现在感染exe程序的病毒
木马都喜欢修改
系统文件,通常的杀毒
软件都不能将中毒的
系统文件恢复回原状,那么除了重装和从其他机器拷贝外还有别的方法吗?
9 f3 X1 K; o/ n
& T! f3 B$ o" D$ g( D( J6 r 还可以从安装盘提取最原始、最保险的“原装”文件!但是安装盘中的文件可不是直接复制/粘贴就能弄出来的,而且XP和
Vista/2008的提取方法还不同,因为它们使用了不同的安装方式。
4 A4 w8 g, j* D# ^3 M" D" I- q! |" O
一、提取XP安装盘的文件
8 v8 t7 [# I8 S% A& i' r: w- d$ v: e7 l& R, M$ T
仔细观察XP安装盘的文件,可以看到i386目录中绝大部分文件都是“EXPLORER.EX_”这类的文件名,其实它是经过压缩后的文件,文件名和解压出来的文件名一样,但是扩展名和文件大小不同,所以直接改后缀是不能使用的。
4 ]6 [5 m( [$ @& G ~& D
' Z2 N( |- H: R' a2 q4 E 有两种方法可以把文件解压出来:
, t8 B0 s! }/ @9 W, Z; e% g3 @( \$ J, A5 [7 q" [: I0 q) {$ }! X
方法一:使用压缩软件例如7-zip直接将这个文件解压。之所以提到7-zip,除了它免费之外还因为它默认会将“7-zip”菜单集成到所有文件(或文件夹)右键菜单中,用起来很方便。当然使用WinRAR也是可以解压的。
9 L3 ]4 T- w8 [4 ^3 a, d- y7 [7 H6 b q* f: k+ Q$ w0 r5 j+ z
方法二:在窗口
命令行状态下使用XP自带的Expand
命令解压文件。用法如:expand D:\i386\EXPLORER.EX_ C:\explorer.exe,(如图1);含义为将D盘i386目录下的EXPLORER.EX_文件解压到C盘根目录下面,并命名为explorer.exe。i386目录就是XP安装盘中安装文件所在的目录。这条
命令常用于恢复控制台下面修复系统。
. @" V- a" }. N! f( T5 y1 v9 j' b$ @& N& {# u
二、提取Vista/2008安装盘中的文件
0 K/ p; ~- i+ y8 G( i% g2 N8 C9 W# O# I; M
Vista/2008使用了新的安装技术,所有安装文件都保存在sources\install.wim文件中;这个文件无法用一般的软件打开,只能用
微软提供的imagex.exe程序打开。这个程序没有图形操作界面,现以Vista下使用为例子介绍用法:
9 s4 L. j# U& q" U" \# Y9 J. _! Y5 s
# b+ q. c& P8 v8 z, A4 N C. j 第一步:以管理员身份运行命令提示符,并使用CD命令(例如:“CD i386”命令就是进入当前目录的i386子目录)进入imagex.exe所在的文件夹。
/ K- U' }4 F4 ~1 p
1 J+ H- ^, H- x9 Z+ |+ w 第二步:使用imagex/info h:\sources\install.wim命令查看当前安装光盘包含的系统版本。例如Vista安装盘中就有Home Basic、Home Premium、Business、Ultimate等版本。当看到
$ A4 J6 u( L8 h+ v( r
* I4 ]( N8 c7 ~: k. l
Windows Vista ULTIMATE
7 t. ]! i( x7 j/ `3 S. M6 {0 e! v4 D- |2 P) a. v
这个段落就说明索引号4的镜像为Vista ULTIMATE安装文件所在。
o2 J3 d; l0 f% D* x$ Q5 \- B# ?3 u8 n4 f' g* ~
第三步:使用命令如imagex /mount g:\sources\install.wim 4 d:\msdn将G盘安装文件中索引号为4的安装镜像映射到d:\msdn文件夹。这时打开d:\msdn就能像进入普通文件夹一样提取原始文件了,不需要解压哦。
8 h) Q N, L: Y7 }3 L1 J! e' C. E$ D: i( C8 `
第四步:用完后需要卸载镜像,对应如上操作的命令如下:imagex /unmount d:\msdn。
- y) Y: T$ w+ c2 b7 {( v
% z5 u& f% M5 g
小提示:
% `1 b3 p* B3 D) t$ r
9 f" h9 `; }: y" L 1、如果无法使用imagex.exe,进入控制面板→添加新硬件,手动安装WIMFLTR.INF。
. V, \! ] ?4 f8 x: g( |
2 B6 l/ i: d; w% l( z! J; i 2、imagex映射到的文件夹必须真实存在。如果原文件夹有文件,那么映射后文件并不会消失,只是被Vista的安装文件“伪装”起来了。
