且同原有版本相比,在识别木马和分析系统方面的能力大大增强。今天就让我们来看看这个版本的任务管理器是如何揪出木马的。
Longhorn版任务管理器的源文件包括三个程序文件,分别拷贝到“C:\windows\system32\dllcache”和“C:\windows\system32”中,这个时候操作系统会弹出一个“Windows 文件保护”对话框,点击“取消”按钮,接着点击“是”按钮就可以了。
以前我们经常说可以利用进程来判断系统中是否有木马,但是旧版任务管理器在进程分析和判断方面功能过于弱小,对于一般用户来说掌握这种方法有一定难度。现在好了,Longhorn版“任务管理器”可以采用进程名、进程路径及用户名三方面相结合的方法来判断病毒及木马。(本文为www.bway.cn电脑知识网推荐文章)
一般来说木马和病毒会采取两种途径潜伏在进程中。一是直接利用系统现有进程。比如explorer.exe、rundll32.exe这些进程。还有一种就是通过改头换面,生成新的进程,但进程名称同系统基本进程非常相似,不容易被发现。比如exlporer.exe、internet.exe。
后者主要是通过查看“映像名称”来揪出木马。而前者则需要分析进程所在路径。
在这里我们看到系统中有一个svchost.exe,这是WindowsXP中最熟悉的进程之一。但是当我们通过点击鼠标右键菜单的“打开所在目录”,却意外发现这个进程所在的路径是C:\Windows。要知道这个进程一般是在C:\windows\system32\下面。那么现在就可以初步判定这个进程存在问题。接下来通过专门的木马工具进行扫描。
其实还有更为简便的方法,利用“映像路径”直接判断进程是否存在问题。当然你首先需要在新版任务管理器面板上面打开“查看→选择列”,勾选其中的“映像路径”选项。然后回到“进程”选项卡,就能够直接看到svchost.exe进程的路径了,有没有问题就一目了然。
注意:“用户名”也是另外一个发现进程是否正确的方法。如果是系统的进程(“用户名”为“SYSTEM”),则是正常的,如果是用户的进程,则可能是病毒了。比如,有一个svchost.exe进程的用户名是其它名字,那你就需要杀毒了。
总的来说,Longhorn版任务管理器在进程管理方面得到了大大改善,灵活利用它,将帮助你迅速发现系统中是否存在病毒或者木马,便于你及时进行清除。
小资料
基本进程:smss.exe、csrss.exe、winlogon.exe、services.exe、lsass.exe、svchost.exe、spoolsv.exe、explorer.exe、System Idle Process;
常见进程:internat.exe、systray.exe、rundll32.exe、loadwc.exe、ddhelp.exe、mstask.exe、ctfmon.exe、taskmagr.exe、msnmsgr.exe、wmiexe.exe,
?
如何使用ghost图解
我这里介绍的是GHOST7.0或7.5版的,与现在8.0甚至9.0版的有些区别,比如8.0版的可以把备份文件放在NTFS格式分区上;9.0版可以在WINDOWS下以图形界面进行前期的还原及备份的选择操作,但如果系统不能启动的话,就要用这个版本的启动光盘来启动计算机再进行操作了。本文为如何使用ghost图解,相信看了之后对您又很大帮助哦!
如果要在一台计算机安装一个操作系统,首先要保证用某种方式把计算机启动起来,安装98或ME时通常都是用可启动光盘来启动的。
而要用启动光盘来启动计算机,先要把BIOS中的引导启动的选项选好。通常是开机后按DEL键,就会进入BIOS设置界面。
选择第2项“高级BIOS设置”后回车,找到类似于如图中的这一项,按PAGE UP或PAGE DOWN键进行切换,选择成CDROM,C,A即可。现在的主板这里的选项与此不大一致,一般会是First BOOT DEVICE,后面也只有一种启动方式,把它设成CDROM即可,设置方式与前面所说的是类似的。另外在这个页上的第一项,通常会是Virus Waraing(病毒检测),把它设为Disabled,否则在安装过程中可能会报错。
设置完成后,按Esc键回到主页面,选择SAVE & EXIT SETUP保存设置并退出BIOS设置。(本文为www.bway.cn电脑知识网推荐文章)
计算机重新启动时把一张可启动DOS的启动光盘放入光驱,很快就能出现以下界面了。其中第一项是启动带光驱的模式,第二项是启动不带光驱的模式
出现 A: 盘符
假如你的Ghost.exe存话在E盘的GHOST文件夹中,依次键入如下命令:
e:
cd ghost
ghost
每键入一行命令回一次车,就会出现图1的窗口,回车确认。然后在图2的窗口中选择Local→Partition→To Image菜单,
弹出硬盘选择窗口开始分区备份操作。如图3,点击该窗口中白色的硬盘信息条,选择硬盘,进入窗口,选择要操作的分区(若没有鼠标,可用键盘进行操作:TAB键进行切换,回车键进行确认,方向键进行选择)。如图4。
在弹出的窗口中选择备份储存的目录路径并输入备份文件名称,如图5,注意备份文件的名称带有GHO的后缀名。 接下来,程序会询问是否压缩备份数据,并给出3个选择:No表示不压缩,Fast表示压缩比例小而执行备份速度较快,High就是压缩比例高但执行备份速度相当慢。如图6。 最后选择Yes按钮即开始进行分区硬盘的备份。如图7。 Ghost备份的速度相当快,不用久等就可以完成,如图8。备份的文件以GHO后缀名储存在设定的目录中。
?
From:http://www.bway.cn/Article/Common/201309/1811.html
文章来源于网络,如有侵权,请联系删除。
我司专注于国际物流软件开发,海运国际物流软件,空运国际物流软件,铁运物流软件
,FMS货代软件,货代软件公司。并于在企业微信物流软件开发,企业微信FMS管理软件。
手机版货运软件,手机APP客户管理,多年来一直专于研发,销信于一体软件公司。