一、原理篇
硬盤(pán)還原卡也稱(chēng)硬盤(pán)保護(hù)卡,在教育、科研、設(shè)計(jì)、網(wǎng)吧等單位使用較多。它可以讓電腦硬盤(pán)在大多情況下(非物理?yè)p壞),恢復(fù)到最初的樣子。換句話說(shuō),不管是病毒、誤改、誤刪、故意破壞硬盤(pán)的內(nèi)容等,都可以輕易地還原。
還原卡的主體是一種硬件芯片,插在主板上與硬盤(pán)的MBR(主引導(dǎo)扇區(qū))協(xié)同工作。大部分還原卡的原理都差不多,其加載驅(qū)動(dòng)的方式十分類(lèi)似DOS下的引導(dǎo)型病毒:接管BIOS的INT13中斷,將FAT、引導(dǎo)區(qū)、CMOS信息、中斷向量表等信息都保存到卡內(nèi)的臨時(shí)儲(chǔ)存單元中或是在硬盤(pán)的隱藏扇區(qū)中,用自帶的中斷向量表來(lái)替換原始的中斷向量表;再另外將FAT信息保存到臨時(shí)儲(chǔ)存單元中,用來(lái)應(yīng)付我們對(duì)硬盤(pán)內(nèi)數(shù)據(jù)的修改;最后是在硬盤(pán)中找到一部分連續(xù)的空磁盤(pán)空間,然后將我們修改的數(shù)據(jù)保存到其中。
每當(dāng)我們向硬盤(pán)寫(xiě)入數(shù)據(jù)時(shí),其實(shí)還是寫(xiě)入到硬盤(pán)中,可是沒(méi)有真正修改硬盤(pán)中的FAT。由于保護(hù)卡接管INT13,當(dāng)發(fā)現(xiàn)寫(xiě)操作時(shí),便將原先數(shù)據(jù)目的地址重新指向先前的連續(xù)空磁盤(pán)空間,并將先前備份的第二份FAT中的被修改的相關(guān)數(shù)據(jù)指向這片空間。當(dāng)我們讀取數(shù)據(jù)時(shí),和寫(xiě)操作相反,當(dāng)某程序訪問(wèn)某文件時(shí),保護(hù)卡先在第二份備份的FAT中查找相關(guān)文件,如果是啟動(dòng)后修改過(guò)的,便在重新定向的空間中讀取,否則在第一份的FAT中查找并讀取相關(guān)文件。刪除和寫(xiě)入數(shù)據(jù)相同,就是將文件的FAT記錄從第二份備份的FAT中刪除掉。
二、安裝篇
現(xiàn)在市面上硬盤(pán)還原卡種類(lèi)很多,大多是PCI總線,采用了即插即用技術(shù),不必重新進(jìn)行硬盤(pán)分區(qū),而且免裝驅(qū)動(dòng)程序。安裝時(shí)把卡插入計(jì)算機(jī)中任一個(gè)空閑的PCI擴(kuò)展槽中,開(kāi)機(jī)后檢查BIOS以確保硬盤(pán)參數(shù)正確,同時(shí)將BIOS中的病毒警告設(shè)置為Disable。在進(jìn)入操作系統(tǒng)前,硬盤(pán)還原卡會(huì)自動(dòng)跳出安裝畫(huà)面,先放棄安裝而進(jìn)入Windows,確保計(jì)算機(jī)當(dāng)前硬件和軟件已經(jīng)處于最佳工作狀態(tài),建議檢查一下計(jì)算機(jī)病毒,確保安裝還原卡前系統(tǒng)無(wú)病毒。最好先在Windows里對(duì)硬盤(pán)數(shù)據(jù)作一下碎片整理。殺毒軟件的實(shí)時(shí)防毒功能、各種基于Windows的系統(tǒng)防護(hù)/恢復(fù)軟件的功能已經(jīng)完全或者部分地被還原卡包含,建議關(guān)閉或不安裝或卸載。
重啟后安裝還原卡,并設(shè)置還原卡的保護(hù)選項(xiàng)(具體設(shè)置因還原卡不同而異)。但大多都應(yīng)有以下幾項(xiàng):硬盤(pán)保護(hù)區(qū)域設(shè)定、還原方式設(shè)定(包括開(kāi)機(jī)自動(dòng)恢復(fù)、選擇恢復(fù)和定時(shí)恢復(fù)等)、密碼設(shè)定等。設(shè)置完畢,保護(hù)數(shù)據(jù)后,整個(gè)硬盤(pán)就在還原卡的保護(hù)之下了。
三、使用篇
1.使用GHOST進(jìn)行磁盤(pán)對(duì)拷
很多的還原卡在說(shuō)明書(shū)中寫(xiě)著并不支持GHOST的使用,因?yàn)檫€原卡在硬盤(pán)的隱藏扇區(qū)中寫(xiě)有數(shù)據(jù),直接對(duì)拷后很可能會(huì)藍(lán)屏進(jìn)不了系統(tǒng)。然而很多情況下(如網(wǎng)吧、學(xué)校等單位大批機(jī)器軟件安裝),我們還是要使用GHOST做磁盤(pán)對(duì)拷。必須將源盤(pán)和目標(biāo)盤(pán)的還原卡徹底移除(大部分還原卡的設(shè)置選項(xiàng)均中有移除選項(xiàng),有的廠商提供專(zhuān)門(mén)的卸載工具,或者將還原卡從主板上直接拔下),這樣才能安全清除還原卡在隱藏扇區(qū)中保存的數(shù)據(jù),然后就能正常地使用GHOST了。
2.保留一定的硬盤(pán)空間
大多數(shù)廠商標(biāo)榜自己的還原卡不占用硬盤(pán)空間,但硬盤(pán)可用空間非常少時(shí),硬盤(pán)還原卡就會(huì)工作不正常了。因?yàn)橛脖P(pán)剩余空間太少,當(dāng)硬盤(pán)寫(xiě)操作較多時(shí),還原卡因?yàn)闆](méi)有足夠的動(dòng)態(tài)緩沖區(qū)而強(qiáng)制系統(tǒng)停機(jī)。所以建議使用保護(hù)卡時(shí)不要將硬盤(pán)空間占滿(mǎn),至少剩余幾百兆可用空間給硬盤(pán)還原卡存儲(chǔ)臨時(shí)數(shù)據(jù)。
3.慎用還原卡的多分區(qū)引導(dǎo)
有些還原卡提供了多重引導(dǎo)分區(qū)的功能,但要注意利用還原卡進(jìn)行特殊分區(qū)會(huì)破壞原有硬盤(pán)的所有內(nèi)容與信息,要?jiǎng)h除這些分區(qū)時(shí)也將會(huì)破壞所有的信息,在操作時(shí)一定要作好對(duì)重要數(shù)據(jù)的備分。各個(gè)多引導(dǎo)分區(qū)之間并不可見(jiàn),各系統(tǒng)不能相互訪問(wèn)到。如需要多操作系統(tǒng),建議使用第三方多重引導(dǎo)軟件,例如System Commander等。
4.還原卡的安全性
無(wú)疑,保證數(shù)據(jù)的安全是還原卡最重要的一個(gè)方面。實(shí)際上,當(dāng)隱藏扇區(qū)中保護(hù)卡保存的數(shù)據(jù)受到損壞時(shí)或硬盤(pán)本身受到了物理?yè)p壞時(shí),硬盤(pán)其他被保護(hù)的資料就很容易出現(xiàn)問(wèn)題,如發(fā)生硬盤(pán)死鎖、無(wú)法讀取數(shù)據(jù)等現(xiàn)象。此外,由于大部分還原卡的原理都是修改中斷向量表來(lái)接管INT13中斷,所以一些高手很容易通過(guò)找到Int13h的原始BIOS中斷向量值,填入中斷向量表的方法,恢復(fù)INT13的BIOS中斷向量,來(lái)達(dá)到屏蔽掉還原卡的效果。
此外還原卡密碼的安全性也令人擔(dān)憂(yōu)。網(wǎng)上有居心叵測(cè)之人提供了某些品牌還原卡的破解工具;部分品牌的還原卡本身帶有通用密碼;另外還有一部分廠商提供了還原卡的密碼清除工具或還原卡安裝信息清除工具(可能是廠商怕用戶(hù)不慎忘記密碼而設(shè)置的,可是這卻無(wú)形中降低了數(shù)據(jù)的安全性)。
所以,還原卡的保護(hù)功能給日常的工作提供了便利,卻是防君子防不了小人,防菜鳥(niǎo)防不了黑客的,永遠(yuǎn)都不要相信還原卡是萬(wàn)能的!
5.還原卡的選擇
首先要選擇兼容性好的還原卡。由于操作系統(tǒng)、主板類(lèi)型的不同,還有安裝的各種軟件,不可能保證還原卡百分之百的與主機(jī)兼容。市場(chǎng)上還原卡種類(lèi)很多,選購(gòu)時(shí)一定要注意是否全面支持DOS、Win32、Win95/97/98/2000/NT、Linux等常見(jiàn)操作系統(tǒng),并讓系統(tǒng)在真正的32位系統(tǒng)下工作,而不是MS-DOS兼容方式;是否完全不占系統(tǒng)IRQ及I/0資源,有無(wú)硬件及軟件相沖突的問(wèn)題;最大支持硬盤(pán)的數(shù)量。此外,除了最基本的硬盤(pán)保護(hù)功能,很多還原卡還擁有其他功能,如BIOS數(shù)據(jù)保護(hù),自帶硬盤(pán)對(duì)拷和網(wǎng)絡(luò)對(duì)拷功能,網(wǎng)絡(luò)維護(hù),多重引導(dǎo)分區(qū),軟件升級(jí)等,更為用戶(hù)提供了方便。
