2006年12月19日

最近经常装卸软件阿,所以弄得系统不正常了,呵呵
解决方案如下:
把下面的代码放到记事本中去,改名为up.reg (其实文件名随意取都可以),然后双击这个up.reg,把这个内容加入到注册表中就可以了,呵呵

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\Unknown]
"AlwaysShowExt"=""
"QueryClassStore"=""

[HKEY_CLASSES_ROOT\Unknown\shell]
@="openas"

[HKEY_CLASSES_ROOT\Unknown\shell\openas]

[HKEY_CLASSES_ROOT\Unknown\shell\openas\command]
@=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,\
00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,72,00,75,00,\
6e,00,64,00,6c,00,6c,00,33,00,32,00,2e,00,65,00,78,00,65,00,20,00,25,00,53,\
00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,00,25,00,5c,00,73,00,\
79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,73,00,68,00,65,00,6c,00,6c,\
00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,4f,00,70,00,65,00,6e,00,41,00,\
73,00,5f,00,52,00,75,00,6e,00,44,00,4c,00,4c,00,20,00,25,00,31,00,00,00

2006年10月07日

  病毒名称:传奇终结者变种JBA(Trojan.PSW.Lmir.jba)

  病毒类型:通过网络传播的盗号木马

  病毒发作现象及危害:
  该病毒是一个可以在WIN9X/NT/2000/XP等操作系统上运行的盗号木马。病毒会强行终止多种杀毒软件的进程,使其不能正常运行。它会频繁检查“传奇”客户端的窗口,如果窗口存在,就会取得当前鼠标的位置,并记录键盘信息,最后把记录下来的信息发送到指定邮箱,从而窃取用户的游戏账号和密码等。

  这个病毒比较狠毒,手工清除较为复杂。请用户务必按照步骤严格操作,否则很可能出现无法清除干净的情况。建议一般用户最好使用杀毒软件来清除这个病毒。

  下面让我们来手工清理这个病毒

  一、准备工作

  打开“我的电脑”,点击上面“工具”,“文件夹选项”打开“查看”选项卡,去掉“隐藏受保护的操作系统文件”项前面的“对勾”并且选择“显示所有文件和文件夹”还有去掉“隐藏已知文件类型扩展名”项前面的“对勾”。

  把C:\WINDOWS\system32\下的CMD.EXE自制到“桌面”并重命名为“CMD.COM”

  Ctrl+Alt+Del打开“任务管理器”。点击菜单“查看”,“选择列”,在弹出的对话框中选择“PID(进程标识符)”,并点击“确定”。

  二、清理病毒

  重启电脑进入“安全模式”

  Ctrl+Alt+Del打开“任务管理器”,找到映象名称为“LSASS.exe”,并且用户名不是“SYSTEM”的一项,然后记下其PID号。

  回到“桌面”,鼠标右键打开CMD.COM,显示“命令控制台”窗口,输入“ntsd –c q -p PID号”,比如我的计算机上就输入“ntsd –c q -p 1464”然后回车。

  继续输入“notepad”回车,打开记事本;复制下面与自己系统对应的代码粘贴,然后“保存”,出现“另存为”对话框,在“保存类型”里选“所有文件”,然后输入文件名“ls.bat”

  2000系统:

attrib C:\Program Files\Common Files\INTEXPLORE.pif -s -h
attrib C:\Program Files\Internet Explorer\INTEXPLORE.com -s -h
attrib C:\WINNT\EXERT.exe -s -h
attrib C:\WINNT\IO.SYS.BAK -s -h
attrib C:\WINNT\LSASS.exe -s -h
attrib C:\WINNT\Debug\DebugProgram.exe -s -h
attrib C:\WINNT\system32\dxdiag.com -s -h
attrib C:\WINNT\system32\MSCONFIG.COM -s -h
attrib C:\WINNT\system32\regedit.com -s -h

del C:\Program Files\Common Files\INTEXPLORE.pif
del C:\Program Files\Internet Explorer\INTEXPLORE.com
del C:\WINNT\EXERT.exe
del C:\WINNT\IO.SYS.BAK 
del C:\WINNT\LSASS.exe 
del C:\WINNT\Debug\DebugProgram.exe 
del C:\WINNT\system32\dxdiag.com 
del C:\WINNT\system32\MSCONFIG.COM
del C:\WINNT\system32\regedit.com

  XP系统:

attrib C:\Program Files\Common Files\INTEXPLORE.pif -s -h
attrib C:\Program Files\Internet Explorer\INTEXPLORE.com -s -h
attrib C:\WINDOWS\EXERT.exe -s -h
attrib C:\WINDOWS\IO.SYS.BAK -s -h
attrib C:\WINDOWS\LSASS.exe -s -h
attrib C:\WINDOWS\Debug\DebugProgram.exe -s -h
attrib C:\WINDOWS\system32\dxdiag.com -s -h
attrib C:\WINDOWS\system32\MSCONFIG.COM -s -h
attrib C:\WINDOWS\system32\regedit.com -s -h

del C:\Program Files\Common Files\INTEXPLORE.pif
del C:\Program Files\Internet Explorer\INTEXPLORE.com
del C:\WINDOWS\EXERT.exe
del C:\WINDOWS\IO.SYS.BAK 
del C:\WINDOWS\LSASS.exe 
del C:\WINDOWS\Debug\DebugProgram.exe 
del C:\WINDOWS\system32\dxdiag.com 
del C:\WINDOWS\system32\MSCONFIG.COM
del C:\WINDOWS\system32\regedit.com

  保存并运行这个bat文件,即可删除病毒文件。

  如果硬盘有其他分区(如:D盘、E盘等),则在其他分区上点击鼠标右键,选择“打开”。删除掉该分区根目录下的“Autorun.inf”和“command.com”文件

  三、修复注册表

  删除HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里含有EXERT、LSASS字符的项

  将HKEY_CLASSES_ROOT\.exe的默认值修改为"exefile"(原来是windowsfile)

  将HKEY_CLASSES_ROOT\Applications\iexplore.exe\shell\open\command的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"(原来是intexplore.com)

  将HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command 的默认值修改为"C:\Program Files\Internet Explorer\IEXPLORE.EXE"(原来是INTEXPLORE.com)

  将HKEY_CLASSES_ROOT\ftp\shell\open\command和HKEY_CLASSES_ROOT\htmlfile\shell\opennew\command的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" %1"(原来的值分别是INTEXPLORE.com和INTEXPLORE.pif)

  将HKEY_CLASSES_ROOT\htmlfile\shell\open\command和HKEY_CLASSES_ROOT\HTTP\shell\open\command的默认值修改为"C:\Program Files\Internet Explorer\iexplore.exe" –nohome”

  将HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet的默认值修改为"IEXPLORE.EXE".(原来是INTEXPLORE.pif)

  至此病毒清除成功,你也来体验一下吧!

  发现好多人都在访问这个页面,看来传播的很历害,今天看到木马杀客已经出来了专杀工具,另外木马杀客是一款不错的防黑工具,而且是免费的,大家可以试试。

  木马杀客网站:http://www.mmsk.cn/

  专杀下载:http://www.mmsk.cn/down/lxzs.rar

最新发现:

这个木马可能会释放出QQ尾巴msinfo.rx是在C:\Program Files\Common Files\microsoft shared\msinfo\内,是隐藏文件,启动QQ后会加载到QQ.exe、TIMPlatform.exe线程内,可在安全模式下删除。另C:\Program Files\Internet Explorer\PLUGINS内也会生成systme.sys木马文件,安全模式下可删除!这是在清理同事机器时发现的,是否和“落雪”关联,还不清楚,大家要注意下。

修复后不能打开IE的,看lhb提供的方法:

桌面上的IE图标双击出现打开对话框是因为Windows找不到目标文件,将下面的内容保存为IECtlFix.reg后导入注册表后马上就好了(如果你的IE不在下面指定的默认路径,你需要指定你机器上的IE路径)。

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command]
@="\"C:\\Program Files\\Internet Explorer\\iexplore.EXE\""

  同事的机器种病毒了,我检查了一下,发现进程里多出一个大写的WINLOGON,是在winnt目录下的,而正常情况下,这个进程应该是在winnt/system32目录下的,看来一定有鬼。

  又查了下注册表的启动项,里面果然有个异常的Torjan pragramme,可以换到安全模试下删除后,重启又会出现,看来这个东西不简单。

  上网搜了下,原来是个叫“落雪”的病毒,好美的名字啊。

  下面把搜到的解决方法分享下:

这个进程是不是一个传奇世界程序的图标使用51破解版传家宝会生产一个WINLOGON.EXE进程,正常的winlogon系统进程,其用户名为“SYSTEM” 程序名为小写winlogon.exe。而伪装成该进程的木马程序其用户名为当前系统用户名,且程序名为大写的WINLOGON.exe。进程查看方式 ctrl+alt+del 然后选择进程。正常情况下有且只有一个winlogon.exe进程,其用户名为“SYSTEM”。如果出现了两个winlogon.exe,且其中一个为大写,用户名为当前系统用户的话,表明可能存在木马。

这个木马非常厉害,能破坏掉木马克星,使其不能正常运行。目前我使用其他杀毒软件未能查出。那个WINDOWS下的WINLOGON.EXE确实是病毒,但是,她不过是这个病毒中的小角色而已,大家打开D盘看看是否有一个pagefile的DOS指向文件和一个autorun.inf文件了,呵呵,当然都是隐藏的,删这几个没用的,因为她关联了很多东西,甚至在安全模式都难搞,只要运行任何程序,或者双击打开D盘,她就会重新被安装了,呵呵,这段时间很多人被盗就是因为这个破解的传家宝了,而且杀毒软件查不出来,有人叫这个病毒为 ”落雪“ 是专门盗传奇传奇世界的木马,至于会不会盗其他帐号如QQ,网银 就看她高兴了,呵呵,估计也都是一并录制。不怕毒和要减少损失的最好开启防火墙阻止除了自己信任的几个常用任务出门,其他的全部阻挡,当然大家最好尽快备份,然后关门杀毒包括方新等修改过的51pywg传家宝,和他们破解的其他一切外挂,这次嫌疑最大的是51PYWG,至于其他合作网站估计也逃不了关系,特别是方新网站,已经被证实过多次在网站放木马,虽然他解释是被黑了,但是不能排除其他可能,特别小心那些启动后连接网站的外挂,不排除启动器本身就有毒,反正一句话,这种启动就连接某网站的破解软件最容易放毒,至于什么时候放,怎么方,比如一天放几个小时,都要看他怎么爽,用也尽量用那种完全本地破解验证版的,虽然挂盟现在好像还没发现被放马或者自己放,但是千万小心,,最近传奇世界传奇N多人被盗号,目标直指这些网站,以下是最近特别毒的WINLOGON.EXE盗号病毒清除方法,注意这个假的WINLOGON.EXE是在WINDOWS下,进程里头表现为当前用户或ADMINISTRATOR.另外一个 SYSTEM的winlogon.exe是正常的,那个千万不要乱删,看清楚了,前面一个是大写,后面一个是小写,而且经部分网友证实,此文件连接目的地为河南。

  解决“落雪”病毒的方法

症状:D盘双击打不开,里面有autorun.inf和pagefile.com文件
做这个病毒的人也太强了,在安全模式用Administrator一样解决不了!经过一个下午的奋战才算勉强解决。 我没用什么查杀木马的软件,全是手动一个一个把它揪出来把他删掉的。它所关联的文件如下,绝大多数文件都是显示为系统文件和隐藏的。 所以要在文件夹选项里打开显示隐藏文件。
D盘里就两个,搞得你无法双击打开D盘。C盘里盘里的就多了!
D:\autorun.inf
D:\pagefile.com
C:\Program Files\Internet Explorer\iexplore.com
C:\Program Files\Common Files\iexplore.com
C:\WINDOWS\1.com
C:\WINDOWS\iexplore.com
C:\WINDOWS\finder.com
C:\WINDOWS\Exeroud.exe(忘了是不是这个名字了,红色图标有传奇世界图标的)
C:\WINDOWS\Debug\*** Programme.exe(也是上面那个图标,名字忘了-_- 好大好明显非隐藏的)
C:\Windows\system32\command.com 这个不要轻易删,看看是不是和下面几个日期不一样而和其他文件日期一样,如果和其他文件大部分系统文件日期一样就不能删,当然系统文件肯定不是这段时间的。
C:\Windows\system32\msconfig.com
C:\Windows\system32\regedit.com
C:\Windows\system32\dxdiag.com
C:\Windows\system32\rundll32.com
C:\Windows\system32\finder.com
C:\Windows\system32\a.exe
对了,看看这些文件的日期,看看其他地方还有没有相同时间的文件还是.COM结尾的可疑文件,小心不要运行任何程序,要不就又启动了,包括双击磁盘,还有一个头号文件!WINLOGON.EXE!做了这么多工作目的就是要干掉她!!!
C:\Windows\WINLOGON.EXE
这个在进程里可以看得到,有两个,一个是真的,一个是假的。
真的是小写winlogon.exe,(不知你们的是不是),用户名是SYSTEM,
而假的是大写的WINLOGON.EXE,用户名是你自己的用户名。
这个文件在进程里是中止不了的,说是关键进程无法中止,搞得跟真的一样!就连在安全模式下它都会
呆在你的进程里! 我现在所知道的就这些,要是不放心,就最好看一下其中一个文件的修改日期,然后用“搜索”搜这天修改过的文件,相同时间的肯定会出来一大堆的, 连系统还原夹里都有!! 这些文件会自己关联的,要是你删了一部分,不小心运行了一个,或在开始-运行里运行msocnfig,command,regedit这些命令,所有的这些文件全会自己补充回来!
知道了这些文件,首先关闭可以关闭的所有程序,打开程序附件里头的WINDOWS资源管理器,并在上面的工具里头的文件夹选项里头的查看里设置显示所有文件和文件假,取消隐藏受保护操作系统文件,然后打开开始菜单的运行,输入命令 regedit,进注册表,到
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
里面,有一个Torjan pragramme,这个明摆着“我是木马”,删!!
然后注销! 重新进入系统后,打开“任务管理器”,看看有没rundll32,有的话先中止了,不知这个是真还是假,小心为好。 到D盘(注意不要双击进入!否则又会激活这个病毒)右键,选“打开”,把autorun.inf和pagefile.com删掉,
然后再到C盘把上面所列出来的文件都删掉!中途注意不要双击到其中一个文件,否则所有步骤都要重新来过! 然后再注销。
我在奋战过程中,把那些文件删掉后,所有的exe文件全都打不开了,运行cmd也不行。
然后,到C:\Windows\system32 里,把cmd.exe文件复制出来,比如到桌面,改名成cmd.com 嘿嘿 我也会用com文件,然后双击这个COM文件
然后行动可以进入到DOS下的命令提示符。
再打入以下的命令:
assoc .exe=exefile (assoc与.exe之间有空格)
ftype exefile="%1" %*
这样exe文件就可以运行了。 如果不会打命令,只要打开CMD.COM后复制上面的两行分两次粘贴上去执行就可以了。
但我在弄完这些之后,在开机的进入用户时会有些慢,并会跳出一个警告框,说文件"1"找不到。(应该是Windows下的1.com文件。),最后用上网助手之类的软件全面修复IE设置
最后说一下怎么解决开机跳出找不到文件“1.com”的方法:
在运行程序中运行“regedit”,打开注册表,在[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]中
把"Shell"="Explorer.exe 1"恢复为"Shell"="Explorer.exe"
大功告成!大家分享一下吧!

  对于我们经常使用的windows 2000/xp这里边有许多服务,那么这些服务都是干什么的呢?我们需要哪些?不需要哪些?在此我向大家做一个介绍。

  Win32服务程序由3部分组成:服务应用程序,服务控制程序和服务控制管理器。其中服务控制管理器维护着注册表中的服务数据,服务控制程序则是控制服务应用程序的模块,是控制服务应用程序同服务管理器之间的桥梁。服务应用程序是服务程序的主体程序,他是一个或者多个服务的可执行代码。我们可以在控制面板–管理工具–服务中找到。可以修改他们的当前状态和启动方式,它的启动方式有三种:"自动"是之当计算机启动或者需要的时候就开启。"手动"是可以在命令提示符中通过"net start"命令打开和"net stop"命令关闭的,"已禁止"是指在改变启动方式前,不在启动。

  在众多服务程序中他们很多是互相依存的,所以我们不能随便的便停止某项服务,否则很可能造成系统的非正常情况出现,但是有的服务对我们来说的确没有什么作用,而且还占据着我们宝贵的系统资源,其实有很多程序是我们用不到的,可以关闭,从而达到节省资源的目的。

  Alert(警报器)
  通知选取的使用者及计算机系统管理警示。如果停止这个服务,使用系统管理警示的程序将不会收到通知。所有依存于它的服务将无法启动。一般家用计算机根本不需要传送或接收计算机系统管理来的警示(Administrative Alerts),除非你的计算机用在局域网络上
  依存:Workstation
  建议:停用

  Application Layer Gateway Service
  提供因特网联机共享和因特网联机防火墙的第三方通讯协议插件的支持如果你不使用因特网联机共享 (ICS) 提供多台计算机的因特网存取和因特网联机防火墙 (ICF) 软件你可以关掉
  依存:Internt Connection Firewall (ICF) / Internet Connection Sharing (ICS)
  建议:停用

  Application Management (应用程序管理)
  从win2000开始引入的一种基于msi文件格式的全新有效软件管理方案–应用程序管理组件服务,不仅可可以管理软件的安装、删除,还可以使用此服务修改、修复现有应用程序,监视文件复原并通过复原排除基本故障等。
  建议:手动

Automatic Updates
  启用重要 Windows 更新的下载及安装。如果停用此服务,可以手动的从 Windows Update 网站上更新操作系统。允许 Windows 于背景自动联机之下,到 Microsoft Servers 自动检查和下载更新修补程序
  建议:停用

  Background Intelligent Transfer Service
  使用闲置的网络频宽来传输数据。 经由 Via HTTP1.1 在背景传输资料的东西,例如 Windows Update 就是以此为工作之一
  依存:Remote Procedure Call (RPC) 和 Workstation
  建议:停用

  ClipBook (剪贴簿)
  启用剪贴簿检视器以储存信息并与远程计算机共享。如果这个服务被停止,剪贴簿检视器将无法与远程计算机共享信息。任何明确依存于它的服务将无法启动。 把剪贴簿内的信息和其它台计算机分享,一般家用计算机根本用不到
  依存:Network DDE
  建议:停用

  COM+ Event System (COM+ 事件系统)
  支持"系统事件通知服务 (SENS)",它可让事件自动分散到COM 组件。如果服务被停止,SENS 会关闭,并无法提供登入及注销通知,任何明显依存它的服务都无法启动。有些程序可能用到 COM+ 组件,像 BootVis 的 optimize system 应用,如事件检查内显示的 DCOM 没有启用
  依存:Remote Procedure Call (RPC) 和 System Event Notification
  建议:手动

  COM+ System Application
  管理 COM+ 组件的设定及追踪。如果停止此服务,大部分的 COM+ 组件将无法顺利运行。任何明确依存它的服务将无法启动。如事件检查内显示的 DCOM 没有启用
  依存:Remote Procedure Call (RPC)
  建议:手动

  Computer Browser (计算机浏览器)
  维护网络上更新的计算机清单,并将这个清单提供给做为浏览器的计算机。如果停止这个服务,这个清单将不会被更新或维护。如果停用这个服务,所有依存于它的服务将无法启动。 一般家庭用计算机不需要,除非你的计算机应用在局域网之上,不过在大型的局域网上有必要开这个拖慢速度吗?
  依存:Server 和 Workstation
  建议:停用

  Cryptographic Services
  提供三个管理服务: 确认 Windows 文件认证的; 从这个计算机新增及移除受信任根证认证授权凭证的; 以及协助注册这个计算机以取得凭证的 。如果这个服务被停止,这些管理服务将无法正确工作。任何明确依存于它的服务将无法启动。简单的说就是 Windows Hardware Quality Lab (WHQL)微软的一种认证,如果你有使用 Automatic Updates ,那你可能需要这个
  依存:Remote Procedure Call (RPC)
  建议:手动

  DHCP Client (DHCP 客户端)
  透过登录及更新 IP 地址和 DNS 名称来管理网络设定。使用 DSL/Cable 、ICS 和 IPSEC 的人都需要这个来指定动态 IP,如果系统不在任何网络之中,或者网络中没有DHCp服务,那么可以设置为停用。
  依存:AFD 网络支持环境、NetBT、SYMTDI、TCP/IP Protocol Driver 和 NetBios over TCP/IP
  建议:手动

  Distributed Link Tracking Client (分布式连结追踪客户端)
  维护计算机中或网络内不同计算机中 NTFS 档案间的连结。对于绝大多数用户来说,形同虚设,可以关闭,特殊用户除外。
  依存:Remote Procedure Call (RPC)
  建议:停用

  Distributed Transaction Coordinator (分布式交换协调器)
  协调跨越多个资源管理员的信息交换,比如数据库、消息队列及档案系统。如果此服务被停止,这些交易将不会发生。任何明显依存它的服务将无法启动。如上所说的,一般家庭用计算机用不太到,除非你启用的 Message Queuing
  依存:Remote Procedure Call (RPC) 和 Security Accounts Manager
  建议:停用

  DNS Client (DNS 客户端)
  解析并快速取得这台计算机的域名系统 (DNS) 名称。如果停止这个服务,这台计算机将无法解析 DNS 名称并寻找 Active Directory 网域控制站的位置。所有依存于它的服务将无法启动。 如上所说的,另外 IPSEC 需要用到
  依存:TCP/IP Protocol Driver
  建议:手动

  Error Reporting Service
  允许对执行于非标准环境中的服务和应用程序的错误报告。微软的应用程序错误报告服务,对于大多数用户来说也没什么用处,对于盗版用户来说更没什么用处,建议停用。
  依存:Remote Procedure Call (RPC)
  建议:停用

Event Log (事件记录文件)
  启用 Windows 为主的程序和组件所发出的事件讯息可以在事件检视器中检视。这个服务不能被停止。允许事件讯息显示在事件检视器之上。
  依存:Windows Management Instrumentation
  建议:自动

  Fast User Switching Compatibility
  在多使用者环境下提供应用程序管理。另外像是注销画面中的切换使用者功能,一般建议不要停止,否则很多功能无法实现。
  依存:Terminal Services
  建议:手动

  Help and Support
  微软提供的可以支持说明和帮助文件的服务。如果这个服务停止,将无法使用说明及支持中心。它的所有依存服务将无法启动。 如果不使用就关了吧,现实中证明没有多少人需要它,除非有特别需求,否则建议停用。
  依存:Remote Procedure Call (RPC)
  建议:停用

  Human Interface Device Access
  启用对人体工程学接口装置 (HID) 的通用输入存取,HID 装置启动并维护对这个键盘、远程控制、以及其它多媒体装置上事先定义的快捷纽的使用。如果这个服务被停止,这个服务控制的快捷纽将不再起作用,任何明确依存于它的服务将无法启动。如果没有什么HID装置,可以停用
  依存:Remote Procedure Call (RPC)
  建议:手动

  IMAPI CD-Burning COM Service
  使用 Image Mastering Applications Programming Interface (IMAPI) 来管理光盘刻录。如果这个服务被停止,这个计算机将无法刻录光盘。任何明确地依赖它的服务将无法启动。 XP 整合的 CD-R 和 CD-RW 光驱上拖放的烧录功能,可惜比不上烧录软件,关掉还可以加快 Nero 的开启速度,如果不习惯使用第三方软件,请保留。
  建议:停用

  Indexing Service (索引服务)
  本机和远程计算机的索引内容和档案属性; 透过弹性的查询语言提供快速档案存取。 简单的说可以让你加快搜查速度,不过我想应该很少人和远程计算机作搜寻吧,除非特殊工作
  依存:Remote Procedure Call (RPC)
  建议:停用

  Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
  为您的家用网络或小型办公室网络提供网络地址转译、寻址及名称解析服务和防止干扰的服务。如果你不使用因特网联机共享(ICS)或是 XP 内含的因特网联机防火墙(ICF)你可以关掉
  依存:Application Layer Gateway Service、Network Connections、Network Location Awareness(NLA)、Remote Access Connection Manager
  建议:停用

  IPSEC Services (IP 安全性服务)
  管理 IP 安全性原则并启动 ISAKMP/Oakley (IKE) 及 IP 安全性驱动程序。协助保护经由网络传送的数据。IPSec 为一重要环节,为虚拟私人网络 (VPN) 中提供安全性,而 VPN 允许组织经由因特网安全地传输数据。在某些网域上也许需要,但是一般使用者大部分是不太需要的
  依存:IPSEC driver、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
  建议:手动

  Logical Disk Manager (逻辑磁盘管理员)
  侦测及监视新硬盘磁盘,以及传送磁盘区信息到逻辑磁盘管理系统管理服务以供设定。如果这个服务被停止,动态磁盘状态和设定信息可能会过时。任何明确依存于它的服务将无法启动。磁盘管理员用来动态管理磁盘,如显示磁盘可用空间等和使用 Microsoft Management Console(MMC)主控台的功能
  依存:Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager Administrative Service
  建议:自动

  Logical Disk Manager Administrative Service (逻辑磁盘管理员系统管理服务)
  设定硬盘磁盘及磁盘区,服务只执行设定程序然后就停止。使用 Microsoft Management Console(MMC)主控台的功能时才用到
  依存:Plug and Play、Remote Procedure Call (RPC)、Logical Disk Manager
  建议:手动

  Messenger (信使服务)
  在客户端及服务器之间传输网络传送及 "Alerter]"服务短信。这个服务与 Windows Messenger 无关。如果停止这个服务,Alerter 讯息将不会被传输。所有依存于它的服务将无法启动。比如网络之间互相传送提示信息的功能,net send 功能,如不想被骚扰话可关了。
  依存:NetBIOS Interface、Plug and Play、Remote Procedure Call (RPC)、Workstation
  建议:停用

  MS Software Shadow Copy Provider
  管理磁盘区阴影复制服务所取得的以软件为主的磁盘区阴影复制。如果停止这个服务,就无法管理以软件为主的磁盘区阴影复制。任何明确依存于它的服务将无法启动。如上所说的,用来备份的东西,如 MS Backup 程序就需要这个服务,但是大多数人用不到这个功能。
  依存:Remote Procedure Call (RPC)
  建议:停用

Net Logon
  支持网络上计算机的账户登入事件的 pass-through 验证。一般家用计算机不太可能去用到登入网络审查这个服务。
  依存:Workstation
  建议:停用

  NetMeeting Remote Desktop Sharing (NetMeeting 远程桌面共享)
  让经过授权的使用者可以使用 NetMeeting 透过公司近端内部网络,由远程访问这部计算机。如果这项服务停止的话,远程桌面共享功能将无法使用。任何依赖它的服务将无法启动。 如上说的,让使用者可以将计算机的控制权分享予网络上或因特网上的其它使用者,如果你重视安全性不想多开后门,就关了吧。
  建议:停用

  Network Connections (网络连接)
  管理在网络和拨号连接数据夹中的对象,您可以在此数据夹中检视局域网络和远程连接。控制你的网络连接
  依存:Remote Procedure Call (RPC)、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
  建议:手动

  Network DDE (网络 DDE)
  为动态数据交换 (DDE) 对在相同或不同计算机上执行的程序提供网络传输和安全性。如果这个服务被停止,DDE 传输和安全性将无法使用。任何明确依存于它的服务将无法启动。 一般人好像用不到
  依存:Network DDE DSDM、ClipBook
  建议:停用

  Network DDE DSDM (网络 DDE DSDM)
  信息动态数据交换 (DDE) 网络共享。如果这个服务被停止,DDE 网络共享将无法使用。任何明确依存于它的服务将无法启动。 一般人好像用不到
  依存:Network DDE
  建议:停用

  Network Location Awareness (NLA)
  收集并存放网络设定和位置信息,并且在这个信息变更时通知应用程序。 如果不使用 ICF 和 ICS 可以关了它
  依存:AFD网络支持环境、TCP/IP Procotol Driver、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)
  建议:停用

  NT LM Security Support Provider (NTLM 安全性支持提供者)
  为没有使用命名管道传输的远程过程调用 (RPC) 程序提供安全性。如果不使用 Message Queuing 或是 Telnet Server 那就关了它,一般用户也用不上。
  依存:Telnet
  建议:停用

  Performance Logs and Alerts (性能记录文件及警示)
  基于事先设定的参数,从本机或远程计算机收集性能数据,然后将数据写入记录中。如果这个服务被停止,将不会收集性能信息。任何明确依存于它的服务将无法启动。 没什么价值的服务。
  建议:停用

  Plug and Play (即插即用)
  启用计算机以使用者没有或很少的输入来识别及适应硬件变更,停止或停用这个服务将导致系统不稳定。 顾名思义就是 PNP 环境,一般计算机中都需要PNP环境的支持,所以不要关闭。
  依存:Logical Disk Manager、Logical Disk Manager Administrative Service、Messenger、Smart Card、Telephony、Windows Audio
  建议:自动

  Portable Media Serial Number
  Retrieves the serial number of any portable music player connected to your computer透过联网计算机重新取得音乐拨放序号,这个东西没什么价值,别考虑关掉吧!
  建议:停用

  Print Spooler (打印多任务缓冲处理器)
  将档案加载内存中以待稍后打印。可以优化打印,对于打印功能有一定的帮助,如果没有打印机,可以关了。
  依存:Remote Procedure Call (RPC)
  建议:停用

  Protected Storage (受保护的存放装置)
  提供受保护的存放区,来储存重要数据,防止未授权的服务、处理、或使用者进行存取。 用来储存你计算机上密码的服务,像 Outlook、拨号程序、其它应用程序等等
  依存:Remote Procedure Call (RPC)
  建议:自动

  QoS RSVP (QoS 许可控制,RSVP)
  提供网络讯号及区域流量控制安装功能给可识别 QoS 的程序和控制小程序项。用来保留 20% 带宽的服务,如果你的网卡不支持 802.1p 或在你计算机的网络上没有 ACS server ,那么不用多说,关了它。
  依存:AFD网络支持环境、TCP/IP Procotol Driver、Remote Procedure Call (RPC)
  建议:停用

Remote Access Auto Connection Manager (远程访问自动联机管理员)
  当程序参照到远程 DNS 或 NetBIOS 名称或地址时,建立远程网络的联接。有些 DSL/Cable 供应商,可能需要用此来处理登入程序
  依存:Remote Access Connection Manager、Telephony
  建议:手动

  Remote Access Connection Manager (远程访问联接管理员)
  建立网络联接,顾名思义,在网络连接中占有很重要的意义,当然如果不使用网络,可以关闭。
  依存:Telephony、Internet Connection Firewall (ICF) / Internet Connection Sharing (ICS)、Remote Access Auto Connection Manager
  建议:手动

  Remote Desktop Help Session Manager
  管理并控制远程协助。如果此服务停止的话,远程协助将无法使用。停止此服务之前,请先参阅内容对话框中的 "依存性"标签。 如上说的管理和控制远程协助,对于普通用户来说,这个根本就用不着,可以关闭
  依存:Remote Procedure Call (RPC)
  建议:停用

  Remote Procedure Call (RPC) (远程过程调用,RPC)
  提供结束点对应程序以及其它 RPC 服务。 很多程序设备都需要用到该服务,很复杂的依存性,所以除非高级用户,否则别关闭。
  依存:太多了,本人限于篇幅不能一一枚举。
  建议:自动

  Remote Procedure Call (RPC) Locator (远程过程调用定位程序)
  管理 RPC 名称服务数据库。在一般计算机上很少用到,没什么特殊要求,可以尝试关了
  依存:Workstation
  建议:停用

  Remote Registry (远程登录服务)
  启用远程服务来对远程计算机进行操作。如果这个服务被停止,登录只能由这个计算机上的使用者修改。任何明确依存于它的服务将无法启动。 基于安全性的理由,如果没有特别的需求,建议最好关了它,除非你需要远程协助修改你的登录设定。
  依存:Remote Procedure Call (RPC)
  建议:停用

  Removable Storage (卸除式存放装置)
  除非你有 Zip 磁盘驱动器或是 USB 之类移动式的硬件或是 Tape 备份装置,不然可以尝试关了,现在的这方面的设备很多,建议保留
  依存:Remote Procedure Call (RPC)
  建议:自动

  Routing and Remote Access (路由和远程访问)
  提供连到局域网及广域网的公司的路由服务。提供拨号联机到网络或是 VPN 服务,一般用户用不到,可以关闭
  依存:Remote Procedure Call (RPC)、NetBIOSGroup
  建议:停用

  Secondary Logon
  启用在其它认证下的起始程序。如果这个服务被停止,这类的登入存取将无法使用。任何明确依存于它的服务将无法启动。允许多个用户处理程序,执行分身等
  建议:自动

  Security Accounts Manager (安全性账户管理员)
  储存本机账户的安全性信息。管理账号和群组原则(gpedit.msc)应用,虽然很多人不太了解它,但是作用不小。
  依存:Remote Procedure Call (RPC)、Distributed Transaction Coordinator
  建议:自动

  Server (服务器)
  透过网络为这台计算机提供档案、打印、及命名管道的共享。如果停止这个服务,将无法使用这些功能。所有依存于它的服务将无法启动。简单的说就是档案和打印的共享,除非你有和其它计算机共享,不然就关了
  依存:Computer Browser
  建议:停用

  Shell Hardware Detection
  为自动播放硬件事件提供通知。一般使用在移动存储或是CD装置、DVD装置上,这是个比较烦的东西,可以尝试关闭。
  依存:Remote Procedure Call (RPC)
  建议:停用

Smart Card
  管理这个计算机所读取智能卡的存取。如果这个服务被停止,这个计算机将无法读取智能卡。任何明确依存于它的服务将无法启动。 如果你不使用 Smart Card ,那就可以关了
  依存:Plug and Play
  建议:停用

  Smart Card Helper (智能卡协助程序)
  启用对计算机使用的旧版非即插即用智能卡读取的支持。如果这个服务被停止,这个计算机将不支持旧版smart card。任何明确依存于它的服务将无法启动。 如果你不使用 Smart Card ,那就可以关了
  建议:停用

  SSDP Discovery Service
  在您的家用网络上启用通用即插即用设备的搜索。通用即插即用服务 (Universal Plug and Play, UPnP) 让计算机可以找到并使用网络上的装置,经由网络连接通过 TCP/IP 来搜索装置,像网络上的扫瞄器、数字相机或是打印机,都是使用 UPnP 的功能,基于安全性没用到的大可关了。不过现在数码设备很流行,需要的用户可以保留
  依存:Universal Plug and Play Device Host
  建议:停用

  System Event Notification (系统事件通知)
  追踪诸如 Windows 登入、网络、和电源事件的系统事件。通知这些事件的 COM+ 事件系统订阅者。对于服务器尤其重要。
  依存:COM+ Event System
  建议:自动

  System Restore Service
  执行系统还原功能。若要停止服务,从我的电脑–属性–系统还原 中关闭系统还原因人而定,本人觉得比较浪费资源,可以关掉。
  依存:Remote Procedure Call (RPC)
  建议:停用

  Task Scheduler
  让用户能够在这个计算机上设定自动的工作的计划,并执行。如果停止这个服务,这些工作在它们设定的时间时将不会执行。任何明确依存于它的服务将无法启动。设定自动的工作计划,像一些定时磁盘扫瞄、病毒定时扫瞄、更新等等,但是一般都很少用,可以关闭
  依存:Remote Procedure Call (RPC)
  建议:手动

  TCP/IP NetBIOS Helper (TCP/IP NetBIOS 协助程序)
  启用NetBIOS over TCP/IP (NetBT)]服务及NetBIOS名称解析的支持。如果你的网络不使用 NetBios或是WINS,你大可关闭,对于不太了解网络情况的用户建议保留,否则可能导致你的网络出现问题。
  依存:AFD 网络支持环境、NetBt
  建议:停用

  Telephony (电话语音)
  为本机及经由局域网络连接到正在执行此服务的服务器,控制电话语音装置和 IP 语音连接的服务,提供电话语音 API (TAPI) 支持。一般的拨号调制解调器或是一些 DSL/Cable 可能用到
  依存:Plug and Play、Remote Procedure Call (RPC)、Remote Access Connection Manager、Remote Access Auto Connection Manager
  建议:手动

  Telnet
  启用一个远程使用者来登入到这台计算机和执行应用程序,以及支持各种 TCP/IP Telnet 客户端,包含以UNIX为基本和以 Windows 为基本的计算机。如果服务停止了,远程使用者可能无法存取应用程序。任何明确地依存于这项服务的其它服务将会启动失败。允许远程用户用 Telnet 登入本计算机,一般人会误解关了就无法使用BBS,这其实和BBS无关,基于安全性的理由,如果没有特别的需求,建议最好关了
  依存:NT LM Security Support Provider、Remote Procedure Call (RPC)、TCP/IP Protocol Driver
  建议:停用

  Terminal Services (终端服务)
  允许多位使用者连接到同一部计算机、桌面及到远程计算机的应用程序。远程桌面的加强 (包含系统管理员的 RD)、快速切换使用者、远程协助和终端机服务器。远程桌面或是远程协助的功能,不需要就关了,目前该服务也导致了很多网络服务器的安全性问题。
  依存:Remote Procedure Call (RPC)、Fast User Switching Compatibility、InteractiveLogon
  建议:停用

  Themes
  提供使用者主题管理。 很多人使用布景主题,打造个性化的系统,不过如果没有使用的人,那就可以关闭。
  建议:自动

  Uninterruptible Power Supply (不断电供电系统)
  管理连接到这台计算机的不间断电源供应 (UPS)。不间断电源供应 (UPS)一般人有用到吗?除非你的电源供应器有具备此功能,不然就关了
  建议:停用

  Universal Plug and Play Device Host
  提供主机通用即插即用装置的支持。用来侦测安装通用即插即用服务 (Universal Plug and Play, UPnP)装置,像是数字相机或打印机,现在很多设备都需要这个。
  依存:SSDP Discovery Service
  建议:自动

Volume Shadow Copy
  管理及执行用于备份和其它目的的磁盘镜像复制。如果这个服务被停止,镜像复制将无法用于备份,备份可能会失败。任何明确依存于它的服务将无法启动。如上所说的,用来备份的东西,如 MS Backup 程序就需要这个服务
  依存:Remote Procedure Call (RPC)
  建议:停用

  WebClient
  启用 Windows 为主的程序来建立、存取,以及修改因特网为主的文件。如果停止这个服务,这些功能将无法使用。任何明确依存于它的服务将无法启动。使用 WebDAV 将档案或文件上载到所有的 Web 服务,基于安全性的理由,你可以尝试关闭
  依存:WebDav Client Redirector
  建议:停用

  Windows Audio
  管理用于 Windows 为主程序的音讯装置。如果这个服务被停止,音讯装置和效果将无法正常运作。任何明确依存于它的服务将无法启动。如果你没有声卡可以关了他,但是现在的个人电脑不会没有声卡吧?
  依存:Plug and Play、Remote Procedure Call (RPC)
  建议:自动

  Windows Image Acquisition (WIA) (Windows影像取得程序)
  为扫描仪和数码相机提供影像采集服务。如果扫描仪和数字相机内部具有支持WIA功能的话,那就可以直接看到图档,不需要其它的驱动程序,所以没有扫描仪和数字相机的使用者大可关了
  依存:Remote Procedure Call (RPC)
  建议:停用

  Windows Installer (Windows 安装程序)
  根据包含在 .MSI 档案内的指示来安装,修复以及移除软件。是一个系统服务,协助使用者正确地安装、设定、追踪、升级和移除软件程序,可管理应用程序建立和安装的标准格式,并且追踪例如档案群组、登录项目及快捷方式等组件,很多软件的安装都需要用到这个服务,所以建议保留,否则会遇到很多麻烦的。
  依存:Remote Procedure Call (RPC)
  建议:自动

  Windows Management Instrumentation (WMI)
  提供公用接口及对象模型,以存取有关操作系统、设备、应用程序及服务的管理信息。如果这个服务已停止,大多数的 Windows 软件将无法正常运作。所有依存于它的服务都将无法启动。 如上说的,是一种提供一个标准的基础结构来监视和管理系统资源的服务,由不得你动他
  依存:Event Log、Remote Procedure Call (RPC)
  建议:自动

  Windows Management Instrumentation Driver Extensions (Windows Management Instrumentation 驱动程序延伸) 提供系统管理信息管理驱动程序。Windows Management Instrumentation 的延伸,提供信息用的,可以设置为手动
  建议:手动

  Windows Time (Windows 时间设定)
  维护在网络上所有客户端及服务器的数据及时间同步处理。如果这个服务停止,将无法进行日期及时间同步处理。所有依存的服务都会停止。 网络对时校准没有太大的意义,而且占有不少的资源,可以关闭
  建议:停用

  Wireless Zero Configuration
  为 802.11 适配卡提供自动设定 自动配置无线网络装置,言下之意就是说,除非你有在使用无线网络装置,那么你才有必要使用这个网络零管理服务,否则这个对你一点作用也没有。
  依存:NDIS Usermode I/O Protocol、Remote Procedure Call (RPC)
  建议:停用

  WMI Performance Adapter
  提供来自 WMIHiPerf 提供者的效能链接库信息。对大多数用户没有太大作用
  依存:Remote Procedure Call (RPC)
  建议:停用

  Workstation (工作站)
  建立并维护到远程服务器的客户端网络联机。如果停止这个服务,这些联机将无法使用。所有依存于它的服务将无法启动。是网络连接中所必要的一些功能
  依存:Alerter、Background Intelligent Transfer Service、Computer Browser、Messenger、Net Logon、Remote Procedure Call (RPC) Locator
  建议:自动

  Windows中很多服务都是用不上的,大家可以根据自己的需求,自己去决定保留哪些,关闭哪些,相信经过你的修改,系统资源会大大增加

2005年12月10日

中文名称:硬盘数据恢复工具包 (
英文名称:Hard Desk Recover Tools l~T0F
版本:详情请看帖子 JPpD
发行时间:2005年 p
制作发行:Acronis等 g3;,
地区:美国 Q2
语言:普通话,英语 )>doF
简介: 9E
强大的硬盘数据修复工具包,包括分区修复,格式化修复,MBR损坏修复,文档误删修复等等.本人找了很久,哈哈由于先前硬盘差不多over掉才……… ^
Acronis Disk Director Suite v9.0 Build 524.Retail这是主要的工具,可以自动或手动的修复硬盘,查找分区.更可以编辑分区表,不过很复杂,而且是英文,看不懂!而且还具有PartitionMagic相似的功能,象转换分区,更改分区大小等等,由于PartitionMagic比较常见所以没有收进来.(这里是一个为主文件,一个为注册机,如果没有,请大家自行找找看) F^*m
EasyRecovery.Professional.v6.04.retail,这个相信很多人都知道,可以修复分区文件等等,上一个是整个分区的修复,那这个是一个一个文件的修复,当然也可以按整个分区的修复,但是还是得一个个找.余下几个都差不多,不再一一介绍. #pp
OSBRecoveryV1.2这个是恢复启动的工具,如果你安装的系统不能启动,可以试试这个 [
RecoverMyFiles另外一个文件修复工具,误删用. hgkL
FinalDataEnterprise20 `C,"
searchandrecover (这三个都是文件修复工具,可以在整个硬盘中查找误删的文件,或是格式化修复) OQV
finalRecovery(fr13.exe) $h.-*{
注意:在修复数据时最好在另外的机子上挂你的硬盘,而且一般来说只能修复快速格式化的硬盘,还有就是在用finaldataenterprise和searchandrecover时要注意,安装好后要求是否启动文件管理,如果你要恢复文件最好先不要用,因为它会扫描你的硬盘,然后写入一些东西做修复用的,有几百M多.还有就是要想修复数据,最好不要往要修复的盘里装东西. u<M
©雷傲极酷超级论坛 -- 雷傲极酷超级论坛,最新软件,BT 下载,游戏娱乐,交友聊天,您网上的自由天堂  h
该主题有一个 BitTorrent 格式的文件,按此可直接下载}zd(u@

    文件名 文件大小
    硬盘数据恢复工具包/Acronis.Disk.Director.Suite.v9.0.Build ... 39.79 KB
    硬盘数据恢复工具包/Acronis.Disk.Director.Suite.v9.0.Build ... 38.59 MB
    硬盘数据恢复工具包/EasyRecovery.Professional.v6.04.retail ... 27.18 MB
    硬盘数据恢复工具包/FinalDataEnterprise20.zip 15.12 MB
    硬盘数据恢复工具包/HB_EasyRecoveryPro604_OFA.rar 1.02 MB
    硬盘数据恢复工具包/OSBRecoveryV1.2sdfix.rar 1.75 MB
    硬盘数据恢复工具包/RecoverMyFiles.rar 2.47 MB
    更多... 
    种子数:未知 连接数:未知 完成数:未知 
    [本页面数据并非即时,如需要即时信息请按这里
    总共有 10 个文件,内容共有 90.17 MB 
    URL: http://bt.5qzone.net:8080/ 

http://www.yesky.com/DIY/360853119166316544/20040603/1804529.shtml

http://www.yzcc.com/yzcc/bbbbbbb/

● 前言  

这是作者致鸣写给我的一段话:“想写这篇文章很久了,之所以一直没有动笔,是因为碍于个人的责任感,担心自己所掌握的知识面不够,不能全面、客观地判断事实。现在,经过几个月的查找资料和反复测试,拆掉、弄坏了几十个硬盘,觉得自己有足够的事实根据去作出判断了,因此写出了这篇文章。由于这是一篇普及性质的文章,针对的是所有的用户和消费者,所以不打算谈论具体的技术和复杂的理论,只讲基本的原理和实际的效果。希望借着这篇文章,能帮助广大的DIYer认清一些事实,对于种种的广告和貌似专业的宣传能够独立作出清晰的判断。”
说实话,这段文字里面的“的”字实在太多了,如果被校对组的老师看到,又非痛骂我一顿不可。不过总觉得这些“的”字无不包含了作者的某些情绪在里面,所以毅然决然地保留了下来,这样你们才能被同样的情绪所感染,而不会担心被编辑笨拙的手笔改到面目全非,失去原有的味道。
话说回来,读者看我们杂志,首要还是了解知识,而非学习语法。正是基于此点,才在杂志制作的关键时期,把原本正在准备中的一个专题撤掉,临时改换此文——就是说,我们以为此文能给读者带来更多的收获和震撼。没错,震撼!本文不是一篇简单的普及知识性文章,而是对广大用户所普遍关心的硬盘问题进行了一些披露。硬盘为什么容易损坏?厂商对返修硬盘如何处理?硬盘维修公司如何修理坏硬盘?软件真的能修复坏硬盘吗?看下去,你会寻找到问题的实质。


● 纷争的起点  

一直以来,硬盘都是计算机系统中最主要的存储设备,同时也是计算机系统中最容易出故障的部件。十几年来,计算机CPU的运行速度已经翻了不知道多少番,从几十MHz提高到现在的3GHz以上,计算和处理功能已经过了几代飞跃。其他零部件,诸如显卡、声卡和光驱也已经换了很多代,只有硬盘这个最主要的存储设备,虽然容量和速度有了很大提高,但基本结构和工作原理仍然没有多大的变化,而且由于硬盘转速和磁盘密度的提高,硬盘比以前更加容易损坏。一般的用户在使用过程中,如果硬盘出现故障,还在质保期内的话当然是尽快找到销售商要求保修或者更换;但是现在绝大部分IDE硬盘的质保期只有一年,在这个时期过后硬盘出了故障,就只能考虑花钱修理或者购买新的硬盘了。


硬件的损坏不可避免!

刚用了一年多或者两年的硬盘就这样扔掉,当然非常可惜,大部分用户也都希望能花最少的钱使自己的计算机各零部件能够最大限度地发挥用途。出于对这种节省心理的迎合,这两年二手硬盘市场发展很快,也陆续出现了一些以维修硬盘作为卖点的硬盘维修公司,更出现了很多据说能修理硬盘坏道的硬盘维修软件,譬如HDD Regenerator、MHDD、PC-3000和效率源等等,其中有一些更是宣传自己是专业软件,可以修复硬盘的物理坏道而且不影响硬盘容量从而卖到了一万多元的天价。尤其是当俄罗斯的PC-3000进入中国后,这方面的信息就更加受到瞩目。
[编注:PC-3000是由俄罗斯著名硬盘实验室ACE Laboratory研究开发的商用专业修复硬盘综合工具,它能破解各种型号的硬盘专用CPU的指令集,解读各种硬盘的Firmware(固件),从而控制硬盘的内部工作,实现硬盘内部参数模块读写和硬盘程序模块的调用,最终达到以软件修复多种硬盘缺陷的目的。另外,它在数据恢复方面也有其特别的功效,大部分OEM硬盘厂商也很难全部掌握这些功能。ACE Laboratory经过十多年的不断研究,PC-3000 V12(最新版本)已能支持大部分新旧型号的IDE接口硬盘,容量从40MB至200GB。其强劲的修复硬盘功能已得到世界各国的专业硬盘维修公司所认可,目前在世界各地已有数千个专业级用户,据说每天用PC-3000修复好数千到上万个缺陷硬盘。]
对于普通用户来说,如果真的能把有物理坏道的硬盘修好,那么就可以省下买新硬盘的钱了;对于二手硬盘销售商来说,一个有坏道的硬盘和一个没有坏道的价格差很多,如果能把有坏道的摇身一变成为没有坏道的,可以多挣很多利润;对于专门修理硬盘人的来说,有了这些软件就可以用一台计算机一张桌子开店了,平均每修理好一个硬盘收40元那也是非常好的生意;而对于销售这些软件的代理来说,每销售一套就是7000~8000元人民币的利润,更加是肥得漏油的生意。因此,在种种力量的促使下,各种不同的群体怀着不同的目的开始了一系列的宣传,使这些软件变得更加瞩目。由此,在很多以硬盘维修、二手硬盘和硬盘技术为主题的论坛上引发了很大规模的讨论甚至骂战。有兴趣的读者可以到“存储在线”(http://www.stol.com.cn)的论坛转转。
那么,软件能够修复硬盘吗?要弄清楚这个问题,必须先从硬盘内部的结构谈起,先搞清楚硬盘损坏的原因和机理。


● 硬盘的结构  

硬盘内部结构

关于硬盘结构的文章已经非常多了,不过真正要说清楚的话,就算专门出一本书也说不完,因此这里就不再从头细细讲述了。只是要讲明白一点,到目前为止,在很多文章、技术资料甚至教科书里面讲述的硬盘结构模式,已经是非常老式的硬盘结构了。对于现在的新硬盘来说,都已经全部不采用这样的结构,而是采用了更为复杂、也更加科学的结构方式。
在老式硬盘中,采用的都是比较古老的CHS(Cylinder/Head/Sector)结构体系。因为很久以前,在硬盘的容量还非常小的时候,人们采用与软盘类似的结构生产硬盘。也就是硬盘盘片的每一条磁道都具有相同的扇区数,由此产生了所谓的3D参数(Disk Geometry),即是磁头数(Heads)、柱面数(Cylinders)、扇区数(Sectors)以及相应的3D寻址方式。


CHS结构体系

其中:磁头数表示硬盘总共有几个磁头,也就是有几面盘片,最大为255(用8个二进制位存储);柱面数表示硬盘每一面盘片上有几条磁道,最大为1023(用10个二进制位存储);扇区数表示每一条磁道上有几个扇区,最大为63(用6个二进制位存储);每个扇区一般是512个字节,理论上讲你可以取任何一个你喜欢的数值,但好像至今还没有发现取别的值的。
所以磁盘最大容量为:
255×1023×63×512/1048576=8024MB(1M=1048576Bytes)
或硬盘厂商常用的单位:
255×1023×63×512/1000000=8414MB(1M=1000000Bytes)
由于在老式硬盘的CHS结构体系中,每个磁道的扇区数相等,所以外道的记录密度要远低于内道,因此会浪费很多磁盘空间(软盘也是一样)。为了进一步提高硬盘容量,现在硬盘厂商都改用等密度结构生产硬盘。这也就是说,每个扇区的磁道长度相等,外圈磁道的扇区比内圈磁道多。采用这种结构后,硬盘不再具有实际的3D参数,寻址方式也改为线性寻址,即以扇区为单位进行寻址。而为了与使用3D寻址的老软件兼容(如使用BIOSInt13H接口的软件),厂商通常在硬盘控制器内部安装了一个地址翻译器,由它负责将老式3D参数翻译成新的线性参数。这也是为什么现在硬盘的3D参数可以有多种选择的原因(不同的工作模式可以对应不同的3D参数,如LBA、LARGE、NORMAL)。而随着磁盘密度的增加、机构的进一步复杂、功能和速度上的提高,如今的硬盘都会在磁盘里面划分出一个容量比较大的,称为“系统保留区”的区域,用于储存硬盘的各种信息、参数和控制程序,有的甚至把硬盘的Fireware也做到了系统保留区里面(原来这些信息都是储存在硬盘控制电路板的芯片上的)。这样虽然可以进一步简化生产的流程,加快生产速度和降低生产成本,但是从另一方面,却又大大增加了硬盘出现致命性损坏的几率和缩短了硬盘的使用寿命。我十几年前的200MB硬盘和8年前的1.2GB硬盘到现在还用得非常好,别说是坏道,连运行时的声音都是没有的,但是到后来的4.3GB、6.4GB、10GB、20GB硬盘,都没有能用超过4年的,全部坏掉了。


● 硬盘损坏的种类  

一般来说,硬盘的损坏按大类可以分为硬损坏和软损坏。

硬损坏包括磁头组件损坏、控制电路损坏、综合性损坏和扇区物理性损坏(一般人称之为物理坏道)四种。

※ 磁头组件损坏:主要指硬盘中磁头组件的某部分被损坏,造成部分或全部磁头无法正常读写的情况。磁头组件损坏的方式和可能性非常多,主要包括磁头脏、磁头磨损、磁头悬臂变形、磁线圈受损、移位等。

※控制电路损坏:是指硬盘的电子线路板中的某一部分线路断路或短路,或者某些电气元件或IC芯片损坏等等,导致硬盘在通电后盘片不能正常起转,或者起转后磁头不能正确寻道等。

※综合性损坏:主要是指因为一些微小的变化使硬盘产生的种种问题。有些是硬盘在使用过程中因为发热或者其他关系导致部分芯片老化;有些是硬盘在受到震动后,外壳或盘面或马达主轴产生了微小的变化或位移;有些是硬盘本身在设计方面就在散热、摩擦或结构上存在缺陷。种种的原因导致硬盘不稳定,经常丢数据或者出现逻辑错误,工作噪音大,读写速度慢,有时能正常工作但有时又不能正常工作等。

※扇区物理性损坏:是指因为碰撞、磁头摩擦或其他原因导致磁盘盘面出现的物理性损坏,譬如划伤、掉磁等。

软损坏包括磁道伺服信息出错、系统信息区出错和扇区逻辑错误(一般又被称为逻辑坏道)。

※磁道伺服信息出错:是指因为某个物理磁道的伺服信息受损或失效,导致了该物理磁道无法被访问。

※系统信息区出错:是指硬盘的系统信息区(硬盘内部的一个系统保留区,里面又分成若干模块,保存了许多硬盘出厂的参数、设置信息和内部控制程序)在通电自检时读不出某些模块的信息或者校验不正常,导致硬盘无法进入准备状态。

※扇区逻辑错误:是指因为校验错误(ECC错误和CRC错误)、扇区标志错误(IDNF错误)、地址信息错误(AMNF错误)、坏块标记错误(BBM)等原因导致该扇区失效。

一般来说,修复硬盘的软损坏是可能的,很多硬盘厂商发布的硬盘管理和维护软件(DM)都具备修复硬盘软损坏的能力。像扇区逻辑错误这样的问题,即使是一般的低级格式化软件,也是完全可以胜任的。不过在所有的软损坏当中,系统信息区出错属于比较难以修复的种类,因为即使是同一个厂商同一种型号的硬盘,系统信息区也不一定相同;而且硬盘厂商对于自己产品的系统信息区内容和读取的指令代码,一般是不公开的。但是对于IBM和日立的硬盘用户来说就比较幸运了,日立的DFT和IBM的DDD-SI软件对系统信息区出错还是有比较高的修复成功率的。这两个软件可是真真正正由硬盘的生产厂商发布的硬盘维修软件啊(DFT还是免费的),有非常强大的功能,效率和可靠性比起那些要价过万的第三方编写的软件都要高很多,可惜只对IBM和日立的产品有效。
当然,如果仅仅是为了修复软损坏,一个原厂的DM软件就可以完成90%以上的任务了,根本不需要购买上万元的所谓专业软件,而现在HDD Regenerator、MHDD、PC-3000和效率源等等这些软件,在宣传上就说明了他们所针对的不仅仅是软损坏,而且连硬损坏里面的物理坏道甚至是一些IC的损坏都可以修复!


PC-3000硬盘维修套装

不能说他们这样的宣传很夸张,因为理论上这确实是可能的。我们的硬盘如果在质保期内坏了,交给厂家的话,他们同样要对这个硬盘进行维修。那么,我们现在就很有必要了解一下厂家对硬盘的维修方法和过程,看看厂家是怎么样维修的,跟纯粹的软件维修有没有什么不同。


● 厂家维修硬盘的方法  

这里其实可以向大家先说明一点,即使是从厂家出来的全新硬盘,它们的盘片也不是一点瑕疵也没有的。由于磁盘的盘片比较精密,对于生产环境和移动都有非常高的要求,即使是一粒灰尘、一次很轻微的碰撞,都会产生从几个到数以百计的坏扇区。所以,一般地,按照现在硬盘120GB的容量,全新的盘片即使有几千个坏扇区也不是不可能的。只不过硬盘厂商会使用专门的设备去扫描盘片,把那些坏的扇区和磁介质不稳定的扇区都记录下来,做成一个硬盘缺陷列表,写进系统保留区,通过控制程序把这些扇区封闭起来,而硬盘的控制程序在读取硬盘的时候是不会读取这些区域的。现今的硬盘由于功能和参数复杂,写进系统保留区的信息非常多。这样,由于在底层控制的层面就已经把有问题的扇区封闭掉了,所以用户无论用什么格式化和分区软件都不会看到这部分的信息,看起来就像真的完全没有坏道一样。同时,硬盘里面还有另外一种封闭区域,又称为保留容量,它们其实是完全没有问题的好的盘面,但是因为某种原因被封闭起来了。譬如说一个硬盘是60GB,而磁碟的单碟容量为40GB,那么由两片磁碟构成的硬盘就必须封闭掉20GB的容量(磁碟的生产线都是一定的,厂商为了降低成本,都只会生产一种容量的磁碟,通过封闭不同容量的区域来获得不同的实际硬盘容量)。


硬盘厂商用于扫描和测试盘片的机器,每小时可以处理600个盘片


日立生产的用于重写伺服信息的小型伺服机,可以同时处理8个硬盘

弄清楚了硬盘的生产原理,那么厂商如何维修硬盘就很好理解了。对于控制电路、磁头等的损坏,就是应用最简单的替换法,换上新的零件就可以了。对于IC芯片的损坏,可以通过重写IC芯片的信息或者干脆替换IC芯片来修理。对于磁盘盘片的问题,情况就比较复杂。首先,厂商会用专门的仪器设备对硬盘的磁碟表面按照实际的物理地址重新进行全面的扫描,检查出所有坏的、不稳定的扇区,形成一个新的硬盘缺陷列表,然后把它写进硬盘的系统信息区,替换掉原来旧的硬盘缺陷列表。然后调用内部低级格式化程序,对硬盘进行内部格式化。程序会根据新的系统信息区信息,重新对所有的磁道和扇区进行编号、清零,重写磁道伺服信息和扇区信息。经过这样的处理,返修的硬盘就又可以像新的硬盘一样了。
有人可能会有疑问——既然有新的坏扇区加进系统保留区去了,

那么,是不是返修过的硬盘跟新的硬盘是完全没有差别的呢?这里牵涉到一个工艺学的问题——损伤的内敛性和发散性的区别,我打算留到后面说,这里先说说那些第三方软件修复硬盘的原理。


● 第三方软件的修复原理

我们这里说的第三方软件修复硬盘,主要讨论的都是修理硬盘扇区的物理性损坏——逻辑坏道没有什么好讨论的,修复并不难。目前,第三方软件修复硬盘扇区的物理性损坏一般有两个主要方式:反向磁化和修改硬盘缺陷列表。
反向磁化是最先被应用的一种修复硬盘扇区物理性损坏的方式。一般地,硬盘的磁头只能负责读取和写入信号,而读取、写入数据信号所需要的电平信号跟磁盘表面的磁介质本身是不一样的。而反向磁化就是通过用软件指令迫使磁头产生于磁介质本身相应的高低电平信号,通过多次的往复运动对损坏或者失去磁性的扇区进行反复加磁,使这些扇区的磁介质重新获得磁能力。HDD Regenerator就是最先采用这种方式的软件,后来有一些软件通过分析它的算法和指令,也掌握了反向磁化的信号,采用跟它相同或者相似的引擎进行反向磁化。要注意的是,现在市面上有不少所谓的专业硬盘维修公司发布了一些自称可以维修硬盘坏道的软件,一般也要300元左右,其实他们只是通过Ultra Edit、Pctools等二进制编辑工具对HDD Regenerator的界面信息进行改写;或者对HDD Regenerator进行脱壳,换上自己编写的外壳界面摇身一变而成的。说白了就是盗版的HDD Regenerator,这请大家务必区分清楚。进行反向磁化最大的缺点是速度慢,对一个磁介质不稳定或者失去磁能力的扇区进行磁化,磁头很可能要往复成百上千次,如果硬盘只有几十个或者几百个坏扇区的话,慢慢熬也是可以的。但是现今硬盘动辄上百GB的容量,有上万个坏扇区也是很平常的事情,这时候如果用这种方法去修,大概还没有修到10%,磁头就会因为疲劳过度变形了,本来通过隐藏分区后还可以用的硬盘就会彻底报废。而且这些扇区的磁介质本身就是不稳定的,即使磁化了,在一段时间内可以使用,但随时有重新失去磁能力的危险,硬盘其实并不稳定。同时,这种方法并不能修复物理划伤这种硬损坏。
修改硬盘缺陷列表的方式就是对反向磁化的改进,这种方法和上面说的硬盘厂商的维修方式非常相似。前面说过了,硬盘厂商对于自己硬盘产品的系统信息区的信息内容和读取的指令代码,一般是不公开的,但是一些技术人员通过分析和逆向工程,破解了厂商的指令代码甚至Fireware,使得他们可以编制出程序软件,自由地读取、修改和写入硬盘系统信息区的信息。这样,他们同样可以像硬盘厂商一样,编写程序对磁盘盘面按照物理地址进行扫描,重新构造出新的缺陷扇区列表写进系统保留区来替换原有的列表。经过这样的软件维修的硬盘,理论上说是跟硬盘厂商维修的硬盘是没有差别的。这种软件因为有了这个功能,所以价格非常昂贵,PC-3000要上万元,效率源专业版(零售版只能修复ECC错误和CRC错误,其实什么也干不了)也要六百多,而且他们是不包括以后的升级技术支持的,因为这些软件有着一个非常致命的弱点——毕竟他们是通过破解获得的数据,在一定程度上说是非法的。不同的硬盘厂商、甚至同一厂商不同型号的硬盘,对于系统保留区的控制代码都是不一样的,Fireware也不同,为了让软件有通用性,他们必须通过不断地破解新的硬盘型号才能使软件支持更多的硬盘。而如果因为你购买了一套软件他们就要不断给予升级支持的话他们是绝对不干的,为了要修更多的新的硬盘型号,你就必须不断地支付升级费用。在另一方面,对硬盘的系统信息区信息,如果破解得好还可以,如果破解得不好,把信息修改写进去以后,轻的会让硬盘在读写时频频出现错误,不稳定;重的就会报销掉这个硬盘了。


● 最后的分析

前面我已经提到过,其实返修盘和全新的硬盘还是有差别的,那么差别在哪里呢?很简单,在全新的硬盘中,扇区的物理损坏是在生产过程中产生的;而需要返修的硬盘,扇区物理损坏是在使用过程中产生的。而不同的物理损坏产生环境,直接影响到这个损坏的破坏力大小。
为了说明这个问题,我举一个电镀的过程做例子,虽然不一定完全是这样的,但这确实是材料学和工艺学的范畴,即使是磁盘盘面的加工也逃不出这个范围。如果电镀过程中因为某些原因,导致一些地方的镀层过薄或者根本没有镀上,那么这一部分就是缺陷部分,它会很容易氧化生锈。这部分的生锈会蔓延和扩展到原来镀得好、没有缺陷的部分,但是这个过程是非常慢的,因为这个缺陷是在生产过程中跟镀层一起同时形成的,镀层的边缘还封闭得非常好,所以这个缺陷是内敛性的,它的蔓延和扩展会比较慢。而如果原来的镀层是完好的,后来你用刀子刮去一部分镀层,那么就出现了一个发散性的缺陷。因为在这个缺陷中,你不但破坏了缺陷表面的镀层,而且连完好部分的镀层的边缘也被破坏掉。在这种缺陷中,氧化生锈的蔓延和扩展非常快,很快就可以在完好的部分中产生出一大片氧化生锈的区域。
硬盘盘片的生产原理也是一样的。大家都知道,坏的扇区是会蔓延的,即使封闭了这部分扇区不进行读写,它们同样会在盘面上蔓延。在生产过程中形成的坏扇区,周围的磁介质晶体仍然是均匀的和致密的,物理性质仍然相当稳定,在这样的环境中,坏扇区的蔓延是一个非常缓慢的过程,恐怕即使硬盘的使用寿命到了它还没有蔓延出多远。而在使用过程中因为碰撞、划伤而产生的坏扇区,周围的磁介质晶体是处于破碎和疏松的状态,这样,这个坏扇区的蔓延就会非常快,很可能你刚刚封闭了它不久,它就又蔓延到没有封闭的完好区域去了。由于有这样的潜在不稳定性,所以在北美,一般返修的硬盘都会打上返修标签,用非常便宜的价格出售(大概只有市价的1/2到1/3),甚至有一些公司就干脆把返修盘全部拿到亚洲或者一些第三世界国家的市场去卖了。
对于已经返修的硬盘,由硬盘厂商返修和给外面的维修人员通过软件修复,虽然在理论上是基于同样的原理,但是实际效果还是不一样的。用软件修复,需要硬盘的磁头不断读写每个扇区,以确定此扇区是否确实失去磁能力,这个读写过程可能要循环上百次甚至更多。这样一个个扇区不断地读写下去,花费的时间非常长,譬如MHDD,在默认参数下,随便对一个3.2GB的硬盘作扫描,很可能就需要48小时甚至5天的时间(根据坏盘情况的不同,时间有很大区别),而且必须连续工作不间断。这样对硬盘磁头和盘片本身的损害是非常大的,本来就已经不是好盘了,再经过这样的折腾,就算是修好了,你敢用来装一些有用的数据吗?
如果在硬盘厂商那里返修,他们会使用专门的机器,那些机器采用的是光学原理来对盘片表面查错(具体细节比较巧妙,就不说了,物理或者电子专业的朋友应该都知道),而不是用磁头真正地读写盘片的表面。在这种机器里面,当不同种类的扇区——完好的和有缺陷的:如盘面划伤、磁介质有杂质、磁介质疏松、磁性能不稳定等,通过检测点的时候,会产生不同的反馈光信号,机器会根据反馈的光信号记录下全部有缺陷的扇区记录和相应的扇区位置,编成硬盘缺陷列表。因为不是通过物理磁头读写,所以不但扫描检查的速度飞快,而且对硬盘的盘片伤害会小很多很多。




● 结论和一些多余的话  

到了这里,我们是不是已经可以得出一些结论了呢?结论我就不说了,各位读者应该可以自己作出判断。我丝毫不怀疑写出这些硬盘维修工具程序的人是天才,甚至破解别人程序引擎的人也是天才,但是一切事物都有自己的客观规律,不会以某些人过头的宣传和意志而转移。软件能实现很多功能,但是同样地,有一些功能是它们不能、也不可能实现的,这个世上本来就没有能治百病的仙丹,软件也一样。
现在硬盘的价格是越来越便宜了,80GB的硬盘只要600元,设计的使用寿命也就大概是3年左右。老实说,如果修理一个20GB的硬盘要100元或者买一个二手的20GB硬盘要150元以上,那我干脆就买一个新的算了——就算修好了硬盘或者买了一个二手硬盘,也是绝对不放心用这个盘去储存重要的数据的。
不过我也并不是完全排斥二手硬盘,毕竟它们比较便宜,对一些不需要很大容量,只需要基本功能和用途的用户来说也是一个不错的选择。目前国内二手市场最发达的莫过于广州(只限于讨论正常渠道,有一些地方的非正常渠道非常发达,不过不在此次讨论的范围),番禺是二手计算机零配件和外设的最大集散地,内地很多二手硬盘的销售商都是通过广州的渠道进货然后发往内地的。对于单独一个零售的商户来说,每天二手硬盘的交易量也就是几个、十几个。但是对于那些二手硬盘的批发商来说,每天的交易进出量和单位价格不是用个来算,而是用吨计算的。在番禺,一个普通的批发店,平均每天的交易额就可能有几百甚至上千个硬盘。按照这个交易量,他们应该是不大可能会有这个时间用软件去扫描和修复硬盘的。同时,大家也许不知道他们是怎样把国外的二手电脑零配件或者整机运过来的,我这里可以简单说一说。在发达国家,是不允许把淘汰的电脑随便扔到垃圾箱里的,让路人或者邻居看到了报警的话会被罚很多钱。因此,在国外收二手电脑或者零配件,收购的人并不需要付任何费用,相反,那些需要淘汰电脑的公司和个人必须支付相当一笔费用给收电脑的人,让他们把电脑拉走。正因为这样,在国外收旧电脑可以说是无本生意,加上每个集装箱的运费也就1000美元左右(现在国家不允许进口洋垃圾,但很多二手的电脑零配件还是可以进来的,加上商人们总有很多办法,而且可以通过各种填报海关单据的方式来把进口税也逃掉),所以国内的进货价格之低是你们绝对不可以想像的。国内的硬盘批发商都是用自卸车一车一车拉回来,哗啦哗啦一下整车倒在地上。因为他们的批发价格已经非常低,根本不在乎破损率,不需要理会硬盘会因此而产生坏道和盘体变形,只需要快点出货,然后又快点进货。因此,这里我可以很负责任地告诉大家,通过这种渠道进来的硬盘,几乎100%都是有这样或者那样的缺陷的,如果是从本地公司或个人淘汰机器里面收购来的另当别论。各地的中间商都会把批发过来的硬盘先简单修理一下才发给零售店,由此,我们可以知道,需要这种软件的多半是中间商和零售的商户,他们用比较低的价格进来了一批二手硬盘,但是每天出货的量不多,如果能够把硬盘的坏道全部屏蔽起来,恢复到好像没有坏道的样子,那么同样一个硬盘的零售价可以提高50到100元。这样的盘当然也是可以用的,但大家就需要根据自己的实际用途和数据的重要程度,来决定是否购买和使用这些硬盘了。不过,我相信大家应该可以从自己的实际需要出发,决定怎么花自己的钱。

顺便说几句多余的话,有人可能会因为自己现在使用的电脑型号比较老,不能辨认大硬盘而对购买新硬盘有所犹豫。那么我可以说请放心,连什么硬盘厂商的大硬盘支持程序都不需要的。如果你的主板BIOS是Award的,那么你只要下载一个叫BP的小程序(全称BIOS Patcher,可修改主板BIOS程序错误,打开被屏蔽的功能;目前只支持Award BIOS。下载地址:
http://www.rom.by/Award/patcher/bp-4rc_F.rarBIOS Patcher官方介绍(点击访问)),假设你的主板BIOS文件名是1.bin,那么你在纯DOS模式下输入命令:bp 1.bin,然后把这个文件刷回主板,一切就搞定了。现在,不管你的主板有多老(甚至是老奔、VX主板),它都可以支持到137GB的大硬盘啦。



===============================================================================
就怕硬盘伤—谈硬盘维修与数据恢复
===============================================================================
作者:加拿大·致鸣 日期:2003-12-08 09:18:38


内容导航
第1页:【前言】
第2页:【硬盘市场的现实】
第3页:【形形色色的硬盘维修】
第4页:【数据恢复简介】
第5页:【几种硬盘问题的菜鸟处理方法】
第6页:【后记】



第1页:【前言】

在10月号杂志(大众硬件)上发表了《软件能够修复硬盘吗?——硬盘损坏全分析》一文后,这篇专题也同时被各大网络传媒转载,产生了很大的反响。本人通过各种渠道收集汇总了一些反应和意见,很多消费者都是通过这篇文章才第一次听说过这样的事情和其中的内幕,非常支持这样的文章。当然,各种反应里面也少不了一些业内人士的责难,认为这样的文章对这个行业的发展不利。不过不管怎样,我认为敝帚自珍和信息封锁才是对硬盘和数据行业发展的最大不利因素;让大家多了解一些这方面的信息,从总体上提高大家对这个行业的认知水平,才真正有利于国内硬盘维修和数据恢复行业的水平提高。正是基于这样的想法,于是就有了这篇后续的文章。由于对象仍然是普通的DIYer和广大消费者,因此仍然采用比较通俗的叙述方式,尽量避免使用过于专业的词汇和高深的所谓“理论知识”。还要指出的一点就是,IDE硬盘和SCSI硬盘内部的具体结构和原理是不同的,SCSI硬盘比IDE硬盘要复杂得多。

基于本文只是出于普及的目的,为了叙述上的通俗简单,本文所说的硬盘都是指IDE硬盘。


第2页:【硬盘市场的现实】

有8~10年甚至更长时间的电脑使用经验的人会有很深刻的体会——现在硬盘的质量是越来越差了。回想起来,从前的600MB、1GB、1.2GB、2.1GB时代,很多硬盘跟现在的硬盘相比,唯一不足的地方就是容量没有那么大,速度没有那么快;但在实际使用中,其他很多方面那些硬盘都比现在的硬盘要优胜。譬如噪音很小,甚至几乎要把耳朵贴在盘体上才能听到硬盘转动的声音;使用寿命长,我一个朋友家里一台IBM原装的486DX33电脑,里面的200MB硬盘居然到现在还在正常使用,没有噪音,没有坏道,寻道时间仍然可以达到标称的数值,性能没有任何下降;盘体质量好,我把自己能够收集到的从200MB到2.1GB的硬盘放出来,发现那些硬盘绝大部分的盘体至今还是闪闪发光,坚固无比,没有任何氧化、锈蚀和痕迹,而从3.2GB开始,使用超过3年或更久的硬盘盘体就开始黯淡无光了,甚至可以轻轻摇出响声来;电路板用料十足,下面有两张图,希捷3.2GB硬盘电路板是大板,昆腾15GB硬盘的是曲尺电路板,比较一下板的做工和上面的电子元件就很能说明问题。为什么会发生这样的情况呢?



(3.2GB和15GB硬盘电路板的对比,明显发现3.2GB的质量好很多)


(希捷1.2GB、昆腾15GB和西数80GB对比)

发生这种情况的原因固然很多,也不可能在一篇文章里面细细说明。对于硬盘耐用性变差这一点,厂商的说法是硬盘转速加快、数据密度增加、耗电量增加、发热更多,所以寿命缩短了。媒体的说法是硬盘产业整体利润率下降,竞争日趋激烈,硬盘厂商为了加强竞争力,必须采取措施 有效降低产品成本。这些说法固然有他们的道理,不过我今天不想在这里讨论这些老生常谈的问题,我想说一个我亲身经历的事情作为例子——这只是硬盘厂商面对的众多问题中很小的一个,当然不足以构成厂商采取实质性行动的原因,但在多种问题的综合作用下,情况就不一样了。我有一个老美朋友,因为不方便说姓名,我暂且把他叫Dick,在某硬盘厂家做事。有一年他放年假时跑到加拿大,逼着我让他在我家里睡了两天沙发。有一天偶然聊起公司不顺心的事情,他马上大发牢骚,说:“Jack(暂时这样称呼自己),你们中国人很让我头痛呢。”我很奇怪,问他为什么这样说,他解释了半天,我明白了,原来他们公司的硬盘那段时间突然在中国市场的返修率直线上升,给公司的质保部门非常大的压力,也使公司的售后服务费用大大超出预算。公司马上派人去了解,得出的结论是虽然公司准备在海外设厂,在生产上有一定调整,导致某些型号的产品质量出现少许波动,但这并不构成中国市场返修率突然上升的主要原因。主要原因是因为他们提供3年的质保,很多用户在众多的宣传中知道这个牌子的某些型号有一些问题,就把目标扩大到全系列的产品,即使自己的硬盘用着一直没有事情,但还是在2年到2年半这段时间内跑到经销商那里去要求换盘。为了达到退换的目的,很多消费者使用了不良手段——用毛巾包裹硬盘,在加电开机后把硬盘往桌面上砸或者用锤子敲;或者使用一些自己编写或现成的小程序,发出一些指令,让硬盘磁头疯狂地来回摇动,在短时间内导致磁头悬臂变形和盘面产生物理划花。正是因为这样的原因,使公司的产品在中国市场的退换和返修率大大上升(要知道,一般地,当时他们公司的硬盘返修率是不到千分之一的,即使变成千分之二也已经超出好多倍了,更何况他们当时比这个更高)。公司让他研究解决这个事情,他经过了解和研究,知道其实其他公司也面临着同样的问题,只不过他们公司因为在中国市场占有率高,所以问题更严重而已。办法好想,他说可以更改一下硬盘的设计,这样硬盘退回时他们可以通过特别的手段查出硬盘是自然损坏还是非正常损坏的。不过公司对他这个方法却不屑一顾,因为这个设想虽然好,但是却没有任何实际的可行性——退换过程通常都是消费者和经销商之间的行为,而经销商没有这样的验证手段,等硬盘汇集到公司的时候已经太晚;同时,即使公司知道了硬盘损坏的原因,还是没有直接的证据来拒绝退换;更进一步,就算有证据,也还是不可能拒绝售后服务,以免被对手大肆宣传,得罪全体消费者。他正是为了这个原因而憋气呢!

当然,我们现在已经知道硬盘厂商如何解决这个问题了——虽然采取这样的措施同时也是基于一个全球的大环境。当时的竞争激烈,硬盘利润空间不断下降,厂商如果同时再要负担这样沉重的售后服务的话,就根本没有任何利润可言了。于是,他们解决的方法出奇地一致——降低产品成本,缩短保修期限,以便保持相当的利润。这里,我已经不知道说什么好了,少数消费者自私自利的不良行为,损害了全体消费者的利益,其他大部分遵纪守法的消费者要替他们陪葬。我这里绝对不是要鼓吹让大家都跑去退换,因为这样只会导致市场进入恶性循环,少数人会因退换好像会占了便宜而窃笑,但最终受到损害的还是他们自己,而且还赔上了其他没有这样做的人。[Pophard:希望大家能遵守这个行业的游戏规则,使市场呈良性循环发展,大家都能享受到良好的售后服务,也可以用上更优质的产品。]

当然,在一片降低成本的呼声中,也有部分厂商跑得太远,偏离了正常轨道。最明显的问题就是伺服口的处理问题。熟悉硬盘的朋友都知道,硬盘上面有一个孔,一般都是用铝质贴纸封住,有的甚至还用金属片包住封口的贴纸,防止它被破坏,这个就是伺服口(有一些销售人员叫这个是真空封口,其实是错误的,硬盘内部并不是真空,磁头要靠空气的气垫原理悬浮在盘片的上方来读取数据。这个封口的作用其实是防止灰尘进入硬盘内部,因此,正确的说法应该是——硬盘内部是无尘的)。一般而言,盘片的磁道构造都不是在装配之前进行的,想想都知道,3英寸的盘片上要储存几十GB数据,磁道一定是要非常细密的才可以做到。如果在装配之前构造磁道,那么只要装配中出现非常微小的误差,都可能使装配好的硬盘在工作中出现这样或那样的问题。同时,装配过程中还可能出现轻微的碰撞,产生坏扇区,如果在装配前构造磁道,就不可能找出这些坏扇区来加以屏蔽了(详情请参阅第10期《软件能修复硬盘吗?——硬盘损坏全分析》)。而伺服口的作用,就是在装配好硬盘以后,机械手能够从这个孔伸进去进行扫描和写入伺服信息,构造磁道,这样,只需要对硬盘进行一次扫描和写入过程就可以完成伺服信息的写入,而又能最大限度保证伺服信息的准确和硬盘成品的可靠性。伺服口的数量有可能是1个、2个、3个或者更多。单片单面的磁盘只需要1个伺服口,单片双面的需要2个,双片3面的也是2个,双片四面的是3个,如此类推。

伺服口是不可以破损的,一旦破损,空气中的灰尘就会进入硬盘内部。而对于磁盘的盘面来说,一粒灰尘就相当于一个炸弹。即使只有一粒灰尘进去,在高速旋转的盘片上,灰尘会像弹球一样跳来跳去,不断击中盘面,形成大大小小的坏扇区。因此,硬盘厂商对于这样的硬盘是不予维修的。大家可以看到,在伺服口的贴纸上,都会有这样的说明——Warranty Void If Remove(一旦破损,保修失效)。但正是在这个盘体最重要、也是最脆弱的地方,某个硬盘厂商有意无意地出现了比较严重的设计失误。如图,某些硬盘厂家用来保护伺服口的材料,除了没有足够的凹陷以外,保障硬盘内部绝对无尘工作环境的竟然是一张15mm×8mm、厚不到0.1mm的小纸片(真的是纸片)!只要一个不小心刮破这张薄纸,整个硬盘就全报废了。稍有DIY常识的人都应该知道硬盘安装的过程中,要把硬盘插到硬盘架上,其侧面和机架有点磨擦是很正常的事,而且这个地方也是拿硬盘时手指最容易戳到的地方,没有足够的凹陷而把纸片暴露在这个位置上那简直就是在玩火了。如果哪个硬盘厂商在不少顾客因为不小心刮破了这张纸导致硬盘报废后,拒绝为顾客提供三包服务,而要让顾客来为他们的设计失误买单,那样就确实有点过分了。


(某品牌硬盘缺乏足够保护的伺服口)

正是因为厂家对低成本的追求,使一个虽然已经存在很久,但是一直没有获得足够发展空间的行业得到了期待已久的发展时机,这就是硬盘维修行业。因为如果硬盘能够一直都非常稳定地使用比较长时间的话,那么对于用户来说,没坏的不用修,用个六七年的话即使坏了也没有维修的必要了。但现在情况有点不一样了,不少硬盘刚过了保修期不久就坏是很常见的事情,而花一千或几百元买来的硬盘用了两年就扔的话恐怕谁也不会心甘情愿吧,这就造成了对硬盘维修的市场需求。


第3页:【形形色色的硬盘维修】

在《硬盘损坏全分析》中已经分析过硬盘故障的种类,这里就专门针对日常使用中最常见的几种来逐一分析,概括地说明一下专业硬盘维修的一些具体方法。

1.逻辑坏道

这是日常使用中最常见的硬盘故障,实际上是磁盘磁道上面的校验信息(ECC)跟磁道的数据和伺服信息对不上号。出现这一故障的原因,通常都是因为一些程序的错误操作或是该处扇区的磁介质开始出现不稳定的先兆。一般在操作中的表现就是文件存取时出错,或者硬盘克隆的时候到了出错的地方就弹出出错信息,不能再继续下去。消除这些逻辑坏道的方法其实比较简单,最常用的方法就是用系统的磁盘扫描功能。在DOS下面用Scandisk扫描,系统可以把逻辑出错的扇区标出来,以后在进行存取操作时就会避免操作这些扇区。当然,如果单单是软件的错误操作造成的,也可以用原厂的工具进行全盘低格来重新恢复所有有逻辑错误的地方。也有的人利用HDD Regenerator、效率源之类的软件消除扇区错误,重新激活这个扇区。不过对于那些因为是该扇区的磁介质不稳定造成的错误,这里还是不推荐使用重新激活的方式,以免在储存了重要信息后再次出错。


(MS的Scandisk,非常经典的画面)

2.物理坏道

这个也是比较常见的硬盘故障,实际上是因为震荡、划伤等原因导致一些扇区的磁介质失去磁记忆能力而造成的。通常这样的损坏修复都比较麻烦,因为在硬盘内部的磁道列表中,这个扇区是被标记为正常的,是真实的物理存在,所以它不能通过扫描、格式化、低级格式化或者激活扇区的方法消除,而必须把这个扇区加入到设置在硬盘内部的系统保留区内,由工厂设置的缺陷列表(G列表和P列表)中去,才能在硬盘控制系统的可见范围内消除这个坏道。当然,这样做需要专门的软件(目前能够比较容易找到,而且已经经过长时间市场实践检验的就是PC-3000),价格也非常高,如果大家想要这样做,只能找具有这样设备的专门维修商来修理了。对普通用户的价格大概是每个硬盘100~150元,是否值得就让大家自己考虑了。

不过,这里有必要提醒大家一下,请多多关注各大硬盘厂商的网站,有些厂商提供的原厂工具也可以对少量物理坏道进行处理,把它们加入G列表甚至P列表。譬如IBM/日立的DFT和西部数据的Data LifeGuard Diagnostics。这些原厂的工具软件都是作为向购买该厂硬盘的消费者提供的售后服务而免费提供的,不但扫描速度快,而且辨别准确率高,能够对比较普遍出现的硬盘问题作出相应的处理。对硬盘内部进行操作毕竟是比较危险的,还是原厂的东西比较可靠。除非碰上原厂工具不能解决的问题,否则不推荐大家使用第三方工具软件。

相对于上面那种比较高级的隐藏方式,也有一些要求不高的用户,不需要这样高级的隐藏方式,那么他们可以通过FBDisk和Disk Genius这一对软件的组合来把坏道所在的位置做成隐藏分区隐藏起来。具体的操作并不复杂,即使是稍有计算机经验的“中鸟”也应该可以很容易掌握,这里就不再细说了。


(Disk Genius)


(FBDisk)

(小技巧:加入坏道列表和隐藏分区这两种方法在效果上的区别有两点,第一是隐藏分区方式会减少硬盘的可使用容量,而加入坏道列表则不会;第二,在坏道比较分散的情况下,需要使用多个隐藏分区才能全部屏蔽坏道,造成分区过多,影响硬盘使用效果;第三,坏道列表的数量是有限制的,坏道数量不能超过一定的值,如果坏道数量大而相对集中,隐藏分区不失为一种好办法。这里介绍另外一种折中的方式,类似于隐藏分区,但又不会因为分区过多而影响使用。不管三七二十一,先按照你自己的需要对有坏道的硬盘分好区,然后准备一个500KB左右大小的文件——我觉得一张JPG图片就不错,不断复制,生成许多同样的副本,用编号来为这些文件命名,从1开始一直下去——用ACDSee的批量编号命名功能就很好。然后,开始一个一个复制到有坏道的硬盘里面去,碰到有咔咔声响、或者复制速度突然变得很慢的地方,就是坏道了,记下当时这个文件的编号,如此不断继续,一个分区完了就进行另一个分区。把整个硬盘都填满以后,所有被记下编号的文件就是硬盘坏道的地方了,把这些文件设置成“只读”、“隐藏”,其他全部删除。这样,只要你不去动这些剩下的文件,磁头就不会去动那些个坏道了,非常方便,比隐藏分区要好。如果你的系统设置是可以看到隐藏文件的,而你又恰恰是一鐾昝乐饕逭撸醯谜庑┪募拇嬖诨故翘拢敲葱陆ㄒ桓鑫募校盐募纪系嚼锩嫒ィ贸锻米又嗟墓ぞ咭氐粽飧鑫募校蔷汀罢鍪澜缍记寰涣恕薄#?

3.大面积物理坏道

这样的硬盘就算是重病缠身,能继续用多久就要看天意了。如果有几块不同的大面积物理坏道,而且分布在不同的盘面上,那么我劝大家别花这个力气了。如果是虽然有大面积坏道,但全部都聚集在一个盘面上,那么你的运气比较好,真要修的话还是可以的,但是要损失硬盘容量。方法就是通过专门的软件,把有坏道的盘面整个屏蔽掉(其实就是把负责读取这个盘面的磁头停掉,并且在硬盘保留区的控制信息中抹去这个磁头的信息,当作没有这个磁头存在),这样就等于像做肿瘤切除手术一样,把这个有大面积坏道的盘面整个切除。如果是单片双面的硬盘,这样要损失一半的容量,双面三片损失1/3,双面四片损失1/4。给硬盘做这样的“手术”同样需要找具有这种设备的专门维修商,至于值不值得这样做就不是我能决定的了。


(只有一面有大面积坏道)


(多个面有大面积坏道)

4.磁头定位不准

这个问题也经常可以碰到,其实就是磁头因为装配上的轻微误差,导致在硬盘长时间使用后问题恶化;又或者是硬盘的磁头长期工作后出现疲劳现象导致这种情况的发生。有时候一些硬盘读写特别慢,拷贝一个文件老半天没有反应,或者有时候会听到轻微的咔咔声,也许就是磁头定位不准而产生的问题。对于这样的问题,还是需要找专门的专业软件或者找有这些专业软件的维修人员,通过软件对磁头的控制程序做出轻微的调整,一般就可以恢复正常使用。不过如果硬盘已经有一定的“年纪”了,或者平时就是不间断、大负荷使用的话,磁头就确实已经疲劳或者老化了,即使经过调整暂时把问题掩盖起来,还是会在不长的时间内再次出现的。

5.磁头变形

这个跟磁头定位不准是不一样的,即使是微小的变形,对于读取数据所需要的精度来说也已经是太多了,用软件调整的方法不一定可行。处理这样的问题,最简单直接的方法就是像处理大面积坏道一样,把这个磁头停掉。这同样会损失这个磁头所负责读取的盘面的那一部分容量。

6.控制芯片或者电路板烧坏

这样的问题没说的,一般最直接的方法都是找另一块同样型号的硬盘的电路板,把坏的电路板换下来(维修的人管这个叫“换板”)。或者找一块相同型号的芯片,写进同型号硬盘的芯片信息,然后换到电路板上去。

说句实在话,其实硬盘保留区的信息和内部指令,是由硬盘厂商开发出来的,也受到知识产权和专利的保护,那些专业软件通过破解内部信息和指令的方法来维修,从严格的法律意义上来说,并不是一种正确的途径。而且,对于硬盘维修这个行业,硬盘厂商心里面肯定是蛮不舒服的——要是所有人在硬盘坏了的时候第一时间都是考虑先试着修一下,将就着用,那么谁还会去买新硬盘呢?在这个微利时代,厂商的盈利要建立在大量出货的基础上,如果销售量上不去,那么对硬盘厂商的打击是相当大的。尽管如此,但是他们嘴上却不能有任何表示——不让消费者维修,逼着他们买新的,这个罪名可没人担当得起。于是,硬盘厂商只能在暗中采取一系列措施来防止硬盘保留区的信息和指令被破解。

首先是不断开发新的信息格式和新的指令集。不同厂商的硬盘内部的信息格式和指令固然不同,就算是同一个厂商的不同型号硬盘,内部的信息和指令也有可能是不同的,这样就无形中增加了破解的难度——为了能维修不断增加的新的硬盘型号,开发这些专业软件的公司就必须不断研究新的硬盘。

其次是采用芯片和硬盘内部信息结合的方式来杜绝换板。现在的硬盘,在控制芯片内部和硬盘保留区内都有一个唯一的串号,每一个硬盘的串号都是不一样的。在硬盘启动时,硬盘内部控制程序会先把在芯片中的串号和保存在磁盘上面的串号作对比,两者一致才继续初始化;如果两者不一致,就挂起。这样,即使更换了同样型号的硬盘电路板和芯片,也会因为内部串号校验的时候不能通过而无法启动硬盘。

最后一个方法是“釜底抽薪”,从根本上扼杀这些靠破解指令生存的公司的空间。其实,以前很多硬盘厂商提供的工具里面是有盘片扫描、加入坏道列表等功能的,像希捷的Disk Technician Factory Test。只是后来因为厂商希望加快硬盘的生命循环周期,才把这些功能去掉了。但是现在,一些厂商又开始在最新版的原厂工具里面重新加入这些功能(像IBM/日立和西部数据),有的甚至还加入了对硬盘固件(BIOS或Firmware)进行简单修复的功能。当然,为了避免这些工具真的会有“起死回生”的能力,厂商们在功能上都作了一定的限制,避免功能太强,但即便是这样,也足够应付日常产生的绝大部分问题。原厂的工具绝大多数是免费的,而其他公司的工具价格都是上万元,用户们用脚趾头都可以作出选择,这就从根本上扼杀了这些第三方公司的软件的生存空间。

不过对于硬盘维修,最近国内业界发生了一些事,使我觉得有不吐不快的感觉。目前能称为专业级的软件,一般都是来自俄罗斯和乌克兰,如PC-3000、MHDD、HDD、HRT等等,国内目前能放上桌面的大概就是效率源了。根据效率源的宣传资料,他们说是可以“修好”物理坏道,让硬盘“完全跟新的一样”,这样的话就比较值得认真探讨一下了。真的是可以“完全跟新的一样”吗?其实磁盘表面的物理损坏,无非来自两种原因——磁介质不稳定和表面破损。一个扇区的磁介质不稳定,对相邻的其他扇区的磁介质影响非常非常微小,因此屏蔽掉后确实不会影响使用;而且只要其他的扇区磁介质仍然有足够的稳定性,这个硬盘还可以继续稳定使用一段较长的时间。但是构成物理坏道的原因,差不多90%来自因为碰撞、磁头划伤而导致的盘片表面破损。这种破损对周边扇区的影响是非常大的,破损处表面的磁介质晶体处于碎裂和疏松状态,在硬盘盘片以5400转/分或者7200转/分的转速高速旋转时,该处的破损晶体要承受多大的内应力、多大的离心力、多大的空气摩擦力、多大的热张力,都是有定律可遵循、有公式可计算的。在多种力的作用下,这个伤痕就会慢慢向四周蔓延,导致周围的扇区也出现坏道,并且越来越多。因此,类似效率源这样的宣传其实是不科学,也不负责任的,硬盘虽说是高科技产品,但总还是地球人造出来的,还是要遵守地球上的物理定律的吧?还有,最近效率源推出了全新的版本,据说是全面改进了维修方式,比外国产品还要先进。通过一些朋友的帮助和其他渠道,我找到了他们的试用版,在试用以后,发现这个软件在设计上存在非常大的问题,一是对芯片组的兼容性有很大漏洞,在我的MVP3机器上运行昆腾模块就出现挂起不能启动的错误;第二是出现漏查和把好盘修坏的错误,在一块被效率源迈拓模块修好了的迈拓盘上,用MHDD扫描仍然发现有错误,而在经PC-3000扫描过的迈拓硬盘上,效率源却说有坏道并且大肆修复一番,把缺陷列表改得不成人形了。看来,这个版本的推出实在是过于匆忙了,连作为软件产品的基本稳定性都还没有具备。另一方面,应该是效率源为了缩短扫描时间(如果按照MHDD的默认扫描方式,一块有5000个坏道的40GB硬盘扫描1个星期大概还不能完成),采用了简化算法来扫描,结果快是快了,但也出现了很多漏查和错误判断。这个问题也凸现出在程序设计的基础理念、总体控制、查错算法和对硬盘内部信息的理解上,国内的技术员跟国外相比还是有很大的差距啊。

其实,从总体上说,用软件来维修硬盘,本身就是层次比较低、成本也比较低的维修方法。因为用软件修,毕竟还是需要硬盘可以转动、机器可以认出硬盘型号和参数、磁头仍然可以运动并读写等等先决条件,一旦碰到一些死得特别彻底的(如硬盘哐哐响,盘体明显变形等),软件也就根本没有办法了,所以财大气粗的老美就对软件维修硬盘这个玩意儿不大感冒(这也是一众硬盘厂商没有对破解硬盘信息的公司采取决定性法律措施的原因之一),但是老美却具备世界上最尖端、也是最高成本的维修技术。至于他们拿这些技术干什么用的,下面很快就会提到。下面先讲一下成本比较高,可以修一些已经本身不能动、机器认不出、可以说已经判了“死刑”的硬盘的方法——开盘维修。

通常,普通的老美用户都不修东西,硬盘坏了就扔掉换一个。类似象上面那些层次的损坏,除了逻辑错误,他们都是不去修的。但是,也确实有一些非要维修不可的时候,对于一些有盘体变形、磁头松脱、盘片偏心、马达损坏等问题的硬盘,却非要修的时候,他们通常会采取开盘维修法,拆开硬盘,矫正或者更换盘体、磁头,矫正盘片转轴、更换马达等等。不要以为这样很简单,因为开盘维修需要无尘程度非常高的无尘工作台甚至无尘工作间,光是配置一个这样的工作环境就不是普通公司可以承受的。目前国内能达到100级的无尘工作台或者超净工作室已经不多了,而对于维修这些损坏种类的硬盘来说,需要更高级别的无尘工作空间。单单是维持这样一个工作环境就已经所费不菲,难道老美们都疯了,要把钱往海里扔?当然不是,因为不单单在美国,在俄罗斯或者其他国家,同样有具备这样先进的技术和设备的维修公司,来对那些非修不可的硬盘进行维修。

说句实在话,一个硬盘才多少钱?值得那样大动干戈?确实,单单是维修硬盘本身的话就实在是太不符合成本效益原则了,但这些公司的目标明确得很,只有一个字——利!所谓“利之所在,趋之若慕”,他们之所以舍得下这样的本钱,当然是背后存在着比这个本钱更大的利益,而这个利益就是——数据恢复!


第4页:【数据恢复简介】


本人一向认为单纯为了维修而维修的硬盘维修实在没有太大意义,除非是那些一门心思要当二手商人的批发和零售商(不过请不要受到我主观观念的影响,大家可以根据自己硬盘的用途,对是否值得维修独立作出判断)。毕竟,硬盘维修的“维修”跟普通意义上的维修是有很大区别的。如果我们坏了一块主板,经检查发现是一个三极管烧了,我们可以更换一个新的三极管,这样,这个三极管仍然可以实现原来三极管的功能,主板没有受任何影响,坏的地方也就不存在了,我们可以说——这块主板修好了。但是硬盘不一样,所谓的“维修”,只是把盘片上的坏道、硬盘内部的缺陷等等问题掩盖起来,不让硬盘的控制系统和计算机操作系统发觉而已,那些缺陷仍然实实在在地躺在硬盘里面,成为随时可以再爆发的定时炸弹。因此,单纯的维修,只能使硬盘暂时恢复可用性,我认为意义不大。而如果维修是为了让硬盘可以暂时使用,使用户可以重新读取盘里面的数据并备份到其他地方,那么这应该是值得的,毕竟用户的数据在一定程度上是无价的。(PS:比较讽刺的是,当一些二手商通过简单地隐藏分区来隐藏坏道的时候,不少硬盘维修商还振振有词地说那些人是利用了部分消费者的无知来坑人,是*商;而他们才是真正的维修,所以他们的工作是如何复杂、技术要求如何高,他们人是如何正直等等。现在,我们发现原来他们也只不过是把缺陷藏起来而已,只不过藏得非常隐蔽,让人无从发现,不知道他们现在应该如何自处?还是说*商如果能不让人发现,就可以摇身一变变得不*了?我觉得至少那些隐藏分区的人还算比较正直,因为他们毕竟还为消费者保留了发现作假的权利^_^。

在这方面,我接触过一个硬盘维修商,他是PC-3000在南方新增加的一个国内代理,这人算是比较坦白的,能够明确告诉客户硬盘修复后和原盘的差别,让客户自己决定是否维修。这在硬盘维修界中算是另类了。)数据恢复是一个比较敏感的话题,对于一些具体的理论、还原算法、涉及的仪器和具体操作的细节,都有各种各样的限制,不能详细作出描述。这里只能根据需要,尽量完整地让大家对数据恢复有一个大概的整体印象就已经足够了。数据恢复可以分为纯软件的恢复和软硬件结合的恢复。

硬盘内部是有一定的校验公式来保障数据的完整性的,根据每一个扇区内数据的内容、扇区的伺服信息,再根据一定的校验公式经过运算,会产生一个唯一的校验和,这个值每一个扇区都是不一样的。同一个扇区储存不同数据的时候校验和固然不一样,不同的扇区储存相同的数据也会产生不一样的校验和(SCSI硬盘在这方面的机制会更加完善)。数据恢复正是利用了这样的原理,通过逆向运算,在某一方面的信息因为错误操作而丢失或者被改变的情况下,仍然可以根据其余的原始信息,把数据尽可能完整地还原出来。

其实在实际操作中,删除文件、重新分区并快速格式化(format不要加U参数)、快速低格、重整硬盘缺陷列表等等,都不会把数据从物理扇区中实际抹去。删除文件只是把文件的地址信息在列表中抹去,而文件的数据本身还是在原来的地方静静躺着,除非拷贝新的数据进去那些扇区,才会把原来的数据真正抹去。重新分区和快速格式化只不过是重新构造新的分区表和扇区信息,同样不会影响原来的数据在扇区中的物理存在,直到有新的数据去覆盖他们为止。快速低格一般只有原厂的DM才可以实现,是用DM软件快速重写盘面、磁头、柱面、扇区等等初始化信息,仍然不会把数据从原来的扇区中抹去。重整硬盘缺陷列表也只不过是把新的缺陷扇区加入到G列表或者P列表中去,对于那些本来储存在缺陷扇区中的数据那是没有办法了,因为扇区已经出现物理损坏,即使不加入缺陷列表,也很难恢复;但对于其他数据,其实还是没有实质性影响的。对这样的硬盘进行数据恢复,算是数据恢复里面比较简单的,最关键的一点是在错误操作出现后,不要再对硬盘作任何自己都不知道目的的无意义操作和不要再往硬盘里面写入任何东西。

恢复这种硬盘的数据,可以通过纯粹的软件操作来完成。目前大家能够找到的数据恢复软件还是非常多的,大致有EasyRecovery、Recover、Lost&Found、FinalData、Disk Recover等等,还有其他很多,就不逐一列举了。这些软件有的在DOS模式下面运行,有的可以在Windows模式下面运行,甚至可以在NT/2000下面运行,处理NTFS格式分区里面丢失的数据。对于误删除、错误格式化,但又没有用其他数据覆盖这些形式的数据恢复,上面说的这些软件还是有相当好的效果的。当然,如果让一个菜鸟和一个老鸟来运用这些软件的话,恢复效果会有很大的差别。要提高数据恢复的成功率,关键是要掌握每一个软件的特性和每一个操作的参数和特点,有针对性地合理选择,配合使用,这是需要一定的经验积累才可以做到的。目前国内的数据恢复公司对这种级数的数据恢复报价是每个硬盘350~1000元人民币。



(被认为是数据恢复至尊的FinalData)


(EasyRecovery操作界面)

纯粹软件的恢复当然有着极大的局限性,前提条件是必须要硬盘还能够正常使用才行。因此,对于一些有轻微缺陷的硬盘,稍微修理一下,让硬盘可以正常使用后,再进行软件的数据恢复是明智的,因为这样可以节省大量的数据恢复成本。毕竟,对于那些无论如何不能动的硬盘,软件是无能为力的,这时候就需要使用成本比较高的软硬件结合的恢复方式。

采用软硬件结合的数据恢复方式,关键在于恢复用的仪器设备。这些设备都需要放置在超净无尘工作间里面,而且这些设备内部的工作台也是级别非常高的超净空间。这些设备的恢复原理也是大同小异,都是把硬盘拆开,把磁碟放进机器的超净工作台上,然后用激光束对盘片表面进行扫描,因为盘面上的磁信号其实是数字信号(0和1),所以相应地,反映到激光束发射的信号上也是不同的。这些仪器就是通过这样的扫描,一丝不漏地把整个硬盘的原始信号记录在仪器附带的电脑里面,然后再通过专门的软件分析来进行数据恢复。可以说,这种设备的数据恢复率是相当惊人的,即使是位于物理坏道上面的数据,由于多种信息的缺失而无法找出准确的数据值,也可以通过大量的运算,在多种可能的数据值之间进行逐一代入,结合其他相关扇区的数据信息,进行逻辑合理性校验,从而找出逻辑上最符合的真值。

对于上面说到的设备和方式,目前国内拥有数据恢复设备,能够做到软硬结合的恢复方式的公司,根据资料显示目前暂时只有两家,分别位于北京和广东(资料有效期是今年4月,或许还有别的公司说自己有这样的设备,不过我觉得炒作的可能性比我漏查的可能性要大)。现在很多数据恢复公司都吹嘘说他们有多先进的设备,多高超的技术,但其实多半都是停留在纯软件级别的恢复而已。真的碰到难缠的盘,他们会快递到这两地的公司,让他们去用机器恢复,而这两家公司也认可这样的操作方式,因为这样他们就不需要花费打广告的钱,也保证了机器能够有足够的工作负荷,缩短投资回收期。这样级别的数据恢复,目前国内市场价格大约是每个硬盘3000~5000人民币甚至更多。当然,那两家公司接收从其他数据恢复公司转手过来的硬盘的时候,收的是行内批发价,这中间大概有数百到一千元左右的差价,当然是让那些数据恢复公司当仁不让当作中介费吃掉了。

不过这仍旧不是数据恢复的终极方式。因为他们都有一个前提,就是数据没有被覆盖。对于已经被覆盖的数据、完全低格、全盘清零、强磁场破坏的硬盘,仍然有最终极的数据恢复方式,老美管这个叫“深层信号还原”。具体的原理比较复杂,但是可以通过一个相关的例子来说明。譬如一个人开车撞了人,跑掉了,为了逃避公安的侦查,他把汽车撞过凹陷的地方重新鼓起拉直,并喷上了新的油漆。那么,这样处理过的车子,在肉眼的观察下是看不出碰撞过的痕迹的。但是鉴证科的人只需要用弧光灯照射汽车,戴上专门的偏光镜去看,碰撞过的痕迹就马上一目了然。“深层信号还原”应用了与此类似的原理。从硬盘磁头的角度来看,同样的数据,拷贝进原来没有数据的新盘和拷贝进旧盘去覆盖掉原有数据,是没有分别的,因为这时候磁头所读取到的数字信号都是一样的。但是对于磁介质晶体来说,情况就有点不一样了,以前的数据虽然被覆盖了,但在介质的深层,仍然会留存着原有数据的“残影”,通过使用不同波长、不同强度的射线对这个晶体进行照射,可以产生不同的反射、折射和衍射信号,这就是说,用这些设备发出不同的射线去照射磁盘盘面,然后通过分析各种反射、折射和衍射信号,就可以帮助我们“看到”在不同深度下这个磁介质晶体的残影。根据目前的资料,大概可以观察到4~5层,也就是说,即使一个数据被不同的其他数据重复覆盖4次,仍然有被“深层信号还原”设备读出来的可能性。当然,这样的操作成本无疑是非常高的,也只能用在国家安全级别的用途上,目前世界范围内也没有几个国家可以拥有这样的技术,只有极少数规模庞大的计算机公司和不计成本的政府机关能拥有这样级别的数据恢复设备,而且主要都是由美国人掌握。

看到这里,不知道我们的读者会有什么感想。在数据恢复领域,别人很早就已经能达到这样的技术高度了,而且现在,所有实质意义上的硬盘公司也全部都是别人的,但他们并没有大大咧咧到处炫耀。相反,我们国内的一些技术人员,数据恢复软件水平离日本还有十万八千里(被认为是“数据恢复软件之王”的FinalData是日本的产品),更不要说美国了;连属于自己的真正意义上的硬盘厂家都没有,算是小半桶水都不到了,但是摇晃起来倒是咣咣咣咣震天响。譬如某个南方的数据恢复公司设计了一个数据恢复软件(他们保密得很,我只看到了界面,没有真正看过工作方式和源码,不知道是不是“Banana软件”【注】,暂且算是他们设计的吧),10月23号的时候做了一次演示,把一个被PC-3000清空了缺陷列表的硬盘数据恢复出来,就认为效果很好了。可是,这本来就只是一个数据恢复软件应该做到的事情,国外的产品可以做到比这个更多,实在没有什么好炒作的。还有国内一个硬盘维修企业出了一个称为“国防版”的硬盘数据操作软件,但通过一些朋友在内部渠道了解过以后,不禁觉得有点失望——如果中国现在的国防级别软件也只能达到这个水平的话,未免太让人心灰意冷了吧。衷心希望这个“国防版”只是一句广告词而已。

【注】:Banana——香蕉。老美专指那些在美国出生的华裔,他们有中国人的黄皮肤,但是骨子里接受的却是美国白人的文化背景、生活方式和价值观念,因此用香蕉来比喻,取其“黄皮白心”之义。

现在,有一些中国的软件公司,他们好一点的,购买外国软件的核心算法和引擎自己重新开发,但是付了2年的使用许可费,第3、4年照样使用;差一点的,反汇编出外国软件的算法、流程和指令,自己编写一个同类软件;或者再恶劣一点,只是对外国的软件进行脱壳,只是换上自己写的一个中文界面,就堂而皇之地拿出来卖,美其名曰“民族软件”。对于这些软件,国外程序员比较无奈地,其中比较有幽默感的人就把这些软件统称“Banana软件”。这类软件在国内是令人难以置信地超大量存在,无论出品自大公司小公司,你叫得出名字叫不出名字,几乎毫无例外地有着“香蕉”的影子。


第5页:【几种硬盘问题的菜鸟处理方法】


相信很多读者都会对这个比较感兴趣,但是对于我来说却是非常不好写。毕竟,绝大部分读者都不是专家,一些在操作中被我们认为很理所当然的事情别人却未必能很好理解和掌握。另一方面,对于这样的问题,确实也不方便说得太多太详细,于是,就写成了下面这部分不伦不类的文字。尽管如此,我还是希望通过在这里的一些描述,让绝大部分使用者都可以自如地解决一些比较常见、而且大家也比较关心的硬盘问题。这样,大家在碰到一些常见问题的时候就不需要出去找那些搞硬盘维修的,让人狠宰了。其实,很多常见硬盘问题的处理方法在网上都登得滥了,非常容易找到一大堆解决的方法,因此这里不打算对一些网上有详细说明,而且可操作性很高的硬盘问题处理方法作描述。我这里想要说的,是一些也比较容易碰到,但是网上的说明却都是那些枪手们你抄我抄大家抄,毫无可操作性甚至根本不符合逻辑的那些问题的处理方法。不过我必须提醒大家,既然我说的这些都是比较棘手的问题,那你也别指望有太高的成功率,现代硬盘的结构和运行机理已经远比从前复杂很多很多了,我不可能每一个牌子每一个型号的硬盘都那样去试,这些方法的原理都是符合现代硬盘的结构和控制、运行机制的,但是能不能真正解决问题,还是要看操作者是否能够对硬盘故障的原因作出正确把握并能否灵活和综合运用各种工具软件。

1.硬盘分区表损毁

造成这个问题的最通常原因,是在电脑使用过程中突然停电。如果电脑在进行磁盘整理或者其他需要大量磁盘读写过程的操作的时候,突如其来的停电有很大可能会产生这种错误。大家不要认为这是很初级的硬盘问题,设身处地想一下,要是一些老鸟自己碰到这个问题,也会彷徨一下子的。问题主要是如果不需要数据的话,那么这个根本就不算是一个硬盘问题,只要重新分区格式化就搞定了;但是,如果里面有比较重要的数据的话怎么办?或者你比较懒,不想重装系统,能不能在保存系统和数据的情况下解决这个问题呢?对于这个要求,网上很多文章的介绍是用DiskMan这个软件去自动修复分区表。不过,在实际操作中,这样的方法倒是有点过于傻瓜化了,想靠软件去自动修复分区表,靠的其实是软件的算法,但是算法是死的,人却是活的,每个人自己硬盘的分区都不可能一样。跟据实际的操作证实,这样的恢复方法大概只有90%的修复率,就是说,能100%完全修复分区表的机会并不是很高。不过用DiskMan这个软件,主分区的恢复倒是一般不成问题,只要你的主分区恢复了,系统可以启动了,剩下的不能恢复的分区里面的数据可以试着用FinalData来恢复,在正常情况下,应该可以完全恢复过来。这个方法最大的优势是DiskMan支持的文件格式非常多,所以即使在NTFS、EXT等等其他格式的分区里,也能比较有效地恢复分区表。



(DiskMan界面)

不过,如果你的硬盘是FAT或者FAT32的话,我觉得上面的方法还是太复杂了,而且把希望全部寄托在两个软件的算法上面,没有调动人的主观能动性,太浪费人力资源了^_^。估计绝大部分人对自己用的计算机里面的硬盘分区大小还是心中有数的吧,如果能记得每一个分区的大小,这样就可以了。你原来用什么软件分区的,现在还是用它,一摸一样按照原来每个分区的大小重新分区,不过记住不要格式化。不要格式化这个非常关键,有一些分区软件如Partition Magic等等,通常在默认情况下都是分区连格式化的,在设置里面取消分区连格式化的选项。重新分区之后,用软盘、光盘启动或者把这块硬盘接到另外一台计算机上面,运行NDD(Norton Disk Doctor,不要告诉我你不知道这个是什么),执行扫描,很快,它就会发现硬盘分区错误和一些很专业的“莫名其妙”看不懂的错误,不知道说什么也没关系,接下来当然是修复这些问题啦。全部修复完以后,重新启动,你会惊奇地发现整个硬盘又已经可读了,所有分区跟原来都一模一样,所有原来的文件也完好无损,一个字节也没有少。这种方法的恢复成功率非常高,过程非常傻瓜但是又可以调动大家主观能动性。不需要运行专门的数据恢复软件,又能让大家真正去动手,使菜鸟也能拥有妙手回春的满足感,特能满足人们的虚荣心,哈哈。当然,最保险的办法还是在软盘或其他存储介质上备份一个分区表,这样可以令硬盘的安全系数得到大大提高。


(Norton Disk Doctor的DOS版界面)

2.硬盘逻辑锁

网上对于解除硬盘逻辑锁方法的文章可以说是汗牛充栋,但仔细看了,都是天下文章一大抄,每一篇都大同小异。其实,硬盘逻辑锁大体上可以分成逻辑死循环和增量偏移两种方式。再复杂的方式如全盘算法加密等等就不是普通的用户可以解决的了,因此这里也就不提也罢。

逻辑死循环也有很多种,从比较简单的0-1扇区死循环到比较烦人的C-D分区死循环,无非都是在分区表上作文章,人为地造成分区表的逻辑错误,使硬盘在启动的时候陷入死循环而不能启动,必须经过一些验证手段才能重新得到正确的分区表信息。网上很多文章都长篇大论,介绍了通过PCTools、DE(Disk Editor)甚至Debug命令来恢复的方法,这些恢复方法在理论上是正确的,不过都没有太大的现实意义。因为他们都忽略了,在他们长篇大论的时候,用户硬盘里面的磁头还在0-1扇区或者C-D分区之间不断地作往复运动。硬盘都启动不起来,还怎么去读取分区表信息?怎么把正确的信息写进去?磁头是没空做这个事情了,不知道他们是打算用铅笔写还是用圆珠笔写?

0-1扇区死循环还比较简单,软盘启动、光驱启动或者把硬盘挂在别的机器上还是可以动起来的,而如果是恼人的C-D分区死循环,则不论是软盘启动、光驱启动还是把硬盘挂在别的机器上,都不能启动机器。可笑的是,破除这个死循环的方法也是无比地简单,因为这种方式的逻辑锁其实是利用了MS-DOS里面IO.SYS的漏洞。IO.SYS文件是输入输出管理文件(Input and Output),它包含LOADER、IO1、IO2、IO3四个模块,其中IO1中包含有一个很关键的程序SysInt_I,它在启动中很固执,非要去读分区表,而且不把分区表读完誓不罢休。如果碰上分区表是循环的,它就只有死机了。同时, DOS为了获得硬盘使用权必须读分区表参数,而且DOS还约定驱动器号不能超过26,这是系统的设计者没有考虑到此等循环分区表的严重后果,这就是MS-DOS的脆弱性和不完备性。回过头来,如果不想陷入这样的逻辑死循环,只要不使用微软基于DOS(从DOS3.0到Windows Me)的操作系统就可以了。有很多系统可供选择:如PC-DOS 、DR-DOS、ROM-DOS等(建议大家去看看新DOS时代,里面有很多很有用的DOS方面的信息:
http://newdos.yginfo.net/dosmain.htm),另外,微软的NT/2000/XP系列也是可以的。硬盘动起来后,大家想怎么样就怎么样吧。不过我始终还是推荐大家用原厂的DM,毕竟是原厂的东西,对自己牌子的硬盘操作总是比较有把握的,而且,那些PCTools之类因为比较老,对FAT32、NTFS以及大硬盘等等的操作总有一些问题。也有热心的人把恢复正常分区表的指令编写成一个小程序,叫Unlock.com(有很多不同的人编写的不同版本,大家可以挑一些日期比较近的,太古老十八代的东西就不要用了),大家可以试用一下,效果还是有的。现在,一家叫Acronis的公司也来凑热闹,发布了一个叫AcronisUnlock的小程序,运行它可以创建一张软盘,用来为硬盘解锁。毕竟是一个商业产品,如果没有一定的作用谁敢拿出来?试了一下,虽然不是能治百病,但对一般的硬盘锁还是很有效的。


(Seagate的原厂DM)

增量偏移法当初其实不是用来制造逻辑锁,而是用来制作硬盘保护卡的,联想的“宙斯盾”和捷波的“恢复精灵”等硬盘保护软件也是采用了相似的技术。这种方法的原理就是在硬盘里面划出一个特别的区域,把整个硬盘的所有写入全部操作映射到这个区域中,这样,原来设置了受保护的系统和数据区域就不会受到新增加的写入信息的影响,甚至是文件的修改,其实也是映射到特定区域的操作。因此无论出现什么样的崩溃,只要一个按钮,就可以把原来受到保护的系统和数据恢复过来。不过对硬盘的保护好是好了,但如果换了一块主板,或者主板、保护卡坏了,要处理这个硬盘也真的十分头痛。因为上面说的方法对这个硬盘已经没有用了,你通过软件从硬盘里面读出硬盘分区表的数据,然后修改、写进去,可惜,这些正确的信息并没有真正写入分区表,而是都映射到那个特殊的区域去了,硬盘仍然不行。这样的硬盘,无论做重新分区、格式化甚至低格,完了你还是发现里面的数据纹丝不动。如果你运气好,知道硬盘是被“宙斯盾”或“恢复精灵”,又或者是什么其他硬盘保护卡保护过的,那么你只要找到相应的主板或硬盘卡,执行一次卸载过程就可以了;如果运气不好,不知道,那么试试下面的方法吧。

经过一些实践,可以用这样的方法来解除。找一块没有“宙斯盾”或者“恢复精灵”主板的机器,把这个硬盘作为从盘挂上,COMS设置里面把这个硬盘设成None(在大多数情况下,这样就已经能够解除映射信息对BIOS的欺骗,恢复软件对硬盘的实模式操作),然后运行fdisk /mbr,应该就可以恢复这个硬盘了。如果还是不行,那就干脆不要用微软的系统。在PC-DOS或者ROM-DOS下面运行原厂DM,把硬盘内部现有的分区表信息不管对错,全部推倒,重新使用该硬盘的默认盘面、磁头、柱面、扇区信息进行快速初始化并按照原来的分区大小和方式重新分区。如果阁下对数据的完整性十分在意,不想丢掉数据,那么完了以后试着用FinalData、EasyRecovery之类的软件吧,只能祝你好运(对这些数据恢复软件运用越纯熟,了解越多,数据恢复的成功率越高,建议大家平时有事没事多试试,所谓“平时多流汗,战时少流血”嘛)。要解决被增量偏移这种方法锁了的硬盘真的比较麻烦,就算非常有经验的人,恢复的成功率也是不高的。现在,我对“宙斯盾”和“恢复精灵”开始有点莫名地憎恨了,不知道大家是否有同样的感想,呵呵。

3.零磁道损坏

这样的文章网上太多太多了,遗憾的是很多都是几百年前的资料,都是在网上你抄我我抄你的。要命的是根据他们所说的用DE或者PCTools将硬盘的起始扇区从0面0柱1扇区改为0面1柱1扇区的方法,却根本没有一个人真正修好过零磁道。想来,大概是写这些文章的人自己也没有零磁道损坏的硬盘,没有真正看到过这样的硬盘是不是真的像他们想象的那样还可以动起来;或者,就是把修复软盘零磁道损坏的方法照样套在硬盘上去了。硬盘和软盘的结构和机制区别非常大,特别是现代硬盘,已经完全没有软盘原理的影子了。

零磁道损坏分为物理零磁道损坏和逻辑零磁道损坏。逻辑零磁道其实就是引导扇区(请注意,不是网上众多文章所说的主引导扇区,主引导扇区坏了的话是神仙也难救的),物理零磁道是主引导扇区。在老式的老爷硬盘里面,主引导扇区的信息通常是做在硬盘的Firmware上面的,所以硬盘没有物理零和逻辑零的区别,主引导扇区和引导扇区的称呼没有任何区别,其实都是指逻辑零。而现代硬盘,初始化信息的起点就是硬盘的物理零,如果物理零损坏了的话,硬盘根本无法完成初始化过程,通过软件方法根本没有成功恢复的可能性。通常,现代的硬盘启动的过程是这样的,通电后,磁头接收到从硬盘控制芯片上传来的第一个启动指令,然后开始读主引导扇区(物理零)的初始信息,确定硬盘保留区的位置,然后读硬盘保留区,确定缺陷列表、调入校验算法公式、读入内部操作指令等等。所有这些完成了,硬盘才算完成了初始化,正式进入工作状态。然后,硬盘开始读取引导扇区(逻辑零),确定硬盘的起点和分区表位置,读入分区表等等。从这个过程的分析中,我们可以看出,逻辑零磁道损坏的硬盘还是可以完成整个初始化过程,被系统认出来的,因此,也就存在着被软件修复的可能性。就不要用什么DE和PCTools了,庑┒际呛芾系娜砑诶鲜接才痰腃HS结构体系以及相应的3D寻址方式,跟现代硬盘的模块化结构和线性寻址方式是有很大差距的。按照网上文章的说明修改以后,对现代硬盘根本不会起作用,不信的话大家可以自己试一下(也会有起作用的时候,但那必须是你的主板BIOS里面有3D寻址-线性寻址翻译模块,并且恰好能够支持你想要修的那个硬盘,不过你要是觉得可以碰上这样的可能性的话,我劝你不如去买彩票算了)。用一个原厂的DM吧,DM用的人多了,但是我可以说估计没有几个人会有这个好奇心把里面所有的选项和功能都试一遍的。某些厂商的DM里面有一个项目,叫“高级选项”,进入后,选“自定义”选项,有一个项目的选项中,它会首先问你是否愿意按照硬盘参数默认的磁头、柱面和扇区参数来对硬盘分区和格式化,既然你的硬盘逻辑零磁道坏了,当然是选择“否”,然后DM会让你自己输入相应的磁头、柱面和扇区信息,这时候你应该知道如何做了吧?如果不幸你的硬盘品牌的相应DM没有这样的选项和功能,那么就试试用Acronis DiskEditor吧(要在Windows 2000/XP下面运行),试着用这个最新最强的扇区编辑软件封闭硬盘的逻辑零磁道,也可以达到相似的效果。不过无论是DM还是Acronis DiskEditor,这样的操作因为受到很多其他条件的约束,先决条件是必须能把硬盘认出来并且能够进行实模式操作,否则成功率不会高。而且对普通用户来说这些操作还是比较复杂,要多试几遍,多研究几次才可以提高成功率。


(Acronis DiskEditor)

对于物理零损坏,根据上面的硬盘初始化过程,我们可以知道,这样的硬盘根本连初始化都不能开始进行,无论什么系统什么软件都不可能对它进行操作,真正的软硬不吃。不过,这么久以来,我还没有真正碰到过物理零损坏的硬盘,所以也不知道像PC-3000这样的软件有没有这个能力修复。比较能确定的方法只能是回原厂用机器设备重新扫描定位,重写伺服信息,然后进行内部格式化来修复;或者,你可以找一家比较有实力,拥有硬盘伺服机的修复公司帮你修,不过成本方面就……嘿嘿。

总的来说,现在有很多公司根据现代硬盘的结构和原理,配合现在比较通用的Windows操作系统平台,设计了很多非常新的、功能很强大的软件,譬如Acronis,这家公司的全套系统工具包括DiskEditor、Drive image、OS Selector、Unlock(解除硬盘逻辑锁)等等十多个,都应用了现在硬盘的基本原理,功能也非常全面。在进行各种硬盘操作的时候,适当进行各种软件的新旧搭配,互相配合使用,经常会发现有意想不到的效果。这些就需要大家在实际操作中摸索并熟练使用才可以达到的了。


第6页:【后记】


每次想到硬盘、数据,就不由得想到了国内的进口二手垃圾。说句实在话,别人敢于向国内出口硬盘垃圾,其实就是想着我们也只能把这些硬盘修修当二手的用而已。如果国内的数据恢复水平能够普遍提高,我相信外国往国内输出二手计算机零配件的时候会三思而后行的——保不准里面还有IBM、Microsoft的哪一个高级工程师用的硬盘呢;说不定还有政府部门甚至国防部的机器用过的硬盘呢。嘿嘿,说说笑话而已,他们公司和政府的关键部门所使用的硬盘都要通过Disk Eraser这类硬盘数据销毁设备处理过后才会扔的啦。



(日立出品的Disk Eraser)

在这里,如果大家对自己动手解决一些硬盘问题比较感兴趣,我衷心提议大家先不要忙着满互联网地找一些你我都不知道是谁写、做什么用的第三方工具,多留意一下原厂家的网站,用用他们原厂的工具软件。虽然厂家为了尽量避免让大家修硬盘修得很爽,并没有在原厂DM和其他原厂工具上面提供太丰富的功能,但基本的功能还是会提供给大家的,而且性能非常可靠,功能也很实用。而且有时候原厂工具的较低版本里面维修功能可能比新版本多,譬如西部数据的原厂低格程序WDClear,它是比较旧了,最高版本也就是1.3,而且只支持最大8.4GB的小硬盘。但是它的功能却非常强大,比现在西部数据的DM(当然,厂商不一定把这个程序叫DM,反正不管叫什么名字,我们知道它其实就是DM就行了)要强很多。不少硬盘维修商就非常清楚它的作用,它体积小,功能大,具备非常快速而准确的盘面检测能力,能够快速进行坏道修复,可以智能跳过顽固物理坏道,正是因为这些优点,它成为了不少维修商的修盘利器!

把这个程序放在一个完好的主硬盘里,把待修的硬盘(要西部数据的盘,不然我不保证会发生什么后果)放在其他IDE接口上。运行WDClear,会出现一个蓝色的窗口和几行简单的英文,右面还有一个红色的小窗口,显示硬盘的型号、串号、固件版本信息等,如果还想看更详细的参数,就选择“查看检测结果”。这里面的参数更详细一些。现在,里面显示了两个硬盘参数,选择你要维修的硬盘的参数,回车。选“读取并检测磁盘”,回车,确定,于是软件就对硬盘的表面开始检测了。在扫描过程中检测到的坏道,只是显示坏道的类型和位置,软件不会对它们做任何的修复和写入处理。扫描完以后,确定了坏道的位置,就可以使用“清零驱动器”来把坏道清除或者写入G列表。所以有时候原厂的东西,版本老一点的还是很有作用的,反正你要修的也是旧盘嘛,新的硬盘只要好好用,哪里会这么快就坏了呢?


(WDClear主界面)

一口气写了这么多,主要还是因为觉得目前国内有一种很不好的风气“浮夸”,大家都在互相抄袭,急功近利,你说你的路由设备有3000条规则,我就会说我的有5000条,纯粹的基于利益的炒作,丝毫没有科学的精神在里面(路由规则越多,说明路由效率越低下,通常2500~3000是一个比较合理的数字,既可以保证足够的安全和路由效果,又可以维持比较高的路由效率。记住了,购买时看到在路由规则上攀比的厂商就要留意了)。又譬如,出品PC-3000的俄国ACE Laboratory在国内原来只有一家代理商,PC-3000的首年升级、技术支持和培训都是免费的,但是因为国内是独家代理,导致代理商扣起客户的升级和支持帐号与密码,每次升级收费几百到一千不等的升级费,技术支持收几百元的咨询费,培训收培训费等等。很多客户不满,纷纷越过代理,通过香港和美国直接向ACE Laboratory购买,严重影响了ACE Laboratory的声誉。焦头烂额的ACE Laboratory只好又在国内增加了一个代理,希望通过竞争,杜绝这种现象。还有,就是现在网络上、报纸杂志上不少所谓技术性比较强的专业文章其实都只是故作高深,似是而非的东西,没有误导已经很不错了,对读者并没有任何帮助。

也有的人,在网上发布信息,售卖硬盘、主板维修或者其他各种的资料,每份要价一千到数千元不等。其实里面只有十多页纸,都是网上找来的大路货,没有任何实质性的内容,而且售卖的人其实连这些资料是对是错都分不清。实际上,现在是一个资讯时代,很多资料和信息都已经相当公开了。如果大家还想着因为自己掌握了那么一点点东西,就拼命保守这些所谓的秘密,希望利用对信息的封锁、利用用户的无知来达成一定的经济效益的话,那就错了。现在,只有本着公平、公开的原则来经营,凭着坚持不懈的意志去做研究,才能从根本上提高自己公司的技术水平,获得真正的经济利益。

作为一个在海外的中国人,当然希望自己的祖国可以早日强大,但所有的事情都是有自己的客观发展规律的,并不能一步登天。北京某名牌大学说要把自己办成世界级的一流大学,向哈佛看齐什么的,我不知道他们凭什么这样说。先不要说哈佛物理系的大功率粒子加速器和粒子对撞设备,光是校园里面的Internet 2的超高速校园网、能模拟流体力学实况的巨型计算机,国内就没有什么大学能够做到。落后并不可耻,只要我们敢于正视,我们的技术人员能够多动脑去搞研究,多动手去做实验,少动嘴去吹牛皮,相信很快我们就可以拥有与国外相同层次和水平的技术与设备。

关于硬盘的文章现在是告一段落了,为了保证所有本文所作的说明和描述的正确性,作者已经尽量找到相关的官方和权威资料,并且对一些可以实际操作的案例作了实际操作。本文所提到的软件和公司都经过再三查实,提到的软件也真正经过实际试用,可以说已经尽可能地说出了事实。但为了防止一些意外的原因导致的失误,如果有人对上面文章里的叙述有任何疑问,可以电邮给我,我们可以在电邮里面作进一步的沟通和交流(作者的电邮地址:
zhiming_huo@tom.com,有兴趣的读者可以跟作者做一下交流)。以后有机会的话我还会逐步介绍一些目前国外先进的IT产品和技术,希望能够帮助大家更多地了解IT这个领域,更多地了解国外的先进技术和思想,也能更客观地评价目前国内IT业的地位和水平。

在Windows2000中,备份与恢复Active Directory是一项非常重要的工作。在NT中,所有有关用户和企业配置方面的信息都存储在注册表中,因此我们只需要备份注册表即可。但是在Windows2000中,所有的安全信息都存储在Active Directory中,它的备份方法与在NT中是完全不同。 

  你不能单独备份Active Directory,Windows2000将Active Directory做为系统状态数据的一部分进行备份。系统状态数据包括注册表,系统启动文件,类注册数据库,证书服务数据,文件复制服务,集群服务,域名服务和活动目录8部分,通常情况下只前3部分。这8部分都不能单独进行备份,必须做为系统状态数据的一部分进行备份。 


一.备份Active Directory数据 

  如果一个域内存在不止一台DC,当重新安装其中的一台DC时备份Active Directory并不是必需的,你只需要将其中的一台DC从域中删除,重新安装,并使之回到域中,那么另外的DC自然会将数据复制到这台DC上。 

  如果一个域内剩下最后一台DC,那就非常有必要对Active Directory进行备份。详细过程如下: 

  1."开始"菜单->"运行",输入"ntbackup",启动win2000备份工具。 
  2.在"欢迎"标签中使用"备份向导",在备份向导对话框选择备份的内容页面中选择"只备份系统状态数据",下一步。 
  3.在"备份保存的位置"页面中输入存放备份数据的文件名,如"d:akAD0322。bkf",下一步,完成备份向导。如果要进行一些设置,如备份完成后验证数据,请使用"高级"选项进行配置。 
  4.选择"完成"开始备份,根据数据的多少,可能需要几分钟到十几分钟甚至更长一段时间。备份完毕系统会生成备份报表。 
  5.建议:通常备份的文件比较大,我备份了几次都在250-300M之间,因此需要找一个大容量的空间存放。因为备份中包含非常敏感的账号等方面的信息,因此备份的数据要妥善保存。 

二.Active Directory的恢复 

  有两种办法可以恢复Active Directory。 

  第一种是从域的其它DC上恢复数据,前提是域内必须还有一台DC是可用的,这时当损坏的DC重新安装并加入到它原来的域时,DC之间会自动进行数据复制,Active Directory随之会恢复。 

  另一种方法就是从备份介质进行恢复。通常情况下,对于大多数小型公司来说,整个公司只有一个域,由于资金等诸方面的限制也只有一台DC,因此从介质恢复Active Directory是经常遇到的事情。 

1.验证方式和非验证方式 

  从备份介质进行Active Directory恢复有两种方式可以选择:验证方式(authoritative restore)和非验证方式(nonauthoritative restore)。 

  通常情况下,Windows2000使用非验证方式恢复:Active Directory从备份介质中恢复以后,域内其它的DC会在复制过程中使用新的数据覆盖旧的恢复过来的旧的数据。举个例子,假设今天是星期五,你使用了星期三的备份对Active Directory进行了恢复,那么从星期三以来已经更改了的数据会复制到你正在恢复Active Directory的DC上,也就是新数据会覆盖你使用备份恢复的数据。 

  验证模式则完全不同,它会将从备份介质恢复过来的数据强行复制到域内所有的DC上,无论从备份以后数据是否发生了变化。还拿上面的例子来说,当你在星期五使用星期三的备份恢复了Active Directory后,这些恢复过来的数据会复制到域内所有的DC上,强行将备份后发生改变的所有数据覆盖掉,域内数据就恢复到了备份时的状态。验证模式恢复Active Directory通常用于这种情况:Active Directory在域内某台DC上发生了严重的错误,而且这种错误通过复制扩散到了域内的其它DC上,这时就需要在某台DC上使用验证方式恢复Active Directory,强制使域恢复到原来的好的状态。应该说这种方式是用的比较多的一种恢复Active Directory的方式。 
2.非验证恢复Active Directory 

  要实现非验证恢复,目录服务必须处于离线状态(备份Active Directory时目录服务不必处于离线状态)。为恢复Active Directory,你必须使用server处于"目录服务恢复模式"。要做到这一点,需要重新启动server,当屏幕提示你选择操作系统时,按F8,启动系统启动高级菜单,选择"目录服务恢复模式"。 

  当Windows2000出现用户登录窗口时,输入本地管理员账户和密码(注意,不是在Active Directory中的管理员的账号和密码,因为这时Active Directory处于离线状态,不可用。你只有使用存储在安全账户管理器,有时称之为SAM中的管理员账号和密码进行登录)。登录成功后,你就可以进行恢复Active Directory的操作。 

  (1)启动Windows2000自带的备份程序:"开始"->"运行",输入"ntbackup"; 
  (2)在欢迎标签中选择"恢复向导",跳过欢迎画面,备份程序会显示可以用于数据恢复的备份集。 
  (3)选择合适的备份文件,完成数据恢复。重新启动机器即可。 
  (4)注意:通常情况下,你不能恢复60天以前备份的Active Directory数据,这是因为受Windows2000 tombstone lifetime(可以理解为生存时间吧,因为不能准确的翻译出其含义,只好照搬上了。—-沧海),除非你进行了设置。 

3.验证方式恢复Active Directory 

  为实现验证方式恢复,你必须首先实现非验证方式恢复,然后你可以使用NTDSUTIL命令行工具实现验证式Active Directory恢复。验证式恢复可以实现全部或部分Active Directory数据的恢复。 

  (1)使用非验证方式恢复Active Directory,重新启动机器。 
  (2)再次使用"目录服务恢复模式"启动Windows2000,以管理员身份登录。 
  (3)"开始"->"运行",输入"ntdsutil",启动命令行工具。 
  (4)恢复整个Active Directory数据库,使用下列命令: 

  authoritative restore 
  restore database 

  恢复部分Active Directory数据,使用下列命令: 

  authoritative restore 
  restore subtree ou=Brien,dc=files,dc=COM 

  红色部分要根据实际情况确定,比如你的域名字是mydom。net,要恢复的OU是myou则第二行命令应该是:restore subtree ou=myou,dc=mydom,dc=net,依此类推。恢复部分数据的方式有时用来恢复被删除的OU,如某域内有两个管理员,你和A,A有点菜:),昨天晚上不小心把一个重要的OU给删除了,今天你就可以使用验证式恢复将这个OU给恢复过来,前提自然是你有这个OU被删除之前的备份。 

本文对加密文件系统 (EFS) 及技术进行了概述。该系统包含在 Microsoft&reg; Windows&reg; 2000 操作系统中。

 

EFS 提供的核心文件加密技术可将加密的 NTFS 文件存储到磁盘上。EFS 特别考虑了其他操作系统上的现有工具引起的安全性问题,这些工具允许用户不经过访问检查就可以从 NTFS 卷访问文件。使用 EFS,NTFS 文件中的数据在磁盘上进行了加密。所用的加密技术是基于公钥的,并作为一个集成系统服务运行;它易于管理,不易受到攻击,并且对用户是透明的。如果用户要访问一个加密的 NTFS 文件,并且有这个文件的私钥,那么用户能够打开这个文件,并透明地将该文件作为普通文档使用。没有该文件私钥的用户被拒绝对文件的访问。
概述
个人计算机系统采取的一个标准安全措施就是,在试图从硬盘引导前,尝试从软盘引导。这可以保护用户避开硬盘驱动器故障以及被破坏的引导分区。不幸的是,它方便了启动不同的操作系统。这意味着可以物理访问系统的人可以使用可读取 Windows NTFS 盘上结构的工具,绕过 Microsoft&reg; Windows&reg; NT 文件系统访问控制的内置安全功能。很多硬件配置提供了类似引导口令的功能来限制此类访问。但此类功能并没有得到广泛使用。在典型环境中,多用户共享一个工作站,这些功能没有很好地发挥作用。即使这些功能获得了普遍使用,口令提供的保护也不是很强大。
未经授权的数据访问已成为一个严重问题,比较典型的有:
· 失窃的膝上型计算机–要拿走无人看管的膝上型计算机只需一会儿的功夫。如果窃贼偷计算机并不是为了卖掉它来获利,而是对存储在硬盘上的敏感信息感兴趣,那么会产生什么样的后果?
· 不受限制的访问–办公室桌面系统无人看管时,任何人都可进来从无人看管的计算机中很快地将信息窃走。
这种安全性问题的根源就是敏感信息,通常这些信息以未加保护的文件形式存储在磁盘上。如果 Windows NT 是唯一可运行的操作系统,并且不能物理地卸下硬盘驱动器,就可以限制对存储在 NTFS 分区上敏感信息的访问。如果有人真想获得信息,他们如能物理访问计算机或硬盘驱动器,就不难获得这些信息。使用允许从 MS-DOS&reg; 和 UNIX 操作系统访问 NTFS 文件的工具,就会很容易地绕过 NTFS 安全机制。
数据加密是解决这一问题的唯一方案。市场上有很多产品使用由口令演变而来的密钥技术,提供应用程序级的文件加密。但这些加密方法大多具有一些局限:
· 每次使用时手动加密和解密。对大多数产品而言,加密服务对用户不透明。每次使用前,用户须先将文件解密,文件完成后再重新加密。如果用户忘记了加密文件,那么该文件不受保护。因为每次使用必须指定要加密(和解密)的文件,所以它可能会被忽略。
· 临时文件和分页文件的泄密。很多应用程序在用户编辑文档时创建临时文件(例如,Microsoft Word)。这些临时文件存放在磁盘上未经加密,即使原始文档加过密也是如此,这样数据很容易被窃取。应用程序级加密运行在 Windows 用户模式下。这意味着,用户的密钥可能存储在分页文件中。仅仅通过挖掘一个内存分页文件,就可以轻而易举地使用一个密钥访问所有文档。
· 安全性差。密钥来自口令。如果使用很容易记的口令,字典攻击可以轻易破坏这种安全性。
· 没有数据恢复。很多产品不提供数据恢复服务。对用户来说,这又是一件令人沮丧的事情。对不想再记一个口令的用户,更是如此。而提供基于口令的数据恢复时,又产生了另一个访问的漏洞。要窃取数据的窃贼只需获得此恢复机制的口令,就可以获得对加密文件的访问。
加密文件系统 (EFS) 定位到所有这些问题,甚至更多。下面四节详细讨论了加密技术,以及加密在系统、用户界面和数据恢复的何处进行?
EFS 是基于公钥的加密技术,它使用了 Windows 的 CryptoAPI 结构。每个文件都是使用随机产生的密钥加密的,这种密钥独立于用户的公钥/私钥对,从而扼制了多种基于密码分析的攻击。
文件加密可以使用任何对称加密算法。第一版的 EFS 将 DES 作为加密算法。将来的发行版本将允许其它的加密方案。
EFS 也支持对存储在远程文件服务器上的文件加密和解密。备注 在这种情况下,EFS 只对磁盘上的数据加密。EFS 不加密在网络上传输的数据。Windows 提供了诸如 SSL/PCT 的网络协议,对网络上的数据访问进行加密。
EFS 与 NTFS 紧密地集成在一起。当创建临时文件时,只要所有文件在 NTFS 卷上,原始文件的属性就会被复制到临时文件中。如果加密了一个文件,EFS 也会将其临时文件进行加密。EFS 驻留在操作系统内核中,并且使用不分页的池存储文件加密密钥,保证了密钥不会出现在分页文件中。
EFS 的默认配置允许用户不需任何管理努力,即可开始对文件进行加密。EFS 自动为用户文件加密生成一个公钥对(如果没有)。
单个文件或完整目录均支持文件加密和解密。目录加密是强制为透明的。在标为加密的目录中创建的所有文件(和子目录)自动被加密。每个文件具有唯一的加密密钥,这样文件重命名很安全。如果将加密目录中的一个文件重命名到同一卷上的未加密目录上,该文件仍是加密的。加密和解密服务可从 Windows Explorer 获得。对高级用户和恢复代理还提供了命令行工具和管理界面,他们可以充分利用此功能。
文件使用前不需要解密。当向磁盘存储和从磁盘读取字节时,加密和解密透明地完成。EFS 自动检测加密文件,并从系统密钥存储区定位用户密钥。因为密钥存储机制是基于 CryptoAPI 的,用户在将密钥存储在诸如智能卡的安全设备上方面具有很大的灵活性。


EFS 的早期版本不支持文件共享。但是,EFS 结构是为任意数量的用户使用其公钥、实现文件共享而设计的。然后,用户可以使用他们的个人私钥,独立地解密文件。可以方便地从一组许可共享加入用户(如果他们有配置的公钥对)或删除用户。
EFS 提供内置的数据恢复支持。Windows 2000 安全基础结构强制对数据恢复密钥的配置。只有当系统配置了一个或多个恢复密钥时,才可以使用文件加密。EFS 允许恢复代理配置用于启用文件恢复的公钥。使用恢复密钥时,仅仅文件随机产生的密钥可用,用户的私钥不可用。这保证了其它私人信息不会无意中泄露给恢复代理。
数据恢复是出于对大多数业务环境的考虑,例如员工离开公司后或加密密钥丢失时公司要恢复员工加密过的文件。恢复策略可以在 Windows 域的域控制器中定义。此域中的所有计算机都被强制执行此策略。恢复策略处在域管理员控制之下,域管理员使用 Windows 目录服务委派功能,可以将此策略委派给受托的数据安全管理员帐户。这提供了更好、更灵活的方法控制被授权恢复加密数据者。通过允许多恢复密钥配置,EFS还支持多恢复代理,为单位实现恢复过程提供冗余和灵活性。
EFS 也可用于家庭环境。在没有 Windows 域的情况下,EFS 自动生成恢复密钥,并将它存为机器密钥。通过使用管理员帐户,家庭用户也可以使用命令行工具恢复数据。这减少了家庭用户的管理开销。
使用加密文件系统
下面几节提供用户一些案例用以说明 EFS 是如何工作的。
下图给出了 Windows Explorer 用于文件加密服务的上下文菜单。
上下文菜单提供用户以下 EFS 功能:
· 加密–此选项允许用户加密当前选定文件。如果当前选定的是一个目录,此选项让用户加密目录中的所有文件(和子目录),并标记目录为已加密。
· 解密–此选项与加密选项正好相反。此选项使用户能够将当前选定的文件进行解密。如果当前选定的是一个目录,此选项使用户能够将目录中的所有文件进行解密,并将目录重设为未加密目录。
· 配置-用户可以生成、导出、导入和管理用于基于 EFS 的文件加密的公钥。配置与用户安全设置的其它部分集成在一起。此功能是为要管理自己密钥的高级用户开发的。通常,用户并不需要进行任何配置。如果用户没有用于文件加密的配置的密钥,EFS 自动为他生成密钥。
除了图形界面,Windows 2000 还提供命令行工具以丰富管理操作的功能。命令行工具有:
· 密码命令行工具–可以在命令提示符下加密和解密文件。
例如:
o 要加密"C:\My Documents"目录,用户键入:
C:\>cipher /e "My Documents"
o 要加密所有带有"cnfdl"的文件时,用户键入:
C:\ >cipher /e /s *cnfdl*
完整的 cipher 命令支持以下选项:
CIPHER [/E | /D] [/S[:dir]] [/A] [/I] [/F] [/Q] [filename [...]]
/E 加密指定文件。目录会被标记,这样以后添加的文件就会被加密。
/D 解密指定文件。目录会被标记,这样以后添加的文件就不会被加密。
/S 对给定目录及所有子目录中的文件进行指定操作。默认"dir"指的是当前目录。
/I 即使发生了错误,也要继续执行恢复操作。默认情况下,当出现错误时,CIPHER 命令停止执行。
/F 对所有指定文件强制执行加密操作,即使是对已加密的文件。默认情况下,会跳过已加密的文件。
/Q 仅报告最基本的信息。
filename 指定一个模式、文件或目录。
如果没有参数,CIPHER 命令显示当前目录及目录下文件的加密情况。可以使用多文件名和通配符。多个参数之间必须加空格。
· Copy 命令–此命令将用新的选项加以扩展,以可移植的格式导出和导入加密文件。
例如:
o 要将加密文件导出到软盘上,用户键入:
C:\>copy /e EncResume.doc a:
copy命令支持的新选项是:
copy [/E |/I] sourcefile destinationfile
/E 将加密文件 (sourcefile) 作为一个不透明的加密位流导出到目标文件 (destinationfile)。目标文件 (destinationfile) 不必在 NTFS 卷上,它可以是软盘上的 FAT 文件。
/I 将来自源文件 (sourcefile) 的不透明位流作为 NTFS 卷上的 EFS 加密文件导入。源文件 (sourcefile) 不要求是 NTFS 文件。但目标文件 (destinationfile) 则必须是 NTFS 文件。


文件加密
用户只需选择一个或多个文件,然后从"文件加密"上下文菜单中选择"加密"。EFS 对选定文件进行加密。
文件一旦加密,就以加密形式存储到磁盘上。对文件的所有读写均透明地解密和加密。要查看文件是否已加密,用户可以检查文件的属性,看加密属性位是否打开。因为加密是透明的,用户可以像以前一样使用文件。例如,用户仍可以像以前一样打开 Word 文档进行编辑,或者使用 Notepad 打开和编辑文本文件。任何其他用户要打开此加密文件,就会出现访问被拒绝的错误,这是因为此用户没有解密文件的密钥。
用户(此处指管理员)不应加密系统目录中的文件,因为系统引导时需要这些文件。在引导过程中,用户的密钥不能解密这些文件。这一操作会使系统失去作用。Windows Explorer 使用户无法加密带有系统属性的文件,来防范此类操作。Windows 将来的发行版本会提供支持系统文件加密的安全引导功能。
EFS 也给用户提供了在不同系统之间传送加密文件的功能。"导出加密文件"和"导入加密文件"功能是 Windows 命令提示符下 Copy 命令的扩展。用户要做的只是使用导出选项,指定一个已加密文件作为源,并指定另一个在未加密目录中的文件作为目标。导出文件仍是加密的。然后,用户可以将此导出文件复制到别的文件系统,包括 FAT、备份磁带,或者像普通文件一样,将它作为电子邮件附件发出。要在复制的目标系统上使用这个文件,用户须将导出的文件指定为源文件,在 NTFS 卷上的新文件名作为目标文件进行导入,这样系统会创建一个新的加密文件。备注:简单地复制文件会得到一个明文副本,除非复制文件的目录已标为加密,则副本会被再次加密。这是因为普通复制命令使用由 EFS 透明解密的文件读取。这可用来创建用于分发的加密文件的明文副本。
目录加密
用户也可以使用 Windows Explorer 上下文菜单,将目录标为加密目录。将一个目录标记为加密目录可确保以后此目录中的所有文件默认为加密且所有子目录均标为加密。文件的目录列表不加密,只要对该目录有足够的访问权限,就可以和平时一样列举文件。
将目录标记为加密与文件加密类似。用户选定文件,然后在 Windows Explorer 中选择加密选项。在这种情况下,用户可以选择仅将目录标记为加密,或者将目录下所有文件及子目录标为加密。使用目录加密,用户只需将敏感文件复制到加密目录中就可对其进行管理。
文件或目录解密
普通操作时用户并不需要将文件或目录解密,因为在数据读写过程中 EFS 提供透明的加密和解密。然而在特定场合下,例如用户需要与其他用户共享一个加密文件时,可能需要这样的操作。
用户可以使用 Windows Explorer 上下文菜单,对文件进行解密和标记目录为未加密。此操作与加密类似。在一个或多个文件上执行此操作,EFS 对整个文件进行解密,并将其标为未加密文件。对一个目录进行解密时,上下文菜单也提供选项,递归地对目录中的所有加密文件及子目录进行解密。
EFS 恢复策略作为系统整个安全策略的一部分来实现。它或者是作为 Windows 域域安全策略的一部分,或者是作为独立工作站和服务器的本地安全策略的一部分。作为域安全策略的一部分,它适用于域中所有基于 Windows 2000 或 Windows NT 的计算机。"EFS 策略"用户接口已被集成为"域策略"和"本地策略"接口的一部分。此接口允许恢复代理通过公用密钥管理控制生成、导出、导入和备份恢复密钥。恢复策略与系统安全策略的集成提供了一致的安全强制模型。Windows 安全子系统负责强制、复制和缓存 EFS 策略。因此,用户能够在暂时脱机的系统(如膝上型计算机)上使用文件加密,这与用户可以使用缓存凭据够登录到他们的域帐户非常相似。
· EfsRecvr 命令行工具–使恢复代理使用任一恢复密钥,就可以查询恢复密钥和恢复一个加密文件。
例如:
o 要恢复 My Documents 目录中的所有文件,恢复代理可以键入:
C:\>efsrecvr /s:"My Documents" *.*
cipher 命令支持以下选项:
EFSRECVR [/S[:dir]] [/I] [/Q] [filename [...]]
/S 对给定目录中及所有子目录中的文件进行恢复。默认"dir"指的是当前目录。
/I 即使发生了错误,也要继续执行恢复。默认情况下,当出现错误时,CIPHER 命令停止执行。
/Q 只报告最基本的信息,包括恢复密钥标识列表以帮助恢复代理加载适当的密钥。
filename 指定了一个模式、文件或目录。
加密恢复
在 EFS 可以使用之前,EFS 要求在"域"的层次(或在本地,如果计算机不是一个域的成员)设置数据恢复。恢复策略由域管理员设置(或由称为恢复代理的受托人设置),系统管理员控制域中的所有计算机的恢复密钥。
如果一个用户丢失了私钥,被该密钥保护的文件可通过以下方式进行恢复:导出该文件,并以电子邮件的方式发送到一个恢复代理。恢复代理使用恢复私钥将文件导入到安全的计算机上,并使用恢复命令行工具解密该文件。然后,恢复代理将明文文件返回给用户。在没有域的小型业务环境或家庭环境中,恢复可以自己在独立的计算机上完成。


EFS 结构
本节提供对 EFS 的一个简要的技术和结构概述。
EFS 采用基于公钥的方案实现数据加密和解密。文件数据加密使用带有一个文件加密的 (FEK) 的快速对称算法完成的。FEK 是随机产生的一定长度的密钥,其长度是由算法决定的,或是由法则决定(如果算法支持可变长度的密钥)。与 EFS 有关的导出问题将在一个单独的文档中进行讨论。
FEK加密使用一个或多个密钥加密公钥,生成一个加密的 FEK 列表。用户密钥对的公共部分用来加密 FEK。加密的 FEK 列表与加密文件一起存储在一个特殊的 EFS 属性中,该属性称为数据加密字段 (DDF)。文件加密信息与文件紧密地捆绑在一起。用户密钥对的私有部分在解密过程中使用。FEK 是通过使用密钥对的私有部分进行解密的。用户密钥对的私有部分安全地存放在别的地方,如智能卡或其它安全存储设备上。
备注 用户密钥也可以使用对称算法加密,如由口令演变而来的密钥。EFS 并不支持这种密钥,因为基于口令的方案自身安全性较弱,易受到字典攻击。
FEK 也使用一个或多个恢复密钥加密公钥进行加密。再者,每个密钥对的公共部分用来加密 FEK。此加密的 FEK 列表与文件一起存储在一个特殊的 EFS 属性中,该属性称为数据恢复字段 (DRF)。加密 DRF 中的 FEK,只需要恢复密钥对的公共部分。在正常文件系统操作中,要求这些公共恢复密钥始终在 EFS 系统上。恢复本身一般很少用到,只是当用户离开公司或者丢失密钥时才使用。正因为如此,恢复代理可以将密钥的私有部分安全地存放到别的地方(智能卡或其它安全的存储设备上)。
下图给出了加密、解密和恢复过程的示意图。
图1 文件加密过程
图1 表示加密过程。用户的明文文件使用随机产生的 FEK 加密。文件加密密钥与文件存储在一起,文件是使用 DDF 中的用户公钥和 DRF 中的恢复代理公钥进行加密的。备注:此图表示仅一个用户和一个恢复代理–实际上可以是使用独立密钥的一组用户和一组恢复代理列表。EFS 的第一版支持单用户和多恢复代理。
图2 文件解密过程
图2 表示解密过程。用户的私钥用来对 FEK 进行解密,它使用 DDF 中相应的加密 FEK 项。FEK 以块为单位对文件数据读取进行解密。当对大文件进行随机访问时,只对从磁盘中读取该文件的特定块进行解密。不需要对整个文件进行解密。
图3 文件恢复过程
图3 表示恢复过程。恢复过程与解密类似,只是它使用恢复代理的私钥来解密 DRF 中的 FEK。
此简单方案提供了强大的加密技术,使多用户能够共享一个加密文件,也允许多恢复代理恢复此文件(如果需要)。此方案中算法使用十分灵活,在各个加密阶段,可使用任意的加密算法。这是至关重要的,因为产生了新的和更好的加密算法。
EFS 结构如图 4 所示。
 
图 4 EFS 结构
在 Windows 2000 操作系统中,EFS 由以下组件组成:
· EFS 驱动程序。 EFS 驱动程序在 NTFS 上面一层。它与 EFS 服务通信,请求文件加密密钥、DDF、DRF 和其它密钥管理服务。它将信息送到 EFS 文件系统运行时库 (FSRTL),以透明地执行各种文件系统操作(打开、读取、写入和附加)。
· EFS FSRTL。FSRTL 是 EFS 驱动程序中的一个模块,用于实现 NTFS 标注以处理各种文件系统操作,如对加密文件和目录的读取、写入和打开操作,以及文件数据写入磁盘或从磁盘中读取时对文件数据的加密、解密和恢复。即使 EFS 驱动程序和 FSRTL 都是以单个组件实现的,它们之间从不直接通信。它们使用 NTFS 文件控制标注机制相互传递消息。这保证了 NTFS 参与所有的文件操作。使用文件控制机制完成的操作包括,将 EFS 属性数据(DDF 和 DRF)作为文件属性写入,以及将 EFS 服务中计算的 FEK 传送到 FSRTL,使之可以在开放文件上下文中建立起来。此文件上下文又可用于磁盘文件读写操作的透明加密和解密。
· EFS 服务。EFS 服务是安全子系统的一部分。它使用本地安全授权 (LSA) 和内核模式安全参考监视器之间的现有 LPC 通信端口与 EFS 驱动程序进行通信。在用户模式下,它面对 CryptoAPI,提供文件加密密钥并生成 DDF 和 DRF。EFS 服务也支持 Win32&reg; API 的加密、解密、恢复、导入和导出。!
· Win32 API。它为加密明文文件、解密和恢复密文文件、导入和导出加密文件(没有先解密)提供了编程接口。Advapi32.dll(一个标准的系统 DLL)支持这些 API。
  EFS 的导出问题
EFS 对授权的恢复代理提供数据恢复。Microsoft 致力于满足当前加密导出策略规章以及为国际用户提供多于 40 位的加密技术,数据恢复结构就是其中的一部分。朝着这个努力方向,EFS 使用了标准 DES 加密算法,此算法是基于 56 位加密密钥。EFS 设计支持不同密钥强度的不同加密算法,以便将来的改进。
现在,Microsoft 正与美国政府一起,寻求获得使用 56 位 DES 的 EFS 文件加密算法的导出批准。由于检查还在进行当中,Microsoft 给国际用户提供 40 位 DES 实现的 EFS,作为文件加密算法。在北美市场,Windows 产品则使用标准的 56 位 DES 加密算法。用 40 位 EFS 版本加密的文件可以导入到支持 56 位 DES 的 EFS 版本。然而,使用 56 位 EFS 版本加密的文件不能导入到 40 位 DES 的 EFS 版本中,以符合美国导出规章的要求。将来,如果规章允许导出功能更强的加密技术,世界各地的用户可以透明地迁移和使用 EFS 新的、更强的加密算法。
结论
有了 Windows 2000 的 EFS,用户可以使用强大的基于公钥的加密方案,对单个 NTFS 文件以及整个目录进行加密。
· EFS 通过文件共享,支持远程文件的加密。
· 使用 EFS,企业可以建立数据恢复策略,如需要,可以恢复用 EFS 加密的数据。
· 恢复策略与整个 Windows 安全策略集成在一起。对此策略的控制权可以委派给有恢复权限的个人。
· EFS 中的数据恢复是内含的操作。它仅显示恢复的数据,而不是用于加密文件的用户个人密钥。
· 使用 EFS 的文件加密不要求用户每次使用都对文件加密和解密。对磁盘文件进行读写操作时,解密和加密透明地进行。
· EFS 支持导出和导入功能,允许不经解密就可以对加密文件进行备份、还原和文件传输。
· EFS 与操作系统集成到一起,这样就不会将密钥信息泄露到分页文件中,保证了加密文件的所有临时副本都得到了加密。
· 北美版本的 EFS 将 DES 作为文件加密算法,具有完全的 56 位密钥熵。国际版本的 EFS 也将 DES 作为加密算法,但文件加密密钥只有 40 位密钥熵。

作为系统的整个安全策略的一部分,’加密文件系统’(EFS) 的数据故障恢复是可用的。例如,如果你丢失了文件加密证书和相关的私钥(由于磁盘错误或是其他原因),还是可以通过指定的故障恢复代理来恢复数据。或者,在商业环境中,单位能够在雇员离开后恢复雇员加密的数据。

 


恢复策略

  EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供人员,作为被指派的故障恢复代理。当管理员第一次登录到系统上时,默认的故障恢复策略将会自动地添加进去,以便为管理员提供故障恢复代理。

  故障恢复代理拥有特殊证书和相关私钥,该私钥允许在故障恢复策略的影响范围内恢复数据。如果是故障恢复代理,请务必在 Microsoft 管理控制台 (MMC) 的证书中使用"导出"命令,将故障恢复证书和相关私钥备份到安全位置。在备份之后,应使用 MMC 中的"证书"管理单元从恢复代理的个人存储区(而不是从恢复策略)删除恢复证书。然后,当需要为用户执行故障恢复操作时,应该首先从 MMC 的"证书"管理单元中使用"导入"命令将故障恢复证书和相关的私钥还原到故障恢复代理的个人存储区。在数据恢复之后,应从恢复代理的个人存储区中再次删除恢复证书。不必重复导出过程。从计算机中删除故障恢复证书并将其保存在安全位置是用于保护敏感数据的附加安全措施。
  默认故障恢复策略在本地配置为用于单机。对于网络中的计算机,可以在域、部门或单个计算机一级配置故障恢复策略,并在所定义的影响范围内,将其应用于所有基于 Windows 2000 的计算机。恢复证书由证书颁发机构 (CA) 发布,并使用 MMC 中的证书来管理。

  在网络环境中,对于故障恢复策略影响范围中的所有计算机用户,域管理员控制如何执行 EFS。在默认的 Windows 2000 安装中,当安装第一个域控制器时,域管理员是指定的域故障恢复代理。域管理员配置故障恢复策略的方法将决定如何为本地机器上的用户执行 EFS。域管理员登录到第一域控制器以更改域的故障恢复策略。下表解释几种故障恢复策略配置对用户的影响。

空的故障恢复策略 无法使用 EFS 没有故障恢复代理 删除每个故障恢复代理
域等级中没有故障恢复策略 可以在本地使用 EFS 默认的故障恢复代理是本地计算机的管理员 在第一个域控制器上删除故障恢复策略
故障恢复策略以指定的故障恢复代理来配置。 可以在本地使用 EFS 默认的故障恢复代理是域管理员 网络环境的默认配置

  因为 Windows 2000 安全子系统处理故障恢复策略的实施、复制和缓冲,用户能够在暂时脱机的系统上执行文件加密,如便携式计算机(此过程类似于使用缓冲的凭据登录到域帐户)。

  故障恢复策略

  "故障恢复策略"指计算机环境中的用户在恢复加密的数据时所遵从的策略。故障恢复策略是一种公钥策略类型。

  安装 Windows 2000 Server 时,如果已设置第一个域控制器时,将自动对域执行故障恢复策略。域管理员被颁发自签名的证书,该证书将域管理员指派为故障恢复代理。

  EFS 通过实施故障恢复策略要求来提供内置数据的故障恢复。要求故障恢复策略必须在用户可以加密文件之前就位。故障恢复策略提供指派为故障恢复代理的人员。当管理员第一次登录到系统时,故障恢复策略将自动就位,让管理员成为故障恢复代理。

  配置恢复策略

  默认故障恢复策略是为单独的计算机在本地配置的。对于网络中的计算机,可以在域、组织单元或单独计算机级别上配置故障恢复策略,并在所定义的影响范围内将其应用到所有基于 Windows 2000 的计算机。故障恢复证书由证书颁发机构 (CA) 颁发,并用 Microsoft 管理控制台 (MMC) 中的证书来管理。

  在网络上,故障恢复策略由域管理员或故障恢复代理设置,它控制策略影响范围内所有计算机的控制恢复项。

  由于安全子系统处理故障恢复策略的实施、复制和缓存,因此用户可以在暂时脱机的系统上(如便携机)执行文件加密。(此进程类似于使用缓存的凭据登录到域帐户)。

 

  故障恢复策略的类型

  管理员可以定义三种策略中的一种:非故障恢复策略、空故障恢复策略,或者带一个或多个故障恢复代理的故障恢复策略。

  故障恢复代理策略。当管理员添加一个或多个故障恢复代理时,故障恢复代理策略生效。这些代理负责在其管理范围内恢复任何加密的数据。这是最常用的故障恢复策略类型。

  空故障恢复策略。当管理员删除所有的故障恢复代理及其公钥证书时,空故障恢复策略生效。空故障恢复策略意味着没有故障恢复代理,而且用户无法在故障恢复策略影响范围内的计算机上加密数据。空故障恢复策略的结果是完全关闭 EFS。

  非故障恢复策略。当管理员删除组故障恢复策略时,非故障恢复策略生效。由于没有组故障恢复策略,因此单个计算机上的默认本地策略被用于恢复数据。这意味着本地管理员控制其计算机上的数据恢复。

  更改故障恢复策略

  要更改域的默认故障恢复策略,请以管理员身份登录第一个域控制器。然后,必须通过’Active Directory 用户和计算机’管理单元激活’组策略’,并选择’安全设置’、’公钥策略’和’加密数据的故障恢复代理’。

  故障恢复代理

  故障恢复代理就是获得授权解密由其他用户加密的数据的管理员。例如,当雇员离开公司而其剩余数据需要解密时故障恢复代理非常有用。在添加域的故障恢复代理之前,必须确保每个故障恢复代理都已经颁发 X509 第三版的证书。

  故障恢复代理拥有特殊证书和相关私钥,允许在故障恢复策略的影响范围内恢复数据。如果你是故障恢复代理,请务必在 Microsoft 管理控制台 (MMC) 的证书中使用"导出"命令,将故障恢复证书和相关私钥备份到安全位置。备份完成后,应该使用 MMC 中的证书删除故障恢复证书。然后,在需要为用户执行故障恢复操作时,应该首先从 MMC 的证书中使用"导入"命令还原故障恢复证书和相关私钥。恢复数据之后,应该再次删除故障恢复证书。不必重复导出过程。
  要对域添加故障恢复代理,请将它们的证书添加到现有的故障恢复策略中。可以通过"Active Directory 用户和计算机"管理单元激活"添加故障恢复代理"向导来完成。

  使用证书

  证书是一种帮你申请新的公钥证书并管理现有证书的管理单元。证书由提供身份验证、数据完整性以及在不安全的网络(如 Internet)间进行安全通讯的许多公钥安全服务和应用程序所使用。管理员可以为自己或其他用户、计算机或服务管理证书。用户只管理自己的证书。 有关打开管理单元或使用 Microsoft 管理控制台 (MMC) 的信息,请参阅相关信息。

附:Cipher 命令详解

  在 NTFS 卷上显示或改变文件的加密。

cipher [/e| /d] [/s:dir] [/a][/i] [/f] [/q] [/h] [pathname [...]]

  1. 参数

  无
  不带参数使用,将显示当前文件夹和其包含文件的加密状态。

  /e
  加密指定的文件夹。文件夹将被标记,以后添加到此文件夹中的文件将被加密。

  /d
  将指定的文件夹解密。文件夹将被标记,以后将会不加密添加到此文件夹的文件。

  /s: dir
  对在给定目录及全部子目录中的文件执行指定操作。

  /a
  对带指定名称的文件执行所选操作。如果没有匹配的文件,该参数将被忽略。

  /i
  即使发生错误,系统仍然继续执行指定的操作。默认情况下,遇到错误时 cipher 会停止。

  /f
  对所有指定的对象进行加密或解密。默认情况下,已加密或解密的文件被跳过。

  /q
  只报告最基本的信息。

  /h
  显示带隐藏或系统属性的文件。默认情况下,这些文件是不加密或解密的。

  pathname
  指定样式、文件或文件夹。

  2.范例

  要使用 cipher 命令加密文件夹 MonthlyReports 中的子文件夹 May,请键入下列命令:

cipher /e monthlyreports\may

  要加密 MonthlyReports 文件夹中的 January 到 December 子文件夹以及 month 子文件夹中的 Manufacturing 子文件夹,请键入:

cipher /e /s:monthlyreports

  如果只想加 May 子文件夹中的 Marketing.xls 文件,请键入:

cipher /e /a monthlyreports\may\marketing.xls

  要加密 May 文件夹中的 Marketing.xls 文件、Maintenance.doc 文件以及 Manufacturing 子文件夹,请键入:

cipher /e /a monthlyreports\may\ma*

  要确定 May 是否已加密,请键入:

cipher monthlyreports\may

  要确定 May 文件夹中哪些文件已加密,请键入:

cipher monthlyreports\may\*

  3.注意

  加密或解密文件

  要防止加密文件在修改时变为解密,建议你将文件和其存放的文件夹两者一同加密。

  多个文件夹名称

  可以使用多个文件夹名称和通配符。

  多个参数

  每个参数之间至少有一个空格分隔。