浅析计算机的储备与还原技术

浅析计算机的储备与还原技术

随着计算机网络时代的到来，病毒传播的方法变得越来越复杂，计算机感染病毒的概率也越来越大。对于普通用户来说，解决计算机感染病毒并使计算机恢复正常的最重要途径之一就是重新整形操作系统。近几年,便携式上网本逐渐流行,但上网本没有光驱、系统安装维护不便的缺点困扰着许多用户。一些电脑生产商为了提高自身产品的竞争力纷纷推出各类系统备份还原功能以提升产品的附加价值,其中,以联想一键恢复功能最具代表性。联想一键恢复功能所采用的技术是联想独有的RecoveryEasy专利技术,本文以联想一键恢复技术为例,通过分析联想一键恢复引导操作系统的实现原理,提出一种更易行、便捷的系统备份还原方法。1联合市域一键恢复技术1.1s平台的功能模块联想一键恢复技术是联想LegendEmbeddedOperationSystem(联想嵌入式操作系统,下文简称LEOS)平台的一个功能模块。LEOS是基于Redhat7.2kenerl4.2.18基础上开发的系统,它是联想实现家电化模块操作、数据备份及一键恢复功能的基础,具有体积小、支持多任务等特点,可以根据实际需求定制开发各种功能模块。LEOS通过固化在硬盘的一个采用独特的保护技术的隐藏分区中,达到防止文件误删和防范病毒的功能,从而在一定程度上保证了它的独立性和可靠性。1.2系统引导过程分析开机后,首先执行加电自检(PowerOnSelfTest,简称POST),自检正常后BIOS读取BIOS设置,得到引导驱动器的顺序并依次检查直到找到可用于引导的驱动器;然后BIOS引导程序将该驱动器的第一个扇区(即0面0道1扇区)存放的主引导记录读入内存。主引导程序首先进行一系列初始化操作,再根据分区表中的活动分区标志,计算活动分区指向的操作系统引导区的位置,并转到活动分区指示的Boot区中,读入相应的分区引导记录,最后将系统控制权交给引导记录中的引导程序,而后完成操作系统的引导过程。其中,硬盘的第一个扇区称为BootSector,它一共有512个字节,由MBR、DPT和BootRecordID三部分组成:MBR(Main/MasterBootRecord),即主引导记录,占用BootSector的前446个字节。MBR中包含了硬盘的一系列参数和主引导程序,主引导程序负责从具有激活标志的活动分区中装载并且运行操作系统引导程序(执行JMP指令跳到操作系统的引导程序)。DPT(DiskPartitionTable),即主分区表,占用64个字节。DPT记录磁盘的基本分区信息。主分区表分为四个分区项,每项16个字节,分别记录每个主分区的信息(因此最多可以有四个主分区)。BootRecordID又称引导区标记,占2两个字节,它是判别引导区是否合法的标志(值等于0x55AA表示是合法引导区)。整个过程由MBR通过检查DPT分区信息引导系统跳转至DBR。DBR(DosBootRecord)称为操作系统引导记录区,通常位于硬盘的0磁道1柱面1扇区,是操作系统可直接访问的第一个引导程序。每个逻辑分区都有一个DBR。启动过程见图1。1.3键恢复技术一键恢复作为联想LEOS平台的一个功能模块,包含三个子模块:分区隐藏模块、硬盘保护模块和一键恢复模块。其中,分区隐藏模块可以有效的对存储备份文件的分区进行有效的隐藏,常规硬盘分区软件是无法查看或删除该分区的;硬盘保护模块保证备份分区不会被病毒等因素破坏;一键恢复模块作为整个恢复软件的主体,用于具体实现系统的恢复备份功能。一键恢复使用的是一种基于硬盘ATA指令支持的HPA技术。HostProtectedArea(以下简称HPA)是硬盘领域标准规范ATA对硬盘数据保护提出的一类标准。HPA利用硬盘的ATA指令,在硬盘后部建立一块对用户透明的区域用来保存重要的和数据,这一块区域在BIOS和操作系统中均是不可见的,操作系统也无法破坏保护在HPA中的数据。在关机状态下,只要按下NOVO键,电脑就会开机加电自检,LEOS将标准主引导记录替换成自己的引导程序,BIOS引导程序将修改后的主引导记录读入内存,并利用ATA协议的Int13H指令对HPA进行访问即可进入LEOS系统。使用一键恢复功能的硬盘分区情况如图2。2替换方案2.1系统所使用的形态WindowsPE(WindowsPreinstallationEnvironment,下文简称WinPE)即Windows预安装环境,它是带有限服务的最小Win32子系统,基于以保护模式运行的WindowsXPProfessional内核。由于WinPE可以自定义制作自身的可启动副本,可以运行Windows安装程序及脚本、连接网络共享以及执行硬件验证等功能,所以它目前被广泛应用于系统维护领域。使用WinPE作为平台,用户可以很便利地定制或新增各类系统维护软件和磁盘工具,而且WinPE作为标准的32位视窗API的系统平台,用户可以像在WindowsXP中一样使用资源管理器对文件和文件夹进行管理。Ghost(GeneralHardwareOrientedSoftwareTransfer),又称面向通用型硬件系统传送器,是Symantec公司推出的一款优秀的磁盘备份还原工具,它可以实现FAT16、FAT32、NTFS等多种硬盘分区格式的分区及磁盘的备份还原。Ghost不仅备份还原速度快,而且支持局域网操作,目前Ghost已经成为使用最广泛的系统备份还原软件。2.2grub4dos直击毒性联想LEOS内置的一键恢复技术的确给电脑的日常维护工作带来了极大的便利,新版的LEOS虽然也是基于WindowsPE2.0设计,但它存在着功能简单、没有窗体软件、备份还原速度一般等缺点,因此本文使用GRUB作为多系统引导管理工具,采用WinPE+Ghost方案来替代联想的一键恢复。GNUGRUB是一个来自GNU项目的多操作系统启动程序,它支持多种操作系统引导,如Windows、Linux、FreeBSD、NetBSD、OpenBSD、DOS等,GRUB允许用户在计算机启动时选择操作系统分区上的不同内核,也可用于向这些内核传递启动参数。GRUBforDOS(以下简称GRUB4DOS)是一个基于GNUGRUB的二次开发版本,它内置了功能完善的BIOS级磁盘仿真,可以在DOS、LINUX或其他引导器下运行,也可以作为MBR运行。根据联想LEOS引导系统启动的实现原理,替代方案保留联想的NOVO快捷键功能和HPA,使用NTLDR+GRUB作引导,通过WindowsNT的启动菜单进入grub4dos,不需要修改MBR。以下给出简化步骤:1)使用联想一键恢复工程师版安装盘取消隐藏分区以便对分区进行写操作(具体操作步骤请参看工程师版手册);2)提取Grub4Dos中的GRLDR到隐藏分区根目录;3)复制NTLDR,NTDETECT.COM、BOOT.INI到隐藏分区根目录下,并改写boot.ini中以下的字段为:4)选择合适的WinPE系统或镜像文件,将WinPE系统目录或镜像文件复制到隐藏分区,将WinPE启动文件SETUPLDR.BIN改名后放入隐藏分区;5)提取menu.lst到隐藏分区根目录下,写入命令行以启动系统或镜像,例如:#以下内容为启动本机操作系统示例6)使用联想一键恢复工程师版安装盘将分区重新隐藏。3系统安装盘的使用方式一键还原软件有很多,联想的一键恢复技术基于LEOS平台开发,具有很高的易用性和安全性,但它备份还原速度慢、功能简单,而Ghost软件不仅速度快、功能强大,还衍生出许多新的使用方式,例如使用Ghost将系统安装盘