1、第6章 微機(jī)軟件維護(hù)一、計(jì)算機(jī)病毒的特征二、計(jì)算機(jī)病毒的結(jié)構(gòu)三、計(jì)算機(jī)病毒的破壞現(xiàn)象第一節(jié) 計(jì)算機(jī)病毒四、計(jì)算機(jī)病毒分類1、引導(dǎo)型病毒2、文件型病毒 3、混合型病毒五、防范病毒反病毒技術(shù)包括防毒和殺毒兩個(gè)方面。不論防毒還是殺毒，首先必須識(shí)別病毒。各種病毒對(duì)文件的感染方式可能不相同，因此殺毒軟件必須具有辯認(rèn)病毒特征碼的功能，先查毒(即找到病毒的特征代碼)，然后按感染的逆過程操作尋求恢復(fù)文件的方法，也就是說(shuō)取得病毒的付本后，再編制出殺毒程序。防毒程序查出病毒后，告警并中止病毒的傳染和破壞，故防毒是以保護(hù)系統(tǒng)不受病毒感染為目的，而殺毒軟件是以感染后清除病毒為原則。 防毒與殺毒是反病毒的兩個(gè)方面，其原

2、則應(yīng)是“以防為主，殺毒為輔”。在現(xiàn)實(shí)中的“防”，應(yīng)理解為預(yù)防，它包括管理方法上的預(yù)防和技術(shù)上的預(yù)防。技術(shù)上的預(yù)防主要是研制新型智能的殺毒軟件，運(yùn)用多種手段來(lái)加強(qiáng)微機(jī)系統(tǒng)的防范能力。防范引導(dǎo)型病毒的依據(jù)防范文件型病毒的依據(jù)宏病毒近年來(lái)，一種新型的文件型病毒在Windows平臺(tái)上，通過軟盤、電子郵件、網(wǎng)絡(luò)共享途徑迅速、大量地傳播，破壞文字處理工具軟件的數(shù)據(jù)文件，給信息的安全帶來(lái)了很大的危害，上述病毒之所以稱為宏病毒是源于Word的宏功能。. 宏病毒的特點(diǎn). Word宏病毒的傳播機(jī)制. 宏病毒的分類. Word宏病毒的診斷. Word宏病毒清除與系統(tǒng)恢復(fù). 宏病毒的防治 CIH 病毒CIH病毒之所以

3、異乎尋常是因?yàn)楦淖兞巳藗冋J(rèn)為病毒只破壞程序和數(shù)據(jù)的傳統(tǒng)觀念，首次直接攻擊計(jì)算機(jī)BIOS，破壞計(jì)算機(jī)硬件系統(tǒng)。 從病毒本質(zhì)上看，CIH病毒仍是一段具有寄生性、傳染性的病毒程序，屬于文件型病毒，它主要感染W(wǎng)indows95/98下PE格式的執(zhí)行文件，不影響DOS、Windows 3.X以及Windows NT下的文件，CIH是第一個(gè)真正意義上的Windows95/98病毒。2、CIH病毒的傳染和破壞CIH病毒全長(zhǎng)只有1019個(gè)字節(jié)，病毒代碼分解為多個(gè)不同大小的碎塊，潛伏在文件內(nèi)部的不同部位，感染文件總長(zhǎng)度不變。CIH病毒發(fā)作時(shí)，將用零亂的信息覆蓋硬盤主引導(dǎo)區(qū)和系統(tǒng)Boot區(qū)，改寫硬盤數(shù)據(jù)，破壞Fl

4、ash ROM，導(dǎo)致機(jī)器無(wú)法運(yùn)行。在最壞的情況下，硬盤所有數(shù)據(jù)均被破壞。1.CIH病毒的防護(hù)(1)在每月26日或16日開機(jī)前，修改微機(jī)設(shè)置日期為其它日期；(2)備份主引導(dǎo)記錄和系統(tǒng)引導(dǎo)記錄；(3)將磁盤重要文件及數(shù)據(jù)備份在物理硬盤的第二個(gè)邏輯分區(qū)。CIH病毒并非十分可怕，從理論上講，CIH只能對(duì)少數(shù)類型的主板BIOS構(gòu)成威脅。這是因?yàn)锽IOS的軟件更新是通過直接寫端口實(shí)現(xiàn)的，不同主板的BIOS端口地址各不相同，目前出現(xiàn)的CIH病毒文件長(zhǎng)度只有1K，由于代碼多少的限制，還不可能存儲(chǔ)大量的主板的BIOS端口數(shù)據(jù)，以實(shí)現(xiàn)對(duì)不同主板的自動(dòng)識(shí)別，病毒制造者設(shè)計(jì)CIH病毒時(shí)，只可能根據(jù)某些主板的參數(shù)編寫，

5、因此只能攻擊少數(shù)幾種主板，對(duì)眾多類型的主板，大可不必草木皆兵。2.小結(jié)六、查毒殺毒的新認(rèn)識(shí)在查找和清除病毒時(shí)必須澄清，病毒出現(xiàn)在先，查毒、殺毒軟件編制在后，這是其一；其二是一種殺病毒軟件不可能查出所有病毒，它有其局域性、時(shí)間性。任何一種殺毒軟件，不可能查出現(xiàn)有的各種病毒；二則即使能找到，但能殺除的病毒也僅僅是所查到病毒數(shù)目的小部分。從維護(hù)的角度上講，重要數(shù)據(jù)的備份尤為重要，而這一點(diǎn)往往不被人們所注意。第二節(jié) 系統(tǒng)維護(hù)微機(jī)由硬件和軟件兩大部分組成，顯然分析微機(jī)的故障也應(yīng)該包括硬件和軟件兩個(gè)方面。1. 微機(jī)故障的分類一、微機(jī)故障2. 微機(jī)故障維修的原則(1)先外后內(nèi)(2)先軟后硬(3)先斷電后加電

6、3.檢修方法 微機(jī)故障的排除常采用觀察法、視聽覺檢查法、測(cè)量法和替換對(duì)比法。二、微機(jī)軟故障分析微機(jī)的軟故障可歸納為啟動(dòng)故障和運(yùn)行故障兩大類。（一）啟動(dòng)故障分析微機(jī)啟動(dòng)(又稱引導(dǎo))與硬盤的BIOS、硬盤主引導(dǎo)記錄、系統(tǒng)引導(dǎo)記錄和系統(tǒng)文件密切相關(guān)。上述環(huán)節(jié)中的某個(gè)部分或幾個(gè)部分出錯(cuò)，都會(huì)造成系統(tǒng)引導(dǎo)的失敗，特別是引導(dǎo)型病毒的入侵，更增加了硬盤軟件故障的出現(xiàn)率，硬盤中上述有關(guān)數(shù)據(jù)的備份，對(duì)引導(dǎo)失敗后的引導(dǎo)記錄、文件管理系統(tǒng)等數(shù)據(jù)的恢復(fù)十分有益。2微機(jī)開機(jī)啟動(dòng)軟故障分析（1）電源故障（2）加載主引導(dǎo)記錄錯(cuò)故障a. 無(wú)ROM Basic系統(tǒng)死機(jī)提示的故障分析b. 無(wú)效的分區(qū)表產(chǎn)生的故障分析c. 加載操作

7、系統(tǒng)出錯(cuò)故障分析d. 錯(cuò)誤的操作系統(tǒng)產(chǎn)生的故障分析（3）加載DOS引導(dǎo)記錄錯(cuò)故障分析a. 非系統(tǒng)盤錯(cuò)誤故障分析b. 磁盤引導(dǎo)失敗故障分析c. 命令程序錯(cuò)故障分析（二）微機(jī)運(yùn)行軟故障分析病毒感染后，系統(tǒng)出錯(cuò)死機(jī)；Windows 95的某些系統(tǒng)文件被應(yīng)用軟件的文件覆蓋后死機(jī)；修改軟件設(shè)置后，產(chǎn)生沖突而死機(jī)等；還有操作不當(dāng)，如誤刪除、誤覆蓋等都會(huì)造成死機(jī)故障。三、硬盤主引導(dǎo)記錄備份與恢復(fù)方法 (一) 糾錯(cuò)程序存取1. 主引導(dǎo)記錄的讀取方法2. 主引導(dǎo)記錄的備份 (二)從F文件中備份主引導(dǎo)程序和結(jié)束標(biāo)志1. 備份主引導(dǎo)程序方法(3)用KV300快速讀取主引導(dǎo)記錄及備份。a. KV300/Bb. KV3

8、00/K(4)CPAV軟件備份四、DOS引導(dǎo)記錄的備份與恢復(fù)1. 軟盤DBR的備份與恢復(fù)2. 硬盤DBR的備份與恢復(fù)五、文件分配表的讀出與修復(fù)FAT1表第一扇區(qū)的讀出方法Debug-L 200 0 1 1 ；讀A盤FAT1的第一個(gè)扇區(qū)-D200 3FF ；顯示此數(shù)據(jù)至屏幕上；若在DBR記錄中找到FAT所占扇區(qū)數(shù)為09H時(shí)，則FAT2表的第一個(gè)扇區(qū)的讀出方法為： -L 400 0 A 1 ；讀A盤FAT2表的第一個(gè)扇區(qū)六、FDT表的讀取和修復(fù)用Debug的L命令來(lái)讀取各邏輯盤的FDT表。DBR記錄中的BPB中有FAT表所占的扇區(qū)數(shù)(在偏移地址16H處)，根據(jù)FDT表第一個(gè)扇區(qū)所在的位置為該磁盤兩

9、個(gè)FAT表所占扇區(qū)數(shù)加1的計(jì)算方法如C盤的每個(gè)FAT表所占的扇區(qū)數(shù)為95H，按上述方法讀出FDT第一個(gè)扇區(qū)的文件目錄項(xiàng)。Debug-L 200 2 12B 1 ；讀FDT的第一個(gè)扇區(qū)-D 200 ；顯示FDT表第一扇區(qū)的16個(gè)文件目錄項(xiàng)七、提高微機(jī)啟動(dòng)速度和運(yùn)行速度(一) 優(yōu)化的CMOS設(shè)置 (二) 軟件設(shè)置第三節(jié) 數(shù)據(jù)維護(hù)導(dǎo)致磁盤上信息的丟失的原因有磁盤的物理?yè)p壞和邏輯損壞兩種。物理?yè)p壞：強(qiáng)烈的振動(dòng)、灰塵、強(qiáng)磁場(chǎng)的磁化和“劃傷”都能損壞磁盤，造成磁盤上數(shù)據(jù)的丟失，當(dāng)然也包括讀寫磁盤信息的硬件損壞使系統(tǒng)不能進(jìn)行讀寫操作。邏輯損壞：磁盤上的信息以磁映象的方式存儲(chǔ)，隨著時(shí)間的推移，這種映象的強(qiáng)度會(huì)

10、逐漸減弱，也就是定義扇區(qū)的格式由于磁盤材料外層的退化，使得操作系統(tǒng)不能辨認(rèn)，而更多的是由于誤操作(如誤格式化磁盤、存盤時(shí)掉電及執(zhí)行中斷調(diào)用程序等)及病毒的破壞，使得數(shù)據(jù)存放位置的信息丟失，操作系統(tǒng)找不到數(shù)據(jù)在磁盤上的具體存放位置而讀不出相應(yīng)的信息。一、數(shù)據(jù)遭受破壞的現(xiàn)象1、磁盤扇區(qū)的破壞2、格式標(biāo)記的破壞3、文件內(nèi)容的破壞4、計(jì)算機(jī)病毒的破壞5、文件目錄表項(xiàng)破壞6、目錄樹結(jié)構(gòu)的破壞7、文件分配表的破壞二、數(shù)據(jù)的恢復(fù)(一)文件誤刪除及恢復(fù)1、文件刪除的原理用戶使用Del和Erase命令刪除文件時(shí)，DOS只將FDT目錄項(xiàng)中的文件名的首字符改為“”(ASCII碼值為229)，而該文件相應(yīng)FAT的項(xiàng)值

11、全部置為00H，它并不真正清除文件中的數(shù)據(jù)，而只是在文件所在的FDT中遮蔽了該文件名的首字母，2、刪除文件的恢復(fù)(二)磁盤誤格式化的數(shù)據(jù)恢復(fù)高級(jí)格式化只是重新預(yù)置磁盤的系統(tǒng)區(qū)。高級(jí)格式化實(shí)際上只是清除了定位文件系統(tǒng)的FDT和FAT條目，不重寫磁盤的數(shù)據(jù)區(qū)，即不觸及到磁盤上的數(shù)據(jù)區(qū)，數(shù)據(jù)區(qū)的數(shù)據(jù)仍然是完好無(wú)損。1、反格式化實(shí)用程序的工作原理帶有可恢復(fù)系統(tǒng)數(shù)據(jù)功能的格式化程序格式化磁盤時(shí)，它會(huì)形成FDT、FAT的副本，這個(gè)副本以文件的形式存儲(chǔ)在硬盤數(shù)據(jù)區(qū)的特殊位置，然后把一個(gè)特殊標(biāo)志的扇區(qū)放在文件的始端。意外格式化后，執(zhí)行反格式化程序Unformat，該程序搜索帶特殊標(biāo)志的反格式文件，一旦找到，就

12、把這副本的內(nèi)容拷回由Format命令把它們刪除的扇區(qū)，這樣文件位置的信息得以恢復(fù)，通過這些信息，也就能找到每個(gè)文件，達(dá)到反格式化的目的。2、用映像文件實(shí)施反格式化(三)其它數(shù)據(jù)的恢復(fù)方法1、恢復(fù)孤簇2、帶有壞扇區(qū)文件的恢復(fù)第四節(jié) 同一硬盤中安裝多操作系統(tǒng)在計(jì)算機(jī)系統(tǒng)中，不同的操作系統(tǒng)有不同的文件管理格式，在一個(gè)邏輯盤中，沒有一種機(jī)制能完成不同操作系統(tǒng)文件管理格式的轉(zhuǎn)換，兩種或多種不同文件格式的操作系統(tǒng),不可能占用同一個(gè)邏輯盤，若能共存一個(gè)邏輯盤，則必定是可兼容的文件格式。一、同一硬盤中四個(gè)操作系統(tǒng)的設(shè)計(jì)本設(shè)計(jì)能劃分四個(gè)主分區(qū)，安裝四個(gè)（最多只能四個(gè)）不同且能分別啟動(dòng)的操作系統(tǒng)，供用戶選擇使用。

13、若想在微機(jī)硬盤上實(shí)現(xiàn)多種操作系統(tǒng)啟動(dòng)，按上述同一硬盤中兩個(gè)操作系統(tǒng)安裝的特殊分區(qū)方法，依次分出多個(gè)主分區(qū)，每分出一個(gè)主分區(qū)，分別裝入對(duì)應(yīng)的操作系統(tǒng)，不僅如此，還必須設(shè)計(jì)引導(dǎo)程序來(lái)完成多種操作系統(tǒng)的分別啟動(dòng)。（一）設(shè)計(jì)方案設(shè)計(jì)方案包括分出四個(gè)主分區(qū)，設(shè)計(jì)選擇菜單，設(shè)計(jì)新的引導(dǎo)程序三個(gè)方面。1、分出四個(gè)主分區(qū)2設(shè)計(jì)選擇菜單3、設(shè)計(jì)引導(dǎo)程序一、CMOS數(shù)據(jù)清除第五節(jié) CMOS數(shù)據(jù)維護(hù)CMOS數(shù)據(jù)清除的方法分硬件清除法和軟件清除法兩種。(一) CMOS RAM硬件放電方法1. 短路主板的CMOS清除插針2. 短接芯片引腳清除數(shù)據(jù) (二)軟件放電法軟件放電采用CMOS RAM的兩個(gè)端口：一個(gè)是地址端口，地址為70H；另一個(gè)是數(shù)據(jù)端口，地址為71H，可以采用對(duì)CMOS RAM的第10H(16)字節(jié)寫入0的方法來(lái)達(dá)到CMOS RAM數(shù)據(jù)的清除如下所示：Debug -O 70 10 -O 71 00 -Q二、微機(jī)CMOS數(shù)據(jù)錯(cuò)的故障分析微機(jī)CMOS RAM存放的重要信息一旦受到破壞，將影響微機(jī)的正常工作，甚至不能啟動(dòng)和死機(jī)。第六節(jié) Windows 95系統(tǒng)維護(hù)一、Windows 95光盤中的實(shí)用工具二、硬盤磁片整理三、注冊(cè)表的維護(hù)四、Windows 95系統(tǒng)硬盤的清理五、Windows 95文件的刪除與反刪除第七節(jié) Windows 98系統(tǒng)維護(hù)一、Wi