网络安全(黑客攻防)攻击检测与响应

1、 在入侵行为发生时或者发生之后，需要网络管理人员和网络安全人员进行详细的分析、取证工作。日志在分析、取证工作中占有相当重要的地位。因为日志文件记录了网络中的事件以及黑客攻击的痕迹，所以黑客如果想要将自己的攻击痕迹清除，必须要删除受害系统中的日志文件。 1、日志的定义：日志是记录所发生事件（任何有意义事情的发生叫事件）的清单。多数操作系统都已经有内置的记录事件的能力，只不过在默认情况下没有开启而已。通过开启日志记录的功能，可以查看、分析日志，从而获得网络维护所需要的信息。根据服务器所开启的不同服务，日志文件通常有应用程序日志，安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等不同类型

2、。当黑客用流光探测时（比如IPC$等探测），就会在安全日志里迅速地记下流光探测时所用的用户名、时间等等；用FTP探测时，也会立刻在FTP日志中记下IP、时间、探测所用的用户名和密码等等。甚至连流光启动时需要的msvcp60.dll动态链接文件也会被记录（如果服务器没有该文件都会在日志里记录下来）。所以很多国内黑客不拿国内主机探测，因为管理员记下黑客的IP后会很容易地找到黑客。此外，还有Scheduler日志也很重要，经常使用的srv.exe就是通过这个服务来启动的，它记录着由Scheduler服务启动的所有行为（如服务的启动和停止等）。 2、日志文件默认位置：日志分为应用程序日志、安全日志、系

3、统日志、DNS日志等。日志文件的默认位置是%Systemroot%System32Con%Systemroot%System32Configfig，默认文件大小512KB，一般管理员都会改变这个默认大小。（1）安全日志文件：%Systemroot%System32ConfigSecEvent.evt%Systemroot%System32ConfigSecEvent.evt。（2）系统日志文件：%Systemroot%System32ConfigSysEvent. evt%Systemroot%System32ConfigSysEvent. evt。（3）应用程序日志文件：%Systemroo

4、t%System32ConfigAppEvent. evt%Systemroot%System32ConfigAppEvent. evt。（4）在Internet信息服务环境中FTPFTP站点站点日志文件的默认存储位置是%Syste%Systemroot%System32LogfilesMsftpsvc1mroot%System32LogfilesMsftpsvc1，默认每天产生一个日志文件。（5）在Internet信息服务环境中WWWWWW站点站点日志文件的默认存储位置是%Syste%Systemroot%System32LogfilesW3svc1mroot%System32Logfile

5、sW3svc1，默认每天产生一个日志文件。（6）SchedulerScheduler服务日志默认位置：服务日志默认位置：%Systemroot%Schedlgu.Txt%Systemroot%Schedlgu.Txt。 3、日志在注册表里的位置：主要指应用程序日志，安全日志，系统日志，DNSDNS服务器日志等文件的位置。默认情况下这些LogLog文件在注册表中的位置是在HKEY_LOCAL_MACHHKEY_LOCAL_MACHINESystemCurrentControlSetServicesEventlogINESystemCurrentControlSetServicesEventlog

6、下。有的管理员很可能将这些日志重定位。其中EventLogEventLog下面有很多的子表，里面可查到以上日志的定位目录。默认情况下SchedlulerSchedluler服务的日志存在于注册表中的HKEY_LHKEY_LOCAL_MACHINESOFTWAREMicrosoftSchedulingAgentOCAL_MACHINESOFTWAREMicrosoftSchedulingAgent下。 4、FTP和WWW日志：FTP日志和WWW日志在默认情况下，每天生成一个日志文件，包含了该日的一切记录，文件名通常为ex(年份)(月份)(日期)。例如ex001023，表示2000年10月23日产

7、生的日志，用记事本就可直接打开它。 （1）FTPFTP日志实例日志实例： #Software: Microsoft Internet Information Services 5.0(表示微软IIS5.0) #Version: 1.0 (表示版本1.0) #Date: 20001023 0315 (表示服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 1USER administator 331(表示IP地址为，用户名为administator的用户试图登录) 0318 127.0.0

8、.1 1PASS 530(表示登录失败) 032:04 1USER nt 331(表示IP地址为，用户名为nt的用户试图登录) 032:06 1PASS 530(表示登录失败) 032:09 1USER cyz 331(表示IP地址为用户名为cyz的用户试图登录) 0322 1PASS 530(表示登录失败) 0322 1USER administrator 331(表示IP地址为用户名为administrator试图登录) 0324 127

9、.0.0.1 1PASS 230(表示登录成功) 0321 1MKD nt 550(表示新建目录失败) 0325 1QUIT 550(表示退出FTP程序) 从日志里就能看出IPIP地址为的用户一直试图登录系统，换了四次用户名和密码才成功，管理员立即就可以得知黑客的入侵时间、IP地址以及探测的用户名。如：上例入侵者最终是用administrator用户名进入的，那么就要考虑更换此用户名的密码，或者重命名administrator用户。 （2）WWW日志实例：WWW服务同FTP服务一样，默认情况下产生的日志也是存储在%Sy

10、stemroot%/System32/LogFiles/W3SVC1目录下。默认情况下每天产生一个日志文件，下面是一个WWW日志文件。#Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20001023 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20001023 03:091 6 7 80

11、 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20001023 03:094 6 7 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通过分析，可以看出2000年10月23日，IP地址为6的用户通过访问IP地址为7机器的80端口，查看了一个名为iisstart.asp的页面,这位用户的浏览

12、器为compatible;+MSIE+5.0;+Windows+98+DigExt。 （3）取证：有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。即使黑客删掉FTP和WWW日志，还是会在系统日志和安全日志里记录下来。但是在系统日志和安全日志中只是记录了黑客的机器名，并没有黑客的IP地址。 掌握配置计算机系统以记录事件，能够查看并且分析系统事件。 1、在Windows 2K Server PCWindows 2K Server PC机上建立审核。在WindowsWindows中默认情况下没有建立安全审核，需要配置想要记录的事件。开始程序管理工具本地安全策

13、略本地策略审核策略审核帐号登录事件。（1）选中“成功”复选框。（2）选中“失败”复选框并选择“确定”钮，关闭本地安全策略窗口。 2、注销并重新登录Win2KWin2K主机，执行将会产生日志条目的任务。（1）从Win2KWin2K主机上注销。（2）用一个并不存在的用户帐号qjyqjy身份登录，屏幕出现不能登录的错误提示，进行（3）步。（3）用一个存在的用户帐号zffzff身份登录，但登录时使用一个错误的密码，屏幕出现不能登录的错误提示，进行（4）步。（4）现在以一个正式用户zffzff、输入正确密码的方式登录进去。（5）注销。（6）以管理员身份重新登录3、在Windows 2k ServerWi

14、ndows 2k Server上分析日志条目。（1）单击开始程序管理工具事件查看器选中安全日志，如图8-1。图8-1 事件查看器（2）在详细信息窗格中，双击底部的条目来打开事件属性，如图8-2。图8-2 失败事件详细信息注意：该日志条目是未能登录的企图，它也带有尝试登录的用户名。（3）关闭日志条目。（4）双击倒数第二个失败的事件。 注意：这次看到的是一个正确的用户名，但密码不对。（5）关闭事件。（6）双击zffzff 审核成功事件，如图8-3。图8-3 成功事件详细信息注意：这次以正确的用户名和密码登入。这可能表示用户第一次输错了密码而后又记起了正确的密码，还有可能表示一个针对密码的攻击是在失

15、败几次之后成功的。（7）关闭事件查看器。 入侵检测系统(Intrusion Detection System，简称IDS)，是对入侵行为进行检测的软件与硬件的组合。它通过收集和分析计算机网络或计算机系统中的信息流，检查网络或主机系统中是否存在违反安全策略的行为和被攻击的迹象。入侵检测系统位于防火墙之后，可对网络活动进行实时检测。它可以记录和禁止网络活动，被看作是防火墙的延续，可以与防火墙系统配合工作。IDS可扫描当前网络的活动，监视和记录网络的流量，根据定义好的规则来过滤主机网卡上的流量，提供实时报警。在发现入侵后，IDS会及时做出响应（如：切断网络连接、记录到时间日志中并报警等）。一个成功的

16、IDS不但可以使系统管理员实时了解网络系统的动态变化，还能为安全策略的制定提供参考。 常见的入侵检测系统有两种架构类型：NIDS系统和HIDS系统。1、基于网络的IDS系统（NIDS）：这种架构要求监控网络的计算机的网卡被设置为“混杂模式”。这样，该机就可以侦听到整个网络中所有的数据（代表产品有：Snort和SessionWall等）。NIDS系统会扫描并实时监控整个子网内所有的通信。NIDS系统对黑客扫描和DOS攻击很有效，但是在交换的网络和ATM网络中效果不理想。NIDS系统对非法登录、木马攻击、帐号密码的篡改、日志文件的篡改等攻击行为效果也不理想。使用NIDS时应该注意以下几点：（1）N

17、IDS系统应该和其他监控的网络使用集线器连接在一起，这样才能捕获到网络中所有的数据包。（2）如果网络设备使用的是交换机，可以通过两种方法实现对网络的监控：可以通过交换机配置把所有其他端口上的数据包复制并转发一份到“镜像”端口,并让该端口与NIDS相连。否则，NIDS只能够捕获到该主机所连接的交换机端口上的所有数据包。把交换机的“镜像”端口级联到集线器上，再把NIDS接到集线器上。 2、基于主机的IDS系统（HIDS）：因为监控的只是某台主机的情况，所以在交换机的环境下使用没有问题，可以跨越路由器监控其他子网中的资源。HIDS的代表产品有Symantec Intruder Alert，Black

18、ice等。Blackice是免费且功能强大的HIDS产品。它能将一些现象文件以其它的协议分析器能够读取的格式写到硬盘上。所以，在一个安全的环境下，它比一般的嗅探程序更加有用。它是非混杂模式的，仅仅监听进出某台主机的数据包。对于用户来说它并不是要取代防火墙，而是阻止企图穿过防火墙的入侵者。它有非常强大的检测和分析引擎，可以识别200多种入侵，还能实时监测网络端口和协议、拦截所有可疑的网络入侵。而且它还可以查出那些试图入侵的黑客的NetBIOS(WINS)名、DNS名或黑客所使用的IP地址。该软件的灵敏度和准确率非常高，稳定性也相当出色，系统资源占用率极少，是个轻量级的HIDS。 了解并掌握Bla

19、ckiceBlackice入侵检测系统的配置，掌握入侵行为发生时IDSIDS的响应情况。 2台以上的WindowsWindows主机。1、安装并配置。（1）在A A机上安装基于主机的入侵检测系统BlackiceBlackice。安装成功后，在开始开始菜单栏的右下角出现了蓝眼睛图标，如图84。图84 Blackice的图标（2）双击该图标，弹出BlackiceBlackice设置的对话框，在“EventsEvents”标签卡中进行原始事件的查看，如图85。图85 查看原始事件（3）点击“ToolsTools”菜单栏Edit Blackice SettingsEdit Blackice Setti

20、ngs，如图86。图86 编辑Blackice的配置（4）在“FirewallFirewall”标签卡标签卡中进行如图87的设置。图87 “Firewall”标签卡的设置（5）在“Packet LogPacket Log”标签卡标签卡中按照如图88进行设置。图88 “Packet Log”标签卡的设置（6）在“Evidence LogEvidence Log”标签卡标签卡中按图89进行设置。图89 “Evidence Log”标签卡的设置（7）在“Communications ControlCommunications Control”标签卡标签卡中按图810进行设置。需要等待一会儿，Blac

21、kiceBlackice根据现在主机系统运行状态设置基线。图810 “Communications Control”标签卡的设置（8）在“Application ControlApplication Control”标签卡标签卡中选择EnableEnable前的复选框，如图811。需要等待一会儿，该IDSIDS为系统的应用程序设置基线。图811 “Application Control”标签卡的设置（9）点击“确定确定”钮之后，“IntruderIntruder”标签卡标签卡中无黄色警告的主机了，如图812。图812 设置完成后“Intruder”标签卡的状态2、开始入侵。（1）另一台主机B

22、B利用自己的计算机管理与A A主机进行连接，BlackiceBlackice的图标会变成黄色（Windows 2000 ServerWindows 2000 Server主机会变成红色）并闪烁。此时打开BlackiceBlackice，可以发现入侵者，如图813。图813 黑客机B开始入侵时“Intruder”标签卡的状态（2）主机主机C C利用计算机管理与A A机机进行连接，也会出现同样的效果，如图814。可以查看出主机主机B B与主机主机C C的一些基本情况，如图815。图814 黑客机C开始入侵时“Intruder”标签卡的状态图815 查看黑客主机的基本情况（3）点击“EventEve

23、nt”标签卡标签卡，可以发现增加了一些入侵事件，如图816。图816 查看增加的入侵事件（4）切换到“HistoryHistory”标签卡标签卡，可以查看历史的事件及网络流量。（5）可以尝试在对A A机进行DOSDOS或者DDOSDDOS攻击攻击时（可以在远程主机运行），BlackiceBlackice的状态，以及攻击成功与否。 尽管建立日志和入侵检测系统对于在网络上检测攻击很有价值，但也有一些它们不去收集的有价值信息。例如，如果检测到某主机对80端口的扫描，就可能知道攻击者正打算在80端口上做什么。但是，如果80端口没有打开，就永远找不出攻击者想要做什么。蜜罐就是为了解决这个问题而引入的。蜜

24、罐是个像真正的计算机那样运行并响应的设备，同时会记录活动。该设备用于两个目的：（1）攻击者发现了带有“开放端口”的主机将会更有可能去攻击那个系统（因为大多数攻击者遵循最易渗透的原则，攻击最脆弱的部分）。这样，通过吸引攻击者远离其他网络设备的方法，蜜罐增加了网络的安全性。（2）去收集有关蓄意攻击的更详细的信息。 了解并掌握蜜罐技术的原理，学会安装并配置蜜罐，掌握使用蜜罐来检测、分析攻击，并且为攻击创建自定义警报。 2台WindowsWindows主机，一台Windows XPWindows XP，另一台为Windows 2000 ServerWindows 2000 Server（Windows

25、 2003 Server也可）。 1、在Windows 2k ServerWindows 2k Server主机上停止主机上停止IISIIS服务服务：单击“开始”程序管理工具服务双击IIS服务，停止或禁用IIS服务（停止这些真正的服务以便能够利用（停止这些真正的服务以便能够利用蜜罐伪造服务）。蜜罐伪造服务）。2、安装并配置蜜罐安装并配置蜜罐：（1）在Windows 2k ServerWindows 2k Server上运行KfsensorKfsensor，按照默认的设置步骤进行安装按照默认的设置步骤进行安装。重新启动后将会自动开始KfsensorKfsensor蜜罐安装。（2）重新启动主机后，

26、标注着“Set up Wizard”Set up Wizard”的界面将打开，单击NextNext在“Domain”Domain”界界面面的“Domain Name”Domain Name”框框中，输入“”并单击NextNext。（3）在“Email Alerts”Email Alerts”界面，单击NextNext（本实验将不使用不使用e-maile-mail警报警报）。（4）出现“Components”Components”界面界面（该界面列举蜜罐将会模拟的服务），单击NextNext来接受默认设置的值。（5）在“System Service”System Service”界面界面中，选中

27、选中“Install as a System Service”Install as a System Service”框框并单击NextNext。这样，不管任何人登录，蜜罐都将在后台运行。（6）在“Finish”Finish”界面中，单击FinishFinish。安装向导将会关闭，并且将会看到KfsensorKfsensor用户界面，如图817。图817 Kfsensor主界面（7）在KfsensorKfsensor菜单条上，单击ScenarioScenarioEdit ScenarioEdit Scenario，如图818，选中Main ScenarioMain Scenario并单击单击E

28、ditEdit，如图819。 ScenarioScenario（剧本）是模拟服务器表现方式的清单，依赖于连接企图的类型。该界面列举了蜜罐正在监听的端口。正在监听的每一个端口都有一个名字，它通常指示连接的类型，也将会列出协议、端口以及如果检测到连接时将会采取的行动。图818 编辑Scenario图819 设置Main Scenario（8）选中选中“IIS”IIS”并单击单击EditEdit：此界面允许修改行为，并说明了模拟服务器将会模仿IISIIS服务器的程度，如图820。图820 修改Main Scenario的设置（9）单击“OK”OK”，关闭“Edit Listen”Edit Liste

29、n”界面，增加一条规则增加一条规则来检测netbus木马。（10）在在“Edit Scenario”Edit Scenario”界面界面中，点击点击“Add”Add”。在弹出的“Add Add ListenListen”界面中：“Name”Name”框框中，输入netbusnetbus。对于“Protocol”Protocol”，选中TCPTCP。“Port”Port”框中，输入2003420034（如果此端口已经有规则进行监视，可（如果此端口已经有规则进行监视，可以换为其它端口）。以换为其它端口）。在“Bind Address”Bind Address”框框中，选选中AllAll。在“Act

30、ion”Action”部分中，选选中Read And CloseRead And Close。在“Severity”Severity”框中，选选中HighHigh，如图821。图821 增加检测netbus入侵的规则单击“Ok”Ok”，关闭“Add Listen”Add Listen”界面。单击“Ok”Ok”，关闭“Edit Scenario”Edit Scenario”界面。单击“Ok”Ok”，关闭“Edit Scenarios”Edit Scenarios”界面。3、在Windows XP计算机上发送攻击。（1）进入DOS窗口。（2）运行nmap：键入nmap o -sS 192.168.

31、100.102并按ENTER键（02为Windows 2k Server的IP）。看到许多端口是打开的，尤其注意端口80是打开的。（3）键入telnet 02 80并按ENTER键。（4）键入get并按ENTER键两次，获得了服务器的类型标识为IIS。（5）攻击者进行攻击：运行Internet Explorer，在地址栏中键入http：/02/scripts/.%255c./winnt/system32/cmd.exe?/cdir+winnt的命令，并按ENTER键。这样将会得到一条错误消息“The page can

32、not be found”。这是因为停止了真正的Web服务器。如果蜜罐能够捕获到此攻击，则继续之后的步骤。既然目录遍历攻击不起作用，攻击者就会立刻查看02上是否运行了netbus服务器端的程序。运行netbus：键入02，并单击“Connect”钮，连接并不成功。4、检查日志。在Windows 2k Server上，攻击已经产生了几百个条目，这些中的大部分都源于Nmap扫描。（1）在树型窗格中，单击80 IIS。（2）双击自顶部的第三个条目，这是Nmap扫描的一部分。注意：在Received部分中的底部没有请求（那是因为它仅是一个扫描，没有发

33、送请求），这就暗示它是一个扫描。（3）关闭EventDetails窗口。（4）双击自顶部的第二个条目，这是旗语（旗语有助于哄骗攻击者相信在目标处有一台真正的服务器）请求。注意：“get”请求被捕获，并留意所给出的响应。（5）关闭Event Details。（6）双击顶端的条目，这是目录遍历攻击。注意：在接收框中所发送的完整命令（这是个明显的攻击）。（7）关闭Event Details。（8）在树型窗格中，滚动到20034 netbus项并选中它。注意：尽管没有这个特定攻击的条目，但在定义之后仍然能够捕获这个企图 完成本实验后可以学到：怎样安装和配置蜜罐、怎样创建自定义警报、怎样查看并分析日志。

34、 备份数据是能够实施的最重要的安全措施之一。即使熟练地配置了防火墙，更新了病毒特征库、入侵检测系统正在运行，灾难也可能会发生。如果数据被销毁或者被破坏，找回数据的唯一希望来自于恰当地配置了备份。利用WindowsWindows自带的功能可以实现正常备份、差异备份、增量备份。正常备份将会复制所有指定文件，备份占用时间长，恢复时间最快。差异备份会复制所有自最后一次完整备份以来更改过的所有文件，备份时间短，恢复时间长。增量备份是备份自最后一次备份以来的所有数据（不管是完整备份，还是差异备份或者增量备份），备份时间较差异备份更短，恢复数据时间更长。恢复文件同样很重要。如果恢复时进行了不正确的配置，会产

35、生灾难发生时一些关键数据尚未保存的可怕后果。处于恢复状态时要对介质进行写保护操作，不应该在此状态时随便删除数据。 学会利用WindowsWindows自带的工具对某个资源内容进行备份，掌握配置计算机来备份指定的数据，掌握数据丢失后恢复数据的方法。 1台XPXP主机，1台Win2k ServerWin2k Server主机。1、在Win2k ServerWin2k Server主机上登录，创建网络共享并映射网络驱动器。（1）在C C盘盘上创建一个名为datadata的文件夹，右击属性：在“共享”标签卡中设置共享。在“安全”标签卡中清除默认的“允许继承权限”的复选框，在弹出的“安全”窗口中点击“移

36、除”，并且让管理员对此文件夹的权限设置为“完全控制”。（2）在XPXP主机上：开始运行0202并按回车键（其中，0202为Win2kWin2k 主机IPIP），在屏幕提示的连接到Win2kWin2k主机的对话框中输入Win2kWin2k主机上的用户名、口令。右击datadata网络共享并选中“映射网络驱动器”，选中H H作为驱动器的盘符并关闭各个窗口。2、XP主机上创建新文件：在XP主机的“我的文档”中新建一个名为userdocuments的文件夹，在此文件夹中用写字板（Wordpad.exe程序）创建3个

37、文件。（1）在文件1（名为f1）中输入如下的内容（如果是空文件，将不被备份）：你好，机器猫！我是阿童木！（日本）（2）在文件2（名为f2）中输入如下的内容：你好，蓝精灵!我是丁丁！（欧洲）（3）在文件3（名为f3）中输入如下的内容：Hello，唐老鸭！我是米老鼠！（美国）3、配置并运行完整备份。（1）开始运行ntbackup，在“备份和恢复”向导对话框中，点击“高级模式”单击“备份”标签卡，“备份”标签卡所在的界面底部是选择备份的目的地，如图8-22。图8-22 备份向导界面（2）创建两个备份脚本：一个是userdocuments文件夹的完整备份，另一个是差异备份。展开“我的文档”并选中use

38、rdocuments复选框。在“备份介质或文件名”文本框中，键入f:full-backup.bkf。点击“工具”菜单选项：看到默认备份类型是正常型（完全备份），即所有文件都将被保存，点击“确定”。单击“工作”“保存选择”，在“文件名”框中，键入full-mydocs-backup，选中左边的“我的文档”文件夹，并单击“保存”（这是执行保存文件并完成所选择类型的备份任务的脚本文件）。单击“开始备份”。此后备份程序将允许在追加或替换已存在的数据之间选择。追加数据不会覆盖原数据，只是将它添加到最后一次备份的尾部。这将耗用更多的空间，但保留了备份的更多副本，替换数据将会节省空间但仅保留了最后一次备份的

39、数据。单击“开始备份”，完成时单击“关闭”并最小化“备份工具”窗口。4、在userdocuments文件夹中，删除f2，双击f1，并将f1的内容修改为：你好，日本的机器猫！我是美国的兔巴哥！5、配置并运行差异备份。还原“备份工具”窗口，单击“工作”“新建”选中userdocuments复选框，在“备份介质或文件名”文本框中，键入f:Diff-Backup.bkf单击“工作”在“保存选项为”的文件名框中，键入diff-mydocs-backup并点击“保存”点击“开始备份”点击“高级”标签卡选择差异备份为备份类型，如图823。点击“确定”钮确保“追加”被选中，单击“开始备份”钮，完成时关闭并最小

40、化“备份工具”。图823 选择备份类型6、删除所有文件：进入userdocuments文件夹，物理删除该文件夹中的所有文件。7、恢复完整备份并检查文件。（1）在“备份工具”窗口上，单击“恢复并管理介质”标签卡，在左边展开文件，将会看到完整备份、差异备份的两个备份会话。（2）双击左边列出的完整备份，选中右边的C驱动器复选框。（3）确保在“恢复文件至”框中选中“原始位置”。（4）单击“开始恢复”钮，点“确定”。（5）在“确定验证名字/位置”对话框上，点“确定”。（6）在“检查备份文件位置”界面中，确保文本框是F:Full-backup.bkf，并单击“确定”。恢复过程将会启动，恢复完成时单击“确定”并最小化“备份工具”，返回至userdocuments文件夹中，包括删除的文件。（7）双击f1。注意：此时打开的f1仍然是未修改前的。8、恢复差异备份并检查文件。（1）还原“备份工具”窗口。（2）在“恢复和管理介质”标签卡中，在左边选中“差异备份”并选中右边的复选框。（3）点击“开始恢复”钮。（4）在“确认恢复”界面，单击“确定”钮，恢复过程将启动。恢复完成时单击“关闭”钮，最小化“备份工具”。返回到userdocuments的文件夹中，包括原先被删除的文件。（5）双击f1，在做完差异恢复之后f1还是原先的f1。9、再次