使用livecd挽救您的硬盘数据

"真正安全的系统只能关机断电，放到一个混凝土浇注的建筑物中的一个密闭的房间中，并配备警力进行守卫。-- Gene Spafford，Purdue 大学的计算机教授，安全和犯罪问题顾问."
世界上没有绝对安全的操作系统，但并不是说电脑出问题是不可避免的，要想使电脑这个小助手良好的配合您的工作，除了保持良好的使用习惯外，做好备份工作，也可以挽救您宝贵的数据，近期以来网络上的病毒越来越猖獗，论坛上的朋友们有很多深受其害，最为信息技术交流版的版主，虽然水平有限，但还是愿意进自己的能力为大家做一点点贡献，因此，我给大家提供一下解决方案：
##################################################################################################################################
由于论坛的朋友们使用的多是windows操作系统，因此我的方案也是针对挽救windows下的数据的。
##################################################################################################################################
1.做好系统备份。
windows下做系统备份的工具很多，应用比较广泛的是ghost这个软件，他可以对您的整个硬盘或者某个分区进行备份，他对windows下的分区格式支持很好，不论是ntfs还是fat支持都不错，因此你可以使用带ghost功能的光盘引导系统进行备份，我推荐的方法是安装一键还原ghost版本，你想恢复您的系统只要按一个键就可以了，具体的我不详说，因为网络上有很多这样的教程，你可以使用搜索引擎搜索，我推荐个网址：
http://www.onlinedown.net/soft/32855.htm
2.养成良好的电脑使用习惯。
安装一个好的杀毒软件是基本的条件，我使用的是卡巴斯基，不是正版，但感觉也不错，使用激活码激活即可，提供个网址：
http://www.crsky.com/soft/3798.html
国内的杀毒软件，我感觉瑞星不错，最近在德国上市受到了热烈的环境，说明他的技术实力确实不错，另外从支持国产软件的角度来说，也应该支持下.
另外，在上网冲浪的时候要注意不要随意上一些网站，不要上来历不明的网站，下载软件时找一些正规的网站下载，下载文件后安装前，现进行病毒扫描，这样可以降低病毒感染您系统的危险系数。
最后说明的是，如果您条件允许还是买个正版的杀毒软件，及时升级病毒库，这是一个比较明智选择。
3.机器中毒后采取的措施。
如果您的机器不行中了病毒，那么你可以考虑采取一下方式来挽救。
（1）查看进程，找出病毒。
使用windows提供的进程管理器，按键ctrl+shift+esc即可调出该程序，找出可疑的进程，然后想办法kill掉进程，可以再进程管理里终止，然后在开始菜单中点击运行，键入msconfig，在里面把可疑的进程取消掉，或者键入regedit，来修改注册表，由于我现在用linux写这个教程，所以记不准具体的选项，好像是HKCU-Software-Microsoft-WindowsNT-CurrentVersion-Windows-loadUserinit 注册键 -- 也是个不为人知的能使系统启动时自动初始化程序的注册键。它的具体位置是在：
HKLM-Software-Microsoft-WindowsNT-CurrentVersion-Winlogon-Userinit
ExplorerRun 注册键 -- 和load,Userinit不同，ExplorerRun键在HKCU和HKLM下都有，具体位置：HKCU-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run ，以及HKLM-Software-Microsoft-WindowsCurrentVersion-Policies-Explorer-Run

RunServicesOnce 注册键 -- RunServicesOnce注册键用来启动服务程序，启动时间在用户登陆之前，而且先于其他通过注册键启动的程序。其具体位置是：
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once ，以及HKLM-Software-Microsoft-Windows-CurrentVersion-Run-Services-Once
Runservices 注册键 -- Runservices注册键指定的程序紧接RunServicesOnce后运行，但两者都在用户登陆之前。它的具体位置：
HKCU-Software-Microsoft-Windows-CurrentVersion-Run-Services ，以及
HKLM-Software-Microsoft-Windows-CurrentVersion-Run-ServicesRunOnce 注册键 -- 安装程序通常用RunOnce键自动执行程序，HKLM下面的RunOnce键会在用户登陆之后立即执行程序，执行时机是在其他Run键指定的程序之前。 HKCU下面的RunOnce键会在操作系统处理其他Run键以及“开始”菜单中“程序”--“启动”文件夹的内容后执行。
具体位置：
HKCU-Software-Microsoft-Windows-Current-Version-RunOnce ，以及
HKLM-Software-Microsoft-Windows-Current-Version-RunOnce 。Windows XP系统要多出一个注册键HKLMSoftwareMicrosoftWindowsCurrentVersionRunOnceEx
Run注册键 -- Run是自动执行程序最常用的注册键，HKCU下面的Run键紧接HKLM下面的Run键执行，按两者都在处理“启动”文件夹之前。
位置是：
HKCU-Software-Microsoft-Windows-CurrentVersion-Run ，以及
HKLM-Software-Microsoft-Windows-CurrentVersion-Run
然后在系统终搜索该可疑进程的执行文件，删除之，如果不让删除的话，可以启动到安全模式，进行操作，具体方法是开机时再要启动到系统时按F8键，
以上是我常采用的方法，至于高深的什么脱壳技术我可不会，有兴趣的朋友可以研究下。
(2).使用正版杀毒软件查杀。
可以用光盘引导查杀，也可以安装上查杀，不过后者的成功率一般不太大。
（3）对于IE被修改，可以考虑使用3721等相关的软件。
(4)重做系统。
这是终极的方法。
3.如果很不幸，您的系统实在是修复不了了，那么如果挽救您的数据呢？
一般这样的情况可以分为两类：
（1）系统引导不进去了，但是我的数据都保存再系统分区那，常见的是c盘，如果您的系统分区是fat分区的话，那么可以用dos引导，然后copy出来数据，如果是ntfs格式的话，那dos是不识别的（由于对dos没多大研究，因此不知道有没有高手，开发dos支持ntfs分区格式）。
（2）如果dos不行的话，你可以考虑用好的机器挂载您机器的硬盘，把重要数据copy出来。
（3）使用livecd引导系统来挽救数据，windows下有几个livecd的版本，你可以到网上搜索下，我常用的是linux下的livecd，例如knoppix，然后把windows下的分区挂载上，把重要数据备份出来，我编译的版本对fat和ntfs都有良好的支持，我简单列出步骤：
首先，用livecd引导系统。进入系统后，切换到root权限，然后查看您重要数据的分区，fdisk-l
这里假设是hda1,即常见的c盘，执行一下命令：
mkdir /mnt/winc   ##建立挂载点目录
mount -t vfat (or ntfs) -o iocharset=utf8 /dev/hda5 /mnt/winc   ##挂载分区到挂载点。
然后呢？废话，然后就copy您的数据呗！！
把重要数据备份出来后就请重做您的系统吧。
4.要说的是经常对您的重要数据进行备份是个明智的做法，网络硬盘，邮箱，U盘，刻录光盘都是不错的选择。

由于时间仓促，有很多的方式来不及全部介绍，另外，由于水平和能力的问题，还有许多方法是我不了解，请高手多补充，有不对的地方请指正,我只是抛砖引玉，请大家把你的经验贴出来，大家一起分享！！
愿大家工作顺利，上网冲浪愉快。

                                         ----------linux-fox
                                         2006/12/4