1、各種( zhn)計算機病毒及防治8.1計算機病毒概述8.2DOS環境下的病毒8.3宏病毒8.4網絡計算機病毒8.5反病毒技術8.6軟件防病毒技術8.7典型(dinxng)病毒實例CIH病毒介紹共七十七頁本章(bn zhn)學習目標（1）了解計算機病毒的定義、發展歷史、分類、特點、入侵途徑、流行特征、破壞行為、作用(zuyng)機制。（2）了解DOS環境下的病毒、宏病毒和網絡計算機病毒的分類、傳染過程、防治和清除方法。（3）熟悉基本的反病毒技術，包括計算機病毒的檢測、防治與感染病毒后的修復；掌握殺毒軟件的選購指標、反病毒軟件的原理。（4）掌握如何恢復被CIH病毒破壞的硬盤信息。返回本章首頁共七十

2、七頁8.1計算機病毒概述(i sh)8.1.1計算機病毒的定義8.1.2計算機病毒的發展歷史8.1.3計算機病毒的分類8.1.4計算機病毒的特點8.1.5計算機病毒的隱藏(yncng)之處和入侵途徑8.1.6現代計算機病毒的流行特征8.1.7計算機病毒的破壞行為8.1.8計算機病毒的作用機制返回本章首頁共七十七頁8.1.1計算機病毒的定義(dngy) “計算機病毒”最早是由美國計算機病毒研究專家F.Cohen博士提出的。 “計算機病毒”有很多種定義，國外最流行的定義為：計算機病毒，是一段附著在其他程序上的可以實現自我繁殖的程序代碼。在中華人民共和國計算機信息系統安全保護條例中的定義為：“計算機

3、病毒是指編制或者在計算機程序中插入的破壞(phui)計算機功能或者數據，影響計算機使用并且能夠自我復制的一組計算機指令或者程序代碼”。返回本節共七十七頁8.1.2計算機病毒的發展(fzhn)歷史1計算機病毒發展簡史 世界上第一例被證實的計算機病毒是在1983年，出現了計算機病毒傳播的研究報告。同時有人提出了蠕蟲病毒程序的設計思想；1984年，美國人Thompson開發出了針對UNIX操作系統的病毒程序。 1988年11月2日晚，美國康爾大學研究生羅特莫里斯將計算機病毒蠕蟲投放到網絡中。該病毒程序迅速擴展，造成了大批計算機癱瘓，甚至歐洲聯網的計算機都受到影響(yngxing)，直接經濟損失近億美

4、元。 共七十七頁2計算機病毒在中國的發展情況 在我國，80年代末，有關(yugun)計算機病毒問題的研究和防范已成為計算機安全方面的重大課題。 1982年“黑色星期五”病毒侵入我國；1985年在國內發現更為危險的“病毒生產機”，生存能力和破壞能力極強。這類病毒有1537、CLME等。進入90年代，計算機病毒在國內的泛濫更為嚴重。 CIH病毒是首例攻擊計算機硬件的病毒，它可攻擊計算機的主板，并可造成網絡的癱瘓。共七十七頁3計算機病毒發展的10個階段(jidun)（1）DOS引導階段 （2）DOS可執行文件階段 （3）混合型階段 （4）伴隨型階段 （5）多形型階段 （6）生成器，變體機階段 （7）

5、網絡，蠕蟲階段 （8）Windows階段 （9）宏病毒階段 （10）Internet階段 返回(fnhu)本節共七十七頁8.1.3計算機病毒的分類(fn li)病毒種類眾多，分類如下(rxi)：1按傳染方式分為引導型、文件型和混合型病毒2按連接方式分為源碼型、入侵型、操作系統型和外殼型病毒3按破壞性可分為良性病毒和惡性病毒4網絡病毒返回本節共七十七頁8.1.4計算機病毒的特點(tdin)（1）刻意編寫，人為破壞 （2）自我(zw)復制能力 （3）奪取系統控制權 （4）隱蔽性 （5）潛伏性 （6）不可預見性 返回本節共七十七頁8.1.5計算機病毒的隱藏(yncng)之處和入侵途徑1病毒的隱藏之處

6、 （1）可執行文件。 （2）引導扇區。（ 3）表格和文檔。 （4）Java小程序和ActiveX控件。 2病毒的入侵途徑(tjng) （1）傳統方法 （2）Internet 返回本節共七十七頁8.1.6現代(xindi)計算機病毒的流行特征1攻擊對象趨于混合型 2反跟蹤技術 3增強隱蔽性 4加密技術處理 5病毒繁衍不同(b tn)變種 共七十七頁增強隱蔽性：（1）避開修改中斷向量值 （2）請求在內存中的合法身份 （3）維持(wich)宿主程序的外部特性 （4）不使用明顯的感染標志 共七十七頁加密技術處理 ：（1）對程序段動態加密(ji m) （2）對顯示信息加密 （3）對宿主程序段加密 返回(

7、fnhu)本節共七十七頁8.1.7計算機病毒的破壞(phui)行為（1）攻擊系統數據區 （2）攻擊文件 （3）攻擊內存 （4）干擾系統運行，使運行速度(sd)下降 （5）干擾鍵盤、喇叭或屏幕 （6）攻擊CMOS （7）干擾打印機 （8）網絡病毒破壞網絡系統 返回本節共七十七頁8.1.8計算機病毒的作用(zuyng)機制1計算機病毒的一般構成(guchng) 2計算機病毒的引導機制 3計算機病毒的傳染機制 4計算機病毒的破壞機制 共七十七頁一個(y )引導病毒傳染的實例 假定用硬盤啟動，且該硬盤已染上了小球病毒，那么加電自舉以后，小球病毒的引導模塊就把全部病毒代碼1024字節保護到了內存的最高段

8、，即97C0：7C00處；然后修改INT 13H的中斷向量，使之指向病毒的傳染模塊。以后，一旦讀寫軟磁盤的操作通過INT 13H的作用，計算機病毒的傳染塊便率先取得(qd)控制權，它就進行如下操作：共七十七頁1）讀入目標軟磁盤的自舉扇區（BOOT扇區）。2）判斷(pndun)是否滿足傳染條件。3）如果滿足傳染條件（即目標盤BOOT區的01FCH偏移位置為5713H標志），則將病毒代碼的前512字節寫入BOOT引導程序，將其后512字節寫入該簇，隨后將該簇標以壞簇標志，以保護該簇不被重寫。4）跳轉到原INT 13H的入口執行正常的磁盤系統操作。 共七十七頁一個文件病毒傳染(chunrn)的實例

9、假如VVV.COM（或.EXE）文件已染有耶路撒冷病毒，那么運行該文件后，耶路撒冷病毒的引導模塊會修改INT 21H的中斷向量，使之指向病毒傳染(chunrn)模塊，并將病毒代碼駐留內存，此后退回操作系統。以后再有任何加載執行文件的操作，病毒的傳染(chunrn)模塊將通過INT 21H的調用率先獲得控制權，并進行以下操作：共七十七頁1）讀出該文件特定部分。2）判斷是否傳染。3）如果滿足條件，則用某種方式將病毒代碼與該可執行文件鏈接，再將鏈接后的文件重新寫入磁盤。4）轉回原INT 21H入口，對該執行文件進行(jnxng)正常加載。共七十七頁計算機病毒的傳染(chunrn)過程計算機病毒的傳染

10、過程(guchng)1）駐入內存。2）判斷傳染條件。3）傳染。 返回本節共七十七頁8.2DOS環境(hunjng)下的病毒8.2.1DOS基本知識介紹(jisho)8.2.2常見DOS病毒分析返回本章首頁共七十七頁8.2.1DOS基本知識介紹(jisho)1DOS的基本(jbn)結構 2DOS啟動過程 3DOS的程序加載過程 4DOS的中斷系統 共七十七頁1DOS的基本(jbn)結構 （1）引導記錄模塊 （2）基本輸入輸出管理(gunl)模塊 （3）核心模塊 （4）SHELL模塊 共七十七頁2DOS啟動(qdng)過程 PC X86系列計算機設計時，都使地址0FFFF0H處于ROM區中，并將該

11、地址的內容設計為一條跳轉指令并首先執行它，這樣就將控制權交給了自檢程序和ROM引導裝入程序。啟動過程(guchng)為：硬件自檢自舉系統初始化內核初始化建立系統運行環境COMMAND.COM初始化。共七十七頁3DOS的程序(chngx)加載過程 （1）COMMAND處理命令的過程(guchng) （2）.EXE文件的加載 （3）.COM文件的加載 共七十七頁4DOS的中斷(zhngdun)系統 （1）中斷向量表 （2）中斷響應過程(guchng) （3）計算機病毒經常使用的中斷 共七十七頁多數病毒經常使用磁盤服務(fw)中斷和時鐘中斷。1）ROM BIOS軟中斷INT 13H。 2）磁盤邏輯扇

12、區讀/寫中斷INT 25H、INT 26H。 3）間隔(jin g)時鐘中斷INT 1CH。 4）時鐘中斷INT 8H。是ROM BIOS硬中斷，其向量地址為0000:0020H0000:0023H。 5）屏幕顯示中斷INT 10H。向量地址為0000:0040H0000:0043H。 6）程序正常結束中斷INT 20H。是DOS軟中斷，其向量地址為0000:00800000:0083H。 7）系統功能調用中斷INT 21H。 返回本節共七十七頁8.2.2常見(chn jin)DOS病毒分析1引導(yndo)記錄病毒 （1）引導型病毒的傳播、破壞過程 （2）引導型病毒實例：火炬病毒 2文件型病

13、毒（1）文件型病毒的類型 （2）文件型病毒的感染方式 （3）.COM文件的感染 （4）.EXE文件的感染 （5）.SYS文件的感染 共七十七頁 （a）引導(yndo)型病毒 （b）文件(wnjin)型病毒圖8.1病毒的傳播、破壞過程返回本節共七十七頁8.3宏病毒8.3.1宏病毒的分類8.3.2宏病毒的行為和特征(tzhng)8.3.3宏病毒的特點8.3.4宏病毒的防治和清除方法返回(fnhu)本章首頁共七十七頁8.3.1宏病毒的分類(fn li)1公（共）用宏病毒這類宏病毒對所有的Word文檔有效，其觸發(chf)條件是在啟動或調用Word文檔時，自動觸發執行。它有兩個顯著的特點：1）只能用“

14、Autoxxxx”來命名，即宏名稱是用“Auto”開頭，xxxx表示的是具體的一種宏文件名。如AutoOpen、AutoClose、AutoCopy等。2）它們一定要附加在Word共用模板上才有“公用”作用。通常在用戶不規定和另行編制其他的公用模板時，它們應是附加在Normal.dot模板上，或者首先要能將自己寫進這樣的模板才行。共七十七頁2私用宏病毒私用宏病毒與公用(gngyng)宏病毒的主要區別是：前者一般放在用戶自定義的Word模板中，僅與使用這種模板的Word文檔有關，即只有使用這個特定模板的文檔，該宏病毒才有效，而對使用其他模板的文檔，私用宏病毒一般不起作用。返回(fnhu)本節共七

15、十七頁8.3.2宏病毒的行為(xngwi)和特征 宏病毒是一種新形態的計算機病毒，也是一種跨平臺式計算機病毒?？梢栽赪indows、Windows 95/98/NT、OS/2、Macintosh System7等操作系統上執行病毒(bngd)行為。 宏病毒的主要特征如下：1）宏病毒會感染.DOC文檔和.DOT模板文件。 2）宏病毒的傳染通常是Word在打開一個帶宏病毒的文檔或模板時，激活宏病毒。 共七十七頁3）多數宏病毒包含AutoOpen、AutoClose、AutoNew和AutoExit等自動宏，通過這些自動宏病毒取得文檔（模板）操作權。 4）宏病毒中總是含有對文檔讀寫操作的宏命令。5）

16、宏病毒在.DOC文檔、.DOT模板中以BFF（Binary File Format）格式存放，這是一種加密(ji m)壓縮格式，每個Word版本格式可能不兼容。6）宏病毒具有兼容性。 返回(fnhu)本節共七十七頁8.3.3宏病毒的特點(tdin)1傳播極快 2制作(zhzu)、變種方便3破壞可能性極大 返回本節共七十七頁8.3.4宏病毒的防治和清除(qngch)方法 Word宏病毒(bngd)，是近年來被人們談論得最多的一種計算機病毒(bngd)。與那些用復雜的計算機編程語言編制的病毒(bngd)相比，宏病毒(bngd)的防治要容易得多！在了解了Word宏病毒的編制、發作過程之后，即使是普通

17、的計算機用戶，不借助任何殺毒軟件，就可以較好地對其進行防冶。 1查看“可疑”的宏 2按使用習慣編制宏 3防備Autoxxxx宏 共七十七頁4小心使用外來的Word文檔 5使用選項“Prompt to Save Normal Template” 6通過Shift鍵來禁止運行(ynxng)自動宏 7查看宏代碼并刪除 8使用Disable Auto Marcros宏 9使用OFFICE 97的報警設置 10設置Normal.dot的只讀屬性 11Normal.dot的密碼保護 12創建Payload宏 13使用Word Viewer或Word Pad 14將文檔存儲為RTF格式 返回(fnhu)本節

18、共七十七頁8.4網絡(wnglu)計算機病毒8.4.1網絡計算機病毒的特點(tdin)8.4.2網絡對病毒的敏感性8.4.3網絡病毒實例電子郵件病毒返回本章首頁共七十七頁8.4.1網絡(wnglu)計算機病毒的特點在網絡環境中，計算機病毒具有如下一些新的特點：（1）傳染方式多 （2）傳染速度快 （3）清除(qngch)難度大 （4）破壞性強 （5）可激發性 （6）潛在性 返回本節共七十七頁8.4.2網絡(wnglu)對病毒的敏感性1網絡對文件病毒(bngd)的敏感性2網絡對引導病毒的敏感性 3網絡對宏病毒的敏感性 共七十七頁1網絡對文件(wnjin)病毒的敏感性（1）網絡(wnglu)服務器上

19、的文件病毒 （2）端到端網絡上的文件病毒 （3）Internet上的文件病毒 共七十七頁2網絡(wnglu)對引導病毒的敏感性 （1）網絡(wnglu)服務器上的引導病毒 （2）端到端網絡上的引導病毒 （3）Internet上的引導病毒 共七十七頁3網絡(wnglu)對宏病毒的敏感性 （1）網絡(wnglu)服務器上的宏病毒 （2）端到端網絡上的宏病毒 （3）Internet上的宏病毒 返回本節共七十七頁8.4.3網絡病毒(bngd)實例電子郵件病毒1電子郵件病毒的特點（1）郵件格式不統一，殺毒困難 （2）傳播速度快，傳播范圍廣，破壞力大 2電子郵件病毒的防范措施 1）首先，不要輕易打開陌生人

20、來信中的附件文件。 2）對于比較熟悉、了解的朋友們寄來的信件，如果(rgu)其信中夾帶了程序附件，但是他卻沒有在信中提及或是說明，也不要輕易運行。 共七十七頁3）給別人發送程序文件甚至包括電子賀卡時，一定要先在自己的計算機中試試，確認沒有問題后再發，以免好心辦了壞事。 4）不斷完善“網關”軟件及病毒防火墻軟件，加強對整個網絡入口點的防范。5）使用優秀(yuxi)的防毒軟件對電子郵件進行專門的保護。 6）使用防毒軟件同時保護客戶機和服務器。 7）使用特定的SMTP殺毒軟件。 返回(fnhu)本節共七十七頁8.5反病毒技術(jsh)8.5.1計算機病毒的檢測8.5.2計算機病毒(bngd)的防治8

21、.5.3計算機感染病毒后的修復返回本章首頁共七十七頁8.5.1計算機病毒的檢測(jin c)1異常情況判斷(pndun)2計算機病毒的檢查共七十七頁1異常情況判斷(pndun)計算機工作出現下列異?，F象，則有可能感染了病毒：1）屏幕(pngm)出現異常圖形或畫面，這些畫面可能是一些鬼怪，也可能是一些下落的雨點、字符、樹葉等，并且系統很難退出或恢復。2）揚聲器發出與正常操作無關的聲音，如演奏樂曲或是隨意組合的、雜亂的聲音。3）磁盤可用空間減少，出現大量壞簇，且壞簇數目不斷增多，直到無法繼續工作。4）硬盤不能引導系統。5）磁盤上的文件或程序丟失。 共七十七頁6）磁盤讀/寫文件(wnjin)明顯變慢

22、，訪問的時間加長。7）系統引導變慢或出現問題，有時出現“寫保護錯”提示。8）系統經常死機或出現異常的重啟動現象。9）原來運行的程序突然不能運行，總是出現出錯提示。10）打印機不能正常啟動。共七十七頁2計算機病毒的檢查(jinch)（1）檢查磁盤(c pn)主引導扇區（2）檢查FAT表（3）檢查中斷向量（4）檢查可執行文件（5）檢查內存空間（6）根據特征查找返回本節共七十七頁8.5.2計算機病毒(bngd)的防治1建立、健全法律(fl)和管理制度 2加強教育和宣傳 3采取更有效的技術措施 4網絡計算機病毒的防治 共七十七頁采取更有效(yuxio)的技術措施 （1）系統安全 （2）軟件過濾 （3）

23、文件加密 （4）生產過程控制 （5）后備恢復 （6）其他(qt)有效措施 共七十七頁其他有效(yuxio)措施 1）重要的磁盤和重要的帶后綴.COM和.EXE的文件賦予只讀功能，避免病毒寫到磁盤上或可執行文件中。 2）消滅傳染源。 3）建立程序的特征值檔案。4）嚴格內存管理。 5）嚴格中斷向量的管理。 6）強化物理訪問控制措施 7）一旦發現病毒蔓延，要采用可靠的殺毒軟件和請有經驗的專家處理，必要時需報告計算機安全監察部門，特別(tbi)要注意不要使其繼續擴散。共七十七頁防范計算機網絡病毒的一些(yxi)措施： 1）在網絡中，盡量多用無盤工作站，不用或少用有軟驅(run q)的工作站。 2）在網

24、絡中，要保證系統管理員有最高的訪問權限，避免過多地出現超級用戶。 3）對非共享軟件，將其執行文件和覆蓋文件如*.COM、*.EXE、*.OVL等備份到文件服務器上，定期從服務器上拷貝到本地硬盤上進行重寫操作。4）接收遠程文件輸入時，一定不要將文件直接寫入本地硬盤，而應將遠程輸入文件寫到軟盤上，然后對其進行查毒，確認無毒后再拷貝到本地硬盤上。共七十七頁5）工作站采用防病毒芯片，這樣可防止引導型病毒。6）正確設置文件屬性，合理規范用戶的訪問權限。 7）建立健全的網絡系統安全管理制度，嚴格操作規程和規章制度，定期作文件備份和病毒檢測。 8）目前預防病毒最好的辦法就是在計算機中安裝防病毒軟件，這和人體

25、注射疫苗是同樣的道理。采用優秀(yuxi)的網絡防病毒軟件，如LAN Protect和LAN Clear for NetWare等。9）為解決網絡防病毒的要求，已出現了病毒防火墻，在局域網與Internet，用戶與網絡之間進行隔離。 返回(fnhu)本節共七十七頁8.5.3計算機感染病毒(bngd)后的修復1修復引導記錄病毒（1）修復感染的軟盤（2）修復感染的主引導記錄（3）利用(lyng)反病毒軟件修復共七十七頁2修復可執行文件病毒 即使有經驗的用戶也會認為修復文件病毒感染很困難。一般(ybn)要先用殺病毒軟件殺毒，再用未感染的備份拷貝代替它，這是修復被感染程序文件的最有效途徑。如果得不到備

26、份，反病毒程序一般(ybn)使用它們的病毒掃描器組件檢測并修復感染的程序文件。如果文件被非覆蓋型病毒感染，那么這個程序很可能會被修復。返回(fnhu)本節共七十七頁8.6軟件防病毒(bngd)技術8.6.1防、殺毒軟件的選擇8.6.2反病毒軟件(run jin)8.6.3常用反病毒軟件產品返回本章首頁共七十七頁8.6.1防、殺毒軟件的選擇(xunz)1防、殺毒軟件的選購指標 2上網一族常用的防、殺毒軟件 3著名殺毒軟件公司(n s)的站點地址 共七十七頁1防、殺毒軟件的選購(xun u)指標 （1）掃描速度 （2）識別率 （3）病毒清除(qngch)測試 共七十七頁2上網(shn wn)一族常

27、用的防、殺毒軟件 Commands FPROT專業版For Win95。Norton AntiVirus For Win95。Norton AntiVirus For WinNT。PCCillin AntiVirus For Win95。Virus Scan For Win95。Web ScanX For Win95或NT。eSafe Protect For Win95等等(dn dn)。共七十七頁3著名殺毒軟件公司(n s)的站點地址 表8.1著名(zhmng)殺毒軟件公司的網址返回本節共七十七頁8.6.2反病毒軟件(run jin)1病毒掃描(somio)程序 2內存掃描程序 3完整性檢查

28、器 4行為監視器 共七十七頁1病毒(bngd)掃描程序 （1）串掃描算法 （2）入口(r ku)點掃描算法 （3）類屬解密法 共七十七頁2內存(ni cn)掃描程序 內存掃描程序采用與病毒掃描程序同樣的基本原理進行工作。它的工作是掃描內存以搜索內存駐留文件(wnjin)和引導記錄病毒。盡管病毒可以毫無覺察的把自己隱藏在程序和文件中，但病毒不能在內存中隱藏自己。因此內存掃描程序可以直接搜索內存，查找病毒代碼。如果一個反病毒產品不使用內存掃描，其病毒檢測技術是很不完善的，很可能漏查、漏殺某些病毒。共七十七頁3完整性檢查器 完整性檢查器的工作(gngzu)原理基于如下的假設：在正常的計算機操作期間，

29、大多數程序文件和引導記錄不會改變。這樣，計算機在未感染狀態，取得每個可執行文件和引導記錄的信息指紋，將這一信息存放在硬盤的數據庫中。 完整性檢查器是一種強有力的防病毒保護方式。因為幾乎所有的病毒都要修改可執行文件引導記錄，包括新的未發現的病毒，所以它的檢測率幾乎百分之百。引起完整性檢查器失效的可能有：有些程序執行時必須要修改它自己；對已經被病毒感染的系統再使用這種方法時，可能遭到病毒的蒙騙等。共七十七頁4行為(xngwi)監視器 行為監視器又叫行為監視程序，它是內存駐留程序，這種程序靜靜地在后臺工作，等待(dngdi)病毒或其他有惡意的損害活動。如果行為監視程序檢測到這類活動，它就會通知用戶，

30、并且讓用戶決定這一類活動是否繼續。返回本節共七十七頁8.6.3常用(chn yn)反病毒軟件產品 隨著世界范圍內計算機病毒(bngd)的大量流行，病毒(bngd)編制花樣不斷變化，反病毒(bngd)軟件也在經受一次又一次考驗，各種反病毒(bngd)產品也在不斷地推陳出新、更新換代。這些產品的特點表現為技術領先、誤報率低、殺毒效果明顯、界面友好、良好的升級和售后服務技術支特、與各種軟硬件平臺兼容性好等方面。常用的反病毒(bngd)軟件有KV3000、瑞星（2001版）等。返回本節共七十七頁8.7典型病毒(bngd)實例CIH病毒介紹8.7.1CIH病毒簡介(jin ji)8.7.2恢復被CIH病

31、毒破壞的硬盤信息8.7.3CIH病毒的免疫返回本章首頁共七十七頁8.7.1CIH病毒(bngd)簡介1CIH病毒分析 CIH病毒是迄今為止發現的最陰險、危害最大的病毒之一。它發作時不僅破壞硬盤的引導扇區和分區表，而且破壞計算機系統FLASH BIOS芯片中的系統(xtng)程序，導致主板損壞。2CIH病毒發作時的現象 CIH病毒發作時，將用凌亂的信息覆蓋硬盤主引導區和系統BOOT區，改寫硬盤數據，破壞FLASH BIOS，用隨機數填充FLASH內存，導致機器無法運行。所以該病毒發作時僅會破壞可升級主板的FLASH BIOS。返回本節共七十七頁8.7.2恢復(huf)被CIH病毒破壞的硬盤信息1

32、修復硬盤分區表信息 2恢復C分區(fn q)上的數據 3查殺CIH病毒后的遺留問題 共七十七頁1修復(xif)硬盤分區表信息 1）準備一張無病毒的啟動盤，注意要根據原有操作系統及分區情況制作FAT16或FAT32的系統引導盤。2）把下載的VRVFIX.EXE文件拷入該引導盤，要確保還有足夠的剩余空間，并打開寫保護。3）用這張引導盤引導染毒的計算機（如果主板的BIOS已被CIH病毒破壞，可把硬盤拆下，拿到別的計算機上進行，也可先把主板BIOS修復好后再處理硬盤），運行VRVFIX.EXE，按Enter開始計算分區信息并自動恢復(huf)，當出現提示時，按Enter，直到出現“Make Partition Table ok”。4）至此，修復完成，用引導盤重新引導系統，除C盤以外的其他邏輯分區（D、E、F.）的數據已經修復，但仍然無法訪問C分區。共七十七頁2恢復C分區(fn q)上的數據 1）制作一張