ack硬盘

Ⅰ 恶意软件解决问题！

清除的方法

右键我的电脑－属性－系统还原－“在所有驱动器上关闭系统还原”打勾

下载一个叫unlocker的软件，很小的，然后安装。找到病毒文件，右击选择 unlocker进行解锁。然后就可以把病毒文件删除了。
这个是cmdbcs.exe病毒的变种
档案编号：CISRT2007013
病毒名称：Trojan-PSW.Win32.OnLineGames.es（Kaspersky）
病毒别名：Win32.PSWTroj.Zengtu.nl.38912（毒霸）
Win32.Troj.Wulin.nk.13312（毒霸）
Win32.Troj.OnlineGames.es.13824（毒霸）
Win32.Troj.GameSpy.n.13312（毒霸）
Trojan.PSW.ZhengTu.ack（瑞星）
病毒大小：38,912 字节
13,312 字节
13,824 字节
13,312 字节
加壳方式：nsPack
样本MD5：



样本SHA1：



为了问题的简洁，我就不对这个病毒进行介绍了，直接说一下他的工作原理和清除办法：

这个解决方案中包含多个病毒，它们的行为类似是【CISRT2007005】木马 cmdbcs.exe cmdbcs.dll 解决方案的变种木马。

木马运行后复制自身到系统目录：
%Windows%\run1132.exe
或
%Windows%\msdccrt.exe
或
%Windows%\wsvbs.exe
或
%Windows%\cmdbcs.exe

释放dll库文件注入进程：
%System%\run1132.dll
或
%System%\mdddsccrt.dll
或
%System%\wsvbs.dll
或
%System%\cmdbcs.dll

创建启动项：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"run1132"="%Windows%\run1132.exe"
或

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msdccrt"="%Windows%\msdccrt.exe"
或

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wsvbs"="%Windows%\wsvbs.exe"
或

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmdbcs"="%Windows%\cmdbcs.exe"
清除步骤
==========

1. 删除木马的启动项：

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"run1132"="%Windows%\run1132.exe"
或

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"msdccrt"="%Windows%\msdccrt.exe"
或

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"wsvbs"="%Windows%\wsvbs.exe"
或

[Copy to clipboard]CODE:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"cmdbcs"="%Windows%\cmdbcs.exe"
2. 重新启动计算机

3. 删除木马文件：
%Windows%\run1132.exe
%System%\run1132.dll
或
%Windows%\msdccrt.exe
%System%\mdddsccrt.dll
或
%Windows%\wsvbs.exe
%System%\wsvbs.dll
或
%Windows%\cmdbcs.exe
%System%\cmdbcs.dll

Ⅱ 怎样将硬盘上的东西拷贝到新硬盘上

一、用DOS启动盘进入DOS状态
二、进入GHOST的目录（>cd d:/ghost/）
二、运行ghost.exe（>ghost 回车）

Ghost的具体使用方法：
使用ghost进行系统备份，有整个硬盘（disk）和分区硬盘（partition）两种方式。在菜单中点击local（本地）项，在右面弹出的菜单中有3个子项，其中disk表示备份整个硬盘（即克隆）、partition表示备份硬盘的单个分区、check表示检查硬盘或备份的文件，查看是否可能因分区、硬盘被破坏等造成备份或还原失败。分区备份作为个人用户来保存系统数据，特别是在恢复和复制系统分区时具有实用价值。
选local→partition→to image菜单，弹出硬盘选择窗口，开始分区备份操作。点击该窗口中白色的硬盘信息条，选择硬盘，进入窗口，选择要操作的分区（若没有鼠标，可用键盘进行操作：tab键进行切换，回车键进行确认，方向键进行选择）。 在弹出的窗口中选择备份储存的目录路径并输入备份文件名称，注意备份文件的名称带有gho的后缀名。 接下来，程序会询问是否压缩备份数据，并给出3个选择：no表示不压缩，fast表示压缩比例小而执行备份速度较快，high就是压缩比例高但执行备份速度相当慢。最后选择yes按钮即开始进行分区硬盘的备份。ghost备份的速度相当快，不用久等就可以完成，备份的文件以gho后缀名储存在设定的目录中。
系统克隆
硬盘的克隆就是对整个硬盘的备份和还原。选择菜单local→disk→to disk，在弹出的窗口中选择源硬盘（第一个硬盘），然后选择要复制到的目标硬盘（第二个硬盘）。注意，可以设置目标硬盘各个分区的大小，ghost可以自动对目标硬盘按设定的分区数值进行分区和格式化。选择yes开始执行。
ghost能将目标硬盘复制得与源硬盘几乎完全一样，并实现分区、格式化、复制系统和文件一步完成。只是要注意目标硬盘不能太小，必须能将源硬盘的数据内容装下。
ghost还提供了一项硬盘备份功能，就是将整个硬盘的数据备份成一个文件保存在硬盘上（菜单local→disk→to image），然后就可以随时还原到其他硬盘或源硬盘上，这对安装多个系统很方便。使用方法与分区备份相似。
系统还原
如果硬盘中备份的分区数据受到损坏，用一般数据修复方法不能修复，以及系统被破坏后不能启动，都可以用备份的数据进行完全的复原而无须重新安装程序或系统。当然，也可以将备份还原到另一个硬盘上。
要恢复备份的分区，就在界面中选择菜单local→partition→from image，在弹出窗口中选择还原的备份文件，再选择还原的硬盘和分区，点击yes按钮即可。
软件特性
存贮介质
ghost 支持的存储介质超出了我们的想象，它支持对等lpt接口、对等usb接口、对等tcp/ip接口、scsi磁带机、便携式设备（jaz、zip、mo等）、光盘刻录机（cdr、cdrw）等。而这些特性不需要任何外带的驱动程序和软件，只需一张软盘就可以做到！特别是对光盘刻录机的支持，如今的刻录机和空白光盘都十分便宜，非常适合作备份的用途。
兼容性
ghost 对现有的操作系统都有良好的支持，包括fat16、fat32、ntfs、hpfs、unix、novell等文件存储格式。同以前版本不同的是，ghost 2001加入了对linux ex2的支持（fifo文件存储格式），这也就意味着linux的用户也可以用ghost来备份系统了。
配套软件支持
ghost浏览器：在以前的ghost版本中，我们只能对系统进行简单的备份、复制、还原，要恢复单个的文件和文件夹还要使用外带的ghostexp软件。现在，symantec公司已经将ghost浏览器整合在软件中。ghost浏览器采用类似于资源管理器的界面，通过它，我们可以方便迅速地在备份包中找出我们想要的文件和文件夹并还原。
gdisk：gdisk是一个新加入的实用工具，它彻底取代了fdisk和format：
* 快速格式化。
* 隐藏和显示分区的能力。此功能允许一个以上的主dos分区，并且每个分区上的操作系统有不同的版本。隐藏分区的能力使计算机习惯于引导到选定的可引导分区，忽略其他隐藏分区中相同操作系统的安装。
* 全面的分区报告。
* 高度安全的磁盘擦除。提供符合美国国防部标准和更高安全标准的磁盘擦除选项。
和使用交互式菜单的fdisk不同，gdisk是由命令行驱动的。这提供了更快的配置磁盘分区和在批处理文件中定义gdisk操作的能力。但与此同时，几十个参数会令普通用户头疼，因此笔者不推荐一般用户使用，symantec公司也应该推出相应的gui（图形用户界面）控制台以方便用户使用。具体的参数说明可以用命令行gdisk/?了解。
live update
live update是symantec公司软件的一个通用升级程序，它能够检查当前系统中已安装的symantec软件，并且通过英特网对软件进行在线升级。
在安装ghost 2001时，安装程序自动升级了live update程序的版本。
附加的命令行参数：（限ghost的无人备份/恢复/复制）
其实ghost 2001的功能远远不止它主程序中显示的那些，ghost可以在其启动的命令行中添加众多参数以实现更多的功能。命令行参数在使用时颇为复杂，不过我们可以制作批处理文件，从而“一劳永逸”（类似于无人安装windows 98和windows 2000）现在让我们来了解一些常用的参数（了解更加详细的参数介绍可查看ghost的帮助文件）。
1.-rb
本次ghost操作结束退出时自动重启。这样，在复制系统时就可以放心离开了。
2.-fx
本次ghost操作结束退出时自动回到dos提示符。
3.-sure
对所有要求确认的提示或警告一律回答“yes”。此参数有一定危险性，只建议高级用户使用。
4.-fro
如果源分区发现坏簇，则略过提示强制拷贝。此参数可用于试着挽救硬盘坏道中的数据。
5.@filename
在filename中指定txt文件。txt文件中为ghost的附加参数，这样做可以不受dos命令行150个字符的限制。
6.-f32
将源fat16分区拷贝后转换成fat32（前提是目标分区不小于2g）。winnt 4和windows95、97用户慎用。
7.-bootcd
当直接向光盘中备份文件时，此选项可以使光盘变成可引导。此过程需要放入启动盘。
8.-fatlimit
将nt的fat16分区限制在2g。此参数在复制windows nt分区，且不想使用64k/簇的fat16时非常有用。
9.-span
分卷参数。当空间不足时提示复制到另一个分区的另一个备份包。
10.-auto
分卷拷贝时不提示就自动赋予一个文件名继续执行。
11.-crcignore
忽略备份包中的crc error。除非需要抢救备份包中的数据，否则不要使用此参数，以防数据错误。
12.-ia
全部映像。ghost会对硬盘上所有的分区逐个进行备份。
13.-ial
全部映像，类似于-ia参数，对linux分区逐个进行备份。
14.-id
全部映像。类似于-ia参数，但包含分区的引导信息。
15.-quiet
操作过程中禁止状态更新和用户干预。
16.-< >
可以执行多个ghost命令行。命令行存放在指定的文件中。
17.-span
启用映像文件的跨卷功能。
18.-split=x
将备份包划分成多个分卷，每个分卷的大小为x兆。这个功能非常实用，用于大型备份包复制到移动式存储设备上，例如将一个1.9g的备份包复制到3张刻录盘上。
19.-z
将磁盘或分区上的内容保存到映像文件时进行压缩。-z或-z1为低压缩率（快速）；-z2为高压缩率（中速）；-z3至-z9压缩率依次增大（速度依次减慢）。
20.-clone
这是实现ghost无人备份/恢复的核心参数。使用语法为：
-clone,mode=(operation),src=(source),dst=(destination),[sze(size),sze(size)......]
此参数行较为复杂，且各参数之间不能含有空格。 其中operation意为操作类型，值可取：：磁盘到磁盘；load：文件到磁盘；mp：磁盘到文件；p：分区到分区；pload：文件到分区；pmp：分区到文件。
source意为操作源，值可取：驱动器号，从1开始；或者为文件名，需要写绝对路径。
destination意为目标位置，值可取：驱动器号，从1开始；或者为文件名，需要写绝对路径；@cdx，刻录机，x表示刻录机的驱动器号，从1开始。
下面举例说明
命令行参数：ghostpe.exe -clone,mode=,src=1,dst=2
完成操作：将本地磁盘1复制到本地磁盘2。
命令行参数：ghostpe.exe -clone,mode=p,src=1:2,dst=2:1
完成操作：将本地磁盘1上的第二分区复制到本地磁盘2的第一分区。
命令行参数：ghostpe.exe-clone,mode=load,src=g:3prtdisk.gho,dst=1,sze1=450m,sze2=1599m,sze3=2047m
完成操作：从映像文件装载磁盘1，并将第一个分区的大小调整为450mb，第二个调整为1599mb，第三个调整为2047mb。
命令行参数：ghostpe.exe -clone,mode=pmp,src2:1:4:6,dst=(d: )prt246.gho
完成操作：创建仅具有选定分区的映像文件。从磁盘2上选择分区1、4、6。
了解了这些参数后，我们就可以轻松地实现ghost的无人备份/复制/恢复了。冲杯咖啡吧。
一些示例
ghost.exe -clone,mode=,src=1,dst=2 -sure
硬盘对拷
ghost.exe -clone,mode=p,src=1:2,dst=2:1 -sure
将一号硬盘的第二个分区复制到二号硬盘的第一个分区
ghost.exe -clone,mode=pmp,src=1:2,dst=g:ac.gho
将一号硬盘的第二个分区做成映像文件放到g分区中
ghost.exe -clone,mode=pload,src=g:ac.gh2,dst=1:2
从内部存有两个分区的映像文件中，把第二个分区还原到硬盘的第二个分区
ghost.exe -clone,mode=pload,src=g:ac.gho,dst=1:1 -fx -sure -rb
用g盘的bac.gho文件还原c盘。完成后不显示任何信息，直接启动。
ghost.exe -clone,mode=load,src=g:ac.gho,dst=2,sze1=60p,sze2=40p
将映像文件还原到第二个硬盘，并将分区大小比例修改成60:40
还原磁盘
首先做一个启动盘，包含config.sys,autoexec.bat,command.com,io.sys,ghost.exe文件(可以用windows做启动盘的程序完成)。
autoexec.bat可以包含以下命令：
ghost.exe -clone,mode=pload,src=(d: )ac.gho,dst=1:1 -fx -sure -rb
利用在d盘的文件自动还原，结束以后自动跳出ghost并且重新启动。
开机自动做c区的备份，在d区生成备份文件bac.gho。
ghost.exe -clone,mode=pmp,src=1:1,dst=(d: )ac.gho -fx -sure -rb
还原光盘
包含文件：config.sys,autoexec.bat,mscdex.exe(cdrom执行程序),oakcdrom.sys(atapi cdrom兼容驱动程序),ghost.exe
config.sys内容为：
device=oakcdrom.sys /(d: )idecd001
autoexec.bat内容为：
mscdex.exe /(d: )idece001 /l:z
ghost -clone,mode=load,src=z:ac.gho,dst=1:1 -sure -rb
可以根据下面的具体说明修改实例
-clone 在使用时必须加入参数，它同时也是所有的switch{batch switch}里最实用的一种，下面是clone所定义的参数
-clone,
mode={|load|mp|p|pload|pmp},
src={drive|file|driveartition},
dst={drive|file|driveartition}
mode指定要使用哪种clone所提供的命令
硬盘到硬盘的复制(disk to disk )
load 文件还原到硬盘(file to disk load)
mp 将硬盘做成映像文件(disk to file mp)
p 分区到分区的复制(partition to partition )
pload 文件还原到分区(file to partition load)
pmp 分区备份成映像文件（partition to file mp)
src指定了ghost运行时使用的源分区的位置模式及其意义:
mode命令 对应mode命令src所使用参数 例子
/mp
源硬盘号。
以1代表第一号硬盘
load 映像文件名
g:/back98/setup98.gho 或装置名称(drive）
p/pmp
源分区号。
1：2代表的是硬盘1的第二个分区
pload 分区映像文件名加上分区号或是驱动器名加上分区号。
g:ack98setup98.gh2,代表映像文件里的第二个分区
dst运行ghost时使用的目标位置模式及其意义:
mode命令 对应mode命令dst所使用参数 例子
/mp 目的硬盘号。
2代表第二号硬盘
load 硬盘映像文件名。
例g:ack98setup98.gho
p/pload 目的分区号。
2:2 代表的是，硬盘2的第二个分区
pmp 分区映像文件名加分区号。
g:ack98setup98.gh2
szen指定所使用目的分区的大小
n=xxxxm 指定第n目的分区的大小为xxxxmb sze2=800m表示分区2的大小为800mb
n=mmp 指定地n的目的分区的大小为整个硬盘的mm个百分比。
其他参数
-fxo 当源物件出现坏块时，强迫复制继续进行
-fx 当ghost完成新系统的工作后不显示“press ctrl-alt-del to reboot“直接回到dos下
-ia 完全执行扇区到扇区的复制。当由一个映像文件或由另一个硬盘为来源，复制一个分区时，ghost将首先检查来源分区，再决定是要复制文件和目录结构还是要做映像复制(扇区到扇区)。预设是这种形式。但是有的时候，硬盘里特定的位置可能会放一些隐藏的与系统安全有关的文件。只有用扇区到扇区复制的方法才能正确复制
-pwd and -pwd=x 给映像文件加密
-rb 在还原或复制完成以后，让系统重新启动
-sure 可以和clone合用。ghost不会显示“proceed with disk clone-destination drive will be overwritten?“提示信息
注意事项
1.在备份系统时，单个的备份文件最好不要超过2gb。
2.在备份系统前，最好将一些无用的文件删除以减少ghost文件的体积。通常无用的文件有：windows的临时文件夹、ie临时文件夹、windows的内存交换文件。这些文件通常要占去100多兆硬盘空间。
3.在备份系统前，整理目标盘和源盘，以加快备份速度。
4.在备份系统前及恢复系统前，最好检查一下目标盘和源盘，纠正磁盘错误。
5.在恢复系统时，最好先检查一下要恢复的目标盘是否有重要的文件还未转移，千万不要等硬盘信息被覆盖后才后悔莫及啊。
6.在选择压缩率时，建议不要选择最高压缩率，因为最高压缩率非常耗时，而压缩率又没有明显的提高。
7.在新安装了软件和硬件后，最好重新制作映像文件，否则很可能在恢复后出现一些莫名其妙的错误。

Ⅲ 振奋啊！卡巴斯基！燃烧我的硬盘吧！（有问题想问）

那~~~~防病毒是吧.
我给几个方法
手动防治，自己配置系统的安全
1.系统自动更新程序开着，确保系统没有漏洞
2.装个防火墙，关闭不常用的瑞口
3.时常注意系统的起动项，看看都有什么程序起动
4.装杀毒软件(不过把它的服务停了-需要它时让它工作-不需要时一边歇着去)
省着它占内存.
以上就是系统安全的方法，下面说一下具体的方法吧

个人电脑详细的安全设置方法

由于现在家用电脑所使用的操作系统多数为Win XP 和Win2000 pro（建议还在使用98的朋友换换系统，连微软都放弃了的系统你还用它干嘛？）所以后面我将主要讲一下基于这两个操作系统的安全防范。

个人电脑常见的被入侵方式

谈到个人上网时的安全，还是先把大家可能会遇到的问题归个类吧。我们遇到的入侵方式大概包括了以下几种：

(1) 被他人盗取密码；

(2) 系统被木马攻击；

(3) 浏览网页时被恶意的java scrpit程序攻击；

(4) QQ被攻击或泄漏信息；

(5) 病毒感染；

(6) 系统存在漏洞使他人攻击自己。

(7) 黑客的恶意攻击。

下面我们就来看看通过什么样的手段来更有效的防范攻击。

察看本地共享资源
删除共享

删除ipc$空连接
账号密码的安全原则

关闭自己的139端口
445端口的关闭

3389的关闭
4899的防范

常见端口的介绍
如何查看本机打开的端口和过滤

禁用服务
本地策略

本地安全策略
用户权限分配策略

终端服务配置
用户和组策略

防止rpc漏洞
自己动手DIY在本地策略的安全选项

工具介绍
避免被恶意代码 木马等病毒攻击

1.察看本地共享资源

运行CMD输入net share，如果看到有异常的共享，那么应该关闭。但是有时你关闭共享下次开机的时候又出现了，那么你应该考虑一下，你的机器是否已经被黑客所控制了，或者中了病毒。

2.删除共享(每次输入一个）

net share admin$ /delete
net share c$ /delete
net share d$ /delete（如果有e，f，……可以继续删除）

3.删除ipc$空连接

在运行内输入regedit，在注册表中找到 HKEY-LOCAL_ 项里数值名称RestrictAnonymous的数值数据由0改为1。

4.关闭自己的139端口，ipc和RPC漏洞存在于此。

关闭139端口的方法是在“网络和拨号连接”中“本地连接”中选取“Internet协议(TCP/IP)”属性，进入“高级TCP/IP设置”“WinS设置”里面有一项“禁用TCP/IP的NETBIOS”，打勾就关闭了139端口。
5．防止rpc漏洞

打开管理工具--服务--找到RPC(Remote Procere Call (RPC) Locator)服务--将故障恢复中的第一次失败，第二次失败，后续失败，都设置为不操作。

XP SP2和2000 pro sp4，均不存在该漏洞。

6．445端口的关闭

修改注册表，添加一个键值
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\NetBT\Parameters在右面的窗口建立一个SMBDeviceEnabled 为REG_DWORD类型键值为 0这样就ok了

7．3389的关闭

XP：我的电脑上点右键选属性-->远程，将里面的远程协助和远程桌面两个选项框里的勾去掉。

Win2000server 开始-->程序-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务。（该方法在XP同样适用）

使用2000 pro的朋友注意，网络上有很多文章说在Win2000pro 开始-->设置-->控制面板-->管理工具-->服务里找到Terminal Services服务项，选中属性选项将启动类型改成手动，并停止该服务，可以关闭3389，其实在2000pro 中根本不存在Terminal Services。

8．4899的防范

网络上有许多关于3389和4899的入侵方法。4899其实是一个远程控制软件所开启的服务端端口，由于这些控制软件功能强大，所以经常被黑客用来控制自己的肉鸡，而且这类软件一般不会被杀毒软件查杀，比后门还要安全。

4899不象3389那样，是系统自带的服务。需要自己安装，而且需要将服务端上传到入侵的电脑并运行服务，才能达到控制的目的。

所以只要你的电脑做了基本的安全配置，黑客是很难通过4899来控制你的。

9、禁用服务

打开控制面板，进入管理工具--服务，关闭以下服务

1.Alerter[通知选定的用户和计算机管理警报]
2.ClipBook[启用“剪贴簿查看器”储存信息并与远程计算机共享]
3.Distributed File System[将分散的文件共享合并成一个逻辑名称，共享出去，关闭后远程计算机无法访问共享
4.Distributed Link Tracking Server[适用局域网分布式链接? �倏突Ф朔�馷
5.Human Interface Device Access[启用对人体学接口设备(HID)的通用输入访问]
6.IMAPI CD-Burning COM Service[管理 CD 录制]
7.Indexing Service[提供本地或远程计算机上文件的索引内容和属性，泄露信息]
8.Kerberos Key Distribution Center[授权协议登录网络]
9.License Logging[监视IIS和SQL如果你没安装IIS和SQL的话就停止]
10.Messenger[警报]
11.NetMeeting Remote Desktop Sharing[netmeeting公司留下的客户信息收集]
12.Network DDE[为在同一台计算机或不同计算机上运行的程序提供动态数据交换]
13.Network DDE DSDM[管理动态数据交换 (DDE) 网络共享]
14.Print Spooler[打印机服务，没有打印机就禁止吧]
15.Remote Desktop Help& nbsp;Session Manager[管理并控制远程协助]
16.Remote Registry[使远程计算机用户修改本地注册表]
17.Routing and Remote Access[在局域网和广域往提供路由服务.黑客理由路由服务刺探注册信息]
18.Server[支持此计算机通过网络的文件、打印、和命名管道共享]
19.Special Administration Console Helper[允许管理员使用紧急管理服务远程访问命令行提示符]
20.TCP/IPNetBIOS Helper[提供 TCP/IP 服务上的 NetBIOS 和网络上客户端的 NetBIOS 名称解析的支持而使用户能够共享文件、打印和登录到网络]
21.Telnet[允许远程用户登录到此计算机并运行程序]
22.Terminal Services[允许用户以交互方式连接到远程计算机]
23.Window s Image Acquisition (WIA)[照相服务，应用与数码摄象机]

如果发现机器开启了一些很奇怪的服务，如r_server这样的服务，必须马上停止该服务，因为这完全有可能是黑客使用控制程序的服务端
10、账号密码的安全原则

首先禁用guest帐号，将系统内建的administrator帐号改名～～（改的越复杂越好，最好改成中文的），而且要设置一个密码，最好是8位以上字母数字符号组合。 (让那些该死的黑客慢慢猜去吧～）

如果你使用的是其他帐号，最好不要将其加进administrators，如果加入administrators组，一定也要设置一个足够安全的密码，同上如果你设置adminstrator的密码时，最好在安全模式下设置，因为经我研究发现，在系统中拥有最高权限的帐号，不是正常登陆下的adminitrator帐号，因为即使有了这个帐号，同样可以登陆安全模式，将sam文件删除，从而更改系统的administrator的密码！而在安全模式下设置的administrator则不会出现这种情况，因为不知道这个administrator密码是无法进入安全模式。权限达到最大这个是密码策略：用户可以根据自己的习惯设置密码，下面是我建议的设置（关于密码安全设置，我上面已经讲了，这里不再罗嗦了。

打开管理工具.本地安全设置.密码策略

1.密码必须符合复杂要求性.启用
2.密码最小值.我设置的是8
3.密码最长使用期限.我是默认设置42天
4.密码最短使用期限0天
5.强制密码历史 记住0个密码
6.用可还原的加密来存储密码 禁用

11、本地策略:

这个很重要，可以帮助我们发现那些心存叵测的人的一举一动，还可以帮助我们将来追查黑客。

(虽然一般黑客都会在走时会清除他在你电脑中留下的痕迹，不过也有一些不小心的)

打开管理工具

找到本地安全设置.本地策略.审核策略

1.审核策略更改 成功失败
2.审核登陆事件 成功失败
3.审核对象访问 失败
4.审核跟踪过程 无审核
5.审核目录服务访问 失败
6.审核特权使用 失败
7.审核系统事件 成功失败
8.审核帐户登陆时间 成功失败
9.审核帐户管理 成功失败
&nb sp;然后再到管理工具找到
事件查看器
应用程序：右键>属性>设置日志大小上限，我设置了50mb，选择不覆盖事件
安全性：右键>属性>设置日志大小上限，我也是设置了50mb，选择不覆盖事件
系统：右键>属性>设置日志大小上限，我都是设置了50mb，选择不覆盖事件

12、本地安全策略:

打开管理工具

找到本地安全设置.本地策略.安全选项

1.交互式登陆.不需要按 Ctrl+Alt+Del 启用 [根据个人需要，? 但是我个人是不需要直接输入密码登陆的]
2.网络访问.不允许SAM帐户的匿名枚举 启用
3.网络访问.可匿名的共享 将后面的值删除
4.网络访问.可匿名的命名管道 将后面的值删除
5.网络访问.可远程访问的注册表路径 将后面的值删除
6.网络访问.可远程访问的注册表的子路径 将后面的值删除
7.网络访问.限制匿名访问命名管道和共享
8.帐户.（前面已经详细讲过拉 ）

13、用户权限分配策略:

打开管理工具

找到本地安全设置.本地策略.用户权限分配

1.从网络访问计算机 里面一般默认有5个用户，除Admin外我们删除4个，当然，等下我们还得建一个属于自己的ID
2.从远程系统强制关机，Admin帐户也删除，一个都不留
3.拒绝从网络访问这台计算机 将ID删除
4.从网络访问此计算机，Admin也可删除，如果你不使用类似3389服务
5.通过远端强制关机。删掉
附： 那我们现在就来看看Windows 2000的默认权限设置到底是怎样的。对于各个卷的根目录，默认给了Everyone组完全控制权。这意味着任何进入电脑的用户将不受限制的在这些根目录中为所欲为。系统卷下有三个目录比较特殊，系统默认给了他们有限制的权限，这三个目录是Documents and settings、Program files和Winnt。对于Documents and settings，默认的权限是这样分配的：Administrators拥有完全控制权；Everyone拥有读&运，列和读权限；Power users拥有读&运，列和读权限；SYSTEM同Administrators;Users拥有读&运，列和读权限。对于Program files，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Terminal server users拥有完全控制权，Users有读&运，列和读权限。对于Winnt，Administrators拥有完全控制权；Creator owner拥有特殊权限;Power users有完全控制权;SYSTEM同Administrators;Users有读&运，列和读权限。而非系统卷下的所有目录都将继承其父目录的权限，也就是Everyone组完全控制权！

14、终端服务配置

打开管理工具

终端服务配置

1.打开后，点连接，右键，属性，远程控制，点不允许远程控制
2.常规，加密级别，高，在使用标准Windows验证上点√!
3.网卡，将最多连接数上设置为0
4.高级，将里面的权限也删除.[我没设置]
再点服务器设置，在Active Desktop上，设置禁用，且限制每个使用一个会话

15、用户和组策略

打开管理工具

计算机管理.本地用户和组.用户;

删除Support_388945a0用户等等
只留下你更改好名字的adminisrator权限

计算机管理.本地用户和组.组

组.我们就不分组了，每必要把

16、自己动手DIY在本地策略的安全选项

1）当登陆时间用完时自动注销用户(本地) 防止黑客密码渗透.
2）登陆屏幕上不显示上次登陆名(远程)如果开放3389服务，别人登陆时，就不会残留有你登陆的用户名.让他去猜你的用户名去吧.
3）对匿名连接的额外限制
4）禁止按 alt+crtl +del(没必要）
5）允许在未登陆前关机[防止远程关机/启动、强制关机/启动]
6）只有本地登陆用户才能访问cd-rom
7）只有本地登陆用户才能访问软驱
8）取消关机原因的提示
A、打开控制面板窗口，双击“电源选项”图标，在随后出现的电源属性窗口中，进入到“高级”标签页面；
B、在该页面的“电源按钮”设置项处，将“在按下计算机电源按钮时”设置为“关机”，单击“确定”按钮，来退出设置框；
C、以后需要关机时，可以直接按下电源按键，就能直接关闭计算机了。当然，我们也能启用休眠功能键，来实现快速关机和开机；
D4、要是系统中没有启用休眠模式的话，可以在控制面板窗口中，打开电源选项，进入到休眠标签页面，并在其中将“启用休眠”选项选中就可以了。
9）禁止关机事件跟踪
开始“Start ->”运行“ Run ->输入”gpedit.msc “，在出现的窗口的左边部分，选择 ”计算机配置“（Computer Configuration ）-> ”管理模板“（Administrative Templates）-> ”系统“（System），在右边窗口双击“Shutdown Event Tracker” 在出现的对话框中选择“禁止”（Disabled），点击然后“确定”（OK）保存后退出这样，你将看到类似于Windows 2000的关机窗口

17、常见端口的介绍

TCP
21 FTP
22 SSH
23 TELNET
25 TCP SMTP
53 TCP DNS
80 HTTP
135 epmap
138 [冲击波]
139 smb
445
1025 DCE/1ff70682-0a51-30e8-076d-740be8cee98b
1026 DCE/12345778-1234-abcd-ef00-0123456789ac
1433 TCP SQL SERVER
5631 TCP PCANYWHERE
5632 UDP PCANYWHERE
3389 Terminal Services
4444[冲击波]

UDP
67[冲击波]
137 netbios-ns
161 An SNMP Agent is running/ Default community names of the SNMP Agent

关于UDP一般只有腾讯QQ会打开4000或者是8000端口或者8080，那么，我们只运 行本机使用4000这几个端口就行了
附：1 端口基础知识大全（绝对好帖，加精吧！）

端口分为3大类
1） 公认端口（Well Known Ports）：从0到1023，它们紧密绑定于一些服务。通常 这些端口的通讯明确表明了某种服 务的协议。例如：80端口实际上总是h++p通讯。

2） 注册端口（Registered Ports）：从1024到49151。它们松散地绑定于一些服 务。也就是说有许多服务绑定于这些端口，这些端口同样用于许多其它目的。例如： 许多系统处理动态端口从1024左右开始。

3） 动态和/或私有端口（Dynamic and/or Private Ports）：从49152到65535。 理论上，不应为服务分配这些端口。实际上，机器通常从1024起分配动态端口。但也 有例外：SUN的RPC端口从32768开始。

本节讲述通常TCP/UDP端口扫描在防火墙记录中的信息。

记住：并不存在所谓 ICMP端口。如果你对解读ICMP数据感兴趣，请参看本文的其它部分。

0 通常用于分析* 作系统。这一方*能够工作是因为在一些系统中“0”是无效端口，当你试 图使用一 种通常的闭合端口连接它时将产生不同的结果。一种典型的扫描：使用IP地址为 0.0.0.0，设置ACK位并在以太网层广播。

1 tcpmux这显示有人在寻找SGIIrix机 器。Irix是实现tcpmux的主要提供者，缺省情况下tcpmux在这种系统中被打开。Iris 机器在发布时含有几个缺省的无密码的帐户，如lp,guest, uucp, nuucp, demos, tutor, diag, EZsetup, OutOfBox,
和4Dgifts。许多管理员安装后忘记删除这些帐户。因此Hacker们在Internet上搜索 tcpmux 并利用这些帐户。

7Echo你能看到许多人们搜索Fraggle放大器时，发送到x.x.x.0和x.x.x.255的信 息。常见的一种DoS攻击是echo循环（echo-loop），攻击者伪造从一个机器发送到另 一个UDP数据包，而两个机器分别以它们最快的方式回应这些数据包。（参见 Chargen） 另一种东西是由DoubleClick在词端口建立的TCP连接。有一种产品叫做 Resonate Global Dispatch”，它与DNS的这一端口连接以确定最近的路 由。Harvest/squid cache将从3130端口发送UDPecho：“如果将cache的 source_ping on选项打开，它将对原始主机的UDP echo端口回应一个HIT reply。”这将会产生许多这类数据包。

11 sysstat这是一种UNIX服务，它会列出机器上所有正在运行的进程以及是什么启动 了这些进程。这为入侵者提供了许多信息而威胁机器的安全，如暴露已知某些弱点或 帐户的程序。这与UNIX系统中“ps”命令的结果相似再说一遍：ICMP没有端口，ICMP port 11通常是ICMPtype=1119 chargen 这是一种仅仅发送字符的服务。UDP版本将 会在收到UDP包后回应含有垃圾字符的包。TCP连
接时，会发送含有垃圾字符的数据流知道连接关闭。Hacker利用IP欺骗可以发动DoS 攻击伪造两 个chargen服务器之间的UDP由于服务器企图回应两个服务器之间的无限 的往返数据通讯一个chargen和echo将导致服务器过载。同样fraggle DoS攻击向目标 地址的这个端口广播一个带有伪造受害者IP的数据包，受害者为了回应这些数据而过 载。
21 ftp最常见的攻击者用于寻找打开“anonymous”的ftp服务器的方*。这些服务器 带有可读写的目录。Hackers或tackers利用这些服务器作为传送warez (私有程序) 和pr0n(故意拼错词而避免被搜索引擎分类)的节点。

22 sshPcAnywhere建立TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱 点。如果配置成特定的模式，许多使用RSAREF库的版本有不少漏洞。（建议在其它端 口运行ssh）还应该注意的是ssh工具包带有一个称为ake-ssh-known-hosts的程序。 它会扫描整个域的ssh主机。你有时会被使用这一程序的人无意中扫描到。UDP（而不 是TCP）与另一端的5632端口相连意味着存在搜索pcAnywhere的扫描。5632 （十六进 制的0x1600）位交换后是0x0016（使进制的22）。

23 Telnet入侵者在搜索远程登陆UNIX的服务。大多数情况下入侵者扫描这一端口是 为了找到机器运行的*作系统。此外使用其它技术，入侵者会找到密码。
#2

25 smtp攻击者（spammer）寻找SMTP服务器是为了传递他们的spam。入侵者的帐户总 被关闭，他们需要拨号连接到高带宽的e-mail服务器上，将简单的信息传递到不同的 地址。SMTP服务器（尤其是sendmail）是进入系统的最常用方*之一，因为它们必须 完整的暴露于Internet且邮件的路由是复杂的（暴露+复杂=弱点）。

53 DNSHacker或crackers可能是试图进行区域传递（TCP），欺骗DNS（UDP）或隐藏 其它通讯。因此防火墙常常过滤或记录53端口。 需要注意的是你常会看到53端口做为 UDP源端口。不稳定的防火墙通常允许这种通讯并假设这是对DNS查询的回复。Hacker 常使用这种方*穿透防火墙。

67和68 Bootp和DHCPUDP上的Bootp/DHCP：通过DSL和cable-modem的防火墙常会看 见大量发送到广播地址255.255.255.255的数据。这些机器在向DHCP服务器请求一个 地址分配。Hacker常进入它们分配一个地址把自己作为局部路由器而发起大量的“中 间人”（man-in-middle）攻击。客户端向68端口（bootps）广播请求配置，服务器 向67端口（bootpc）广播回应请求。这种回应使用广播是因为客户端还不知道可以发 送的IP地址。69 TFTP(UDP) 许多服务器与bootp一起提供这项服务，便于从系统下载 启动代码。但是它们常常错误配置而从系统提供任何文件，如密码文件。它们也可用 于向系统写入文件

79 finger Hacker用于获得用户信息，查询*作系统，探测已知的缓冲区溢出错误， 回应从自己机器到其它机器finger扫描。

98 linuxconf 这个程序提供linuxboxen的简单管理。通过整合的h++p服务器在98端 口提供基于Web界面的服务。它已发现有许多安全问题。一些版本setuidroot，信任 局域网，在/tmp下建立Internet可访问的文件，LANG环境变量有缓冲区溢出。 此外 因为它包含整合的服务器，许多典型的h++p漏洞可
能存在（缓冲区溢出，历遍目录等）109 POP2并不象POP3那样有名，但许多服务器同 时提供两种服务（向后兼容）。在同一个服务器上POP3的漏洞在POP2中同样存在。

110 POP3用于客户端访问服务器端的邮件服务。POP3服务有许多公认的弱点。关于用 户名和密码交换缓冲区溢出的弱点至少有20个（这意味着Hacker可以在真正登陆前进 入系统）。成功登陆后还有其它缓冲区溢出错误。

111 sunrpc portmap rpcbind Sun RPCPortMapper/RPCBIND。访问portmapper是 扫描系统查看允许哪些RPC服务的最早的一步。常 见RPC服务有：pc.mountd, NFS, rpc.statd, rpc.csmd, rpc.ttybd, amd等。入侵者发现了允许的RPC服务将转向提 供 服务的特定端口测试漏洞。记住一定要记录线路中的
daemon, IDS, 或sniffer，你可以发现入侵者正使用什么程序访问以便发现到底发生 了什么。

113 Ident auth .这是一个许多机器上运行的协议，用于鉴别TCP连接的用户。使用 标准的这种服务可以获得许多机器的信息（会被Hacker利用）。但是它可作为许多服 务的记录器，尤其是FTP, POP, IMAP, SMTP和IRC等服务。通常如果有许多客户通过 防火墙访问这些服务，你将会看到许多这个端口的连接请求。记住，如果你阻断这个 端口客户端会感觉到在防火墙另一边与e-mail服务器的缓慢连接。许多防火墙支持在 TCP连接的阻断过程中发回T，着将回停止这一缓慢的连接。

119 NNTP news新闻组传输协议，承载USENET通讯。当你链接到诸 如：news:p.security.firewalls/. 的地址时通常使用这个端口。这个端口的连接 企图通常是人们在寻找USENET服务器。多数ISP限制只有他们的客户才能访问他们的新 闻组服务器。打开新闻组服务器将允许发/读任何人的帖子，访问被限制的新闻组服务 器，匿名发帖或发送spam。

135 oc-serv MS RPC end-point mapper Microsoft在这个端口运行DCE RPC end- point mapper为它的DCOM服务。这与UNIX 111端口的功能很相似。使用DCOM和/或 RPC的服务利用 机器上的end-point mapper注册它们的位置。远
端客户连接到机器时，它们查询end-point mapper找到服务的位置。同样Hacker扫描 机器的这个端口是为了找到诸如：这个机器上运 行Exchange Server吗？是什么版 本？ 这个端口除了被用来查询服务（如使用epmp）还可以被用于直接攻击。有一些 DoS攻 击直接针对这个端口。

137 NetBIOS name service nbtstat (UDP)这是防火墙管理员最常见的信息，请仔 细阅读文章后面的NetBIOS一节 139 NetBIOS File and Print Sharing
通过这个端口进入的连接试图获得NetBIOS/SMB服务。这个协议被用于Windows“文件 和打印机共享”和SAMBA。在Internet上共享自己的硬盘是可能是最常见的问题。 大 量针对这一端口始于1999，后来逐渐变少。2000年又有回升。一些VBS（IE5 VisualBasicScripting）开始将它们自己拷贝到这个端口，试图在这个端口繁殖。

143 IMAP和上面POP3的安全问题一样，许多IMAP服务器有缓冲区溢出漏洞运行登陆过 程中进入。记住：一种Linux蠕虫（admw0rm）会通过这个端口繁殖，因此许多这个端 口的扫描来自不知情的已被感染的用户。当RadHat在他们的Linux发布版本中默认允 许IMAP后，这些漏洞变得流行起来。Morris蠕虫以后这还是第一次广泛传播的蠕虫。 这一端口还被用于IMAP2，但并不流行。 已有一些报道发现有些0到143端口的攻击源 于脚本。

161 SNMP(UDP)入侵者常探测的端口。SNMP允许远程管理设备。所有配置和运行信息 都储存在数据库中，通过SNMP客获得这些信息。许多管理员错误配置将它们暴露于 Internet。Crackers将试图使用缺省的密码“public”“private”访问系统。他们 可能会试验所有可能的组合。 SNMP包可能会被错误的指向你的网络。Windows机器常 会因为错误配置将HP JetDirect rmote management软件使用SNMP。HP OBJECT IDENTIFIER将收到SNMP包。新版的Win98使用SNMP解析域名，你会看见这种包在子网 内广播（cable modem, DSL）查询sysName和其它信
息。

162 SNMP trap 可能是由于错误配置

177 xdmcp 许多Hacker通过它访问X-Windows控制台，它同时需要打开6000端口。

513 rwho 可能是从使用cable modem或DSL登陆到的子网中的UNIX机器发出的广播。 这些人为Hacker进入他们的系统提供了很有趣的信息

553 CORBA IIOP (UDP) 如果你使用cable modem或DSL VLAN，你将会看到这个端口 的广播。CORBA是一种面向对象的RPC（remote procere call）系统。Hacker会利 用这些信息进入系统。 600 Pcserver backdoor 请查看1524端口一些玩script的孩 子认为他们通过修改ingreslock和pcserver文件已经完全攻破了系统-- Alan J. Rosenthal.

635 mountd Linux的mountd Bug。这是人们扫描的一个流行的Bug。大多数对这个端 口的扫描是基于UDP的，但基于TCP 的mountd有所增加（mountd同时运行于两个端 口）。记住，mountd可运行于任何端口（到底在哪个端口，需要在端口111做portmap 查询），只是Linux默认为635端口，就象NFS通常运行于2049

1024 许多人问这个 端口是干什么的。它是动态端口

Ⅳ Linux磁盘管理的Linux管理命令

磁盘空间管理
系统软件和应用软件，都要以文件的形式存储在计算机的磁盘空间中。因此，应该随时监视磁盘空间的使用情况。Linux系统提供了一组有关磁盘空间管理的命令。
df命令
功能：检查文件系统的磁盘空间占用情况。可以利用该命令来获取硬盘被占用了多少空间，目前还剩下多少空间等信息。
语法：df [选项]
说明：df命令可显示所有文件系统对i节点和磁盘块的使用情况。
该命令各个选项的含义如下：
-a 显示所有文件系统的磁盘使用情况，包括0块（block）的文件系统，如/proc文件系统。
-k 以k字节为单位显示。
-i 显示i节点信息，而不是磁盘块。
-t 显示各指定类型的文件系统的磁盘空间使用情况。
-x 列出不是某一指定类型文件系统的磁盘空间使用情况（与t选项相反）。
-T 显示文件系统类型。
例1：列出各文件系统的磁盘空间使用情况。
$ df
Filesystem 1 K－blocks Used Available Use% Mounted on
/dev/hda2 1361587 1246406 44823 97% /
df命令的输出清单的第1列是代表文件系统对应的设备文件的路径名（一般是硬盘上的分区）；第2列给出分区包含的数据块（1024字节）的数目；第3，4列分别表示已用的和可用的数据块数目。用户也许会感到奇怪的是，第3，4列块数之和不等于第2列中的块数。这是因为缺省的每个分区都留了少量空间供系统管理员使用。即使遇到普通用户空间已满的情况，管理员仍能登录和留有解决问题所需的工作空间。清单中Use% 列表示普通用户空间使用的百分比，即使这一数字达到100%，分区仍然留有系统管理员使用的空间。最后，Mounted on列表示文件系统的安装点。
例2：列出各文件系统的i节点使用情况。
$ df -ia
Filesystem Inodes IUsed IFree Iused% Mounted on
/dev/ hda2 352256 75043 277213 21% /
none 0 0 0 0% /proc localhost:（pid221） 0 0 0 0% /net
例3：列出文件系统的类型。
$ df -T
Filesystem Type 1K－blocks Used Available use% Mounted on
/dev/hda2 ext2 1361587 1246405 44824 97% /
本例中的文件系统是ext2类型的。
命令
的英文原义为“disk usage”，含义为显示磁盘空间的使用情况。
功能：统计目录（或文件）所占磁盘空间的大小。
语法： [选项] [Names…]
说明：该命令逐级进入指定目录的每一个子目录并显示该目录占用文件系统数据块（1024字节）的情况。若没有给出Names，则对当前目录进行统计。
该命令的各个选项含义如下：
-s 对每个Names参数只给出占用的数据块总数。
-a 递归地显示指定目录中各文件及子孙目录中各文件占用的数据块数。若既不指定-s，也不指定-a，则只显示Names中的每一个目录及其中的各子目录所占的磁盘块数。
-b 以字节为单位列出磁盘空间使用情况（系统缺省以k字节为单位）。
-k 以1024字节为单位列出磁盘空间使用情况。
-c 最后再加上一个总计（系统缺省设置）。
-l 计算所有的文件大小，对硬链接文件，则计算多次。
-x 跳过在不同文件系统上的目录不予统计。
下面举例说明命令的使用：
例1：查看/mnt目录占用磁盘空间的情况。
$ cd /mnt $ ls -lFR total 10 -rwxrwxrwx 2 root root ll0 Ju1 3l 00:33 aa*
drwxr-xr-x 2 root root l024 Ju1 20 14:16 dev/
-rw-r--r-- 1 root root 6229 Aug 2 0l:39 s1ack
drwxrwxrwx 2 root root 1024 Aug 2 02:09 var/
1rwxrwxrwx 1 root root l0 Aug 2 0l:51 wei->/home/wei/
dev:
tota1 0
lrwxrwxrwx 1 root root 8 Ju1 20 l4:l6 cdrom->/dev/hdb
var:
tata1 37
-r-xr-xr-x l root root 36064 Aug 2 02:09 rawrite. exe*
例2：列出各目录所占的磁盘空间，但不详细列出每个文件所占的空间。
$
l . /dev
38 . /var
48 .
输出清单中的第一列是以块为单位计的磁盘空间容量，第二列列出目录中使用这些空间的目录名称。 注意不带选项的命令将从当前目录开始沿着目录结构向下工作直到列出所有目录的容量为止。这可能是一个很长的清单，有时只需要一个总数。这时可在命令中加-s选项来取得总数：
$ –s /mnt
/mnt
例3：列出所有文件和目录所占的空间（使用a选项），而且以字节为单位（使用b选项）来计算大小。
$ -ab
8 ./dev/cdrom
l032 ./dev
36064 ./var/rawrite. exe
37088 ./var
6229 ./s1ack
1l0 ./aa
l0 ./wei
45493 .
磁 盘 操 作
dd命令
功能：把指定的输入文件拷贝到指定的输出文件中，并且在拷贝过程中可以进行格式转换。可以用该命令实现DOS下的disk命令的作用。先用dd命令把软盘上的数据写成硬盘的一个寄存文件，再把这个寄存文件写入第二张软盘上，完成disk的功能。需要注意的是，应该将硬盘上的寄存文件用rm命令删除掉。系统默认使用标准输入文件和标准输出文件。
语法：dd [选项]
if =输入文件（或设备名称）。
of =输出文件（或设备名称）。
ibs = bytes 一次读取bytes字节，即读入缓冲区的字节数。
skip = blocks 跳过读入缓冲区开头的ibs*blocks块。
obs = bytes 一次写入bytes字节，即写入缓冲区的字节数。
bs = bytes 同时设置读/写缓冲区的字节数（等于设置ibs和obs）。
cbs = byte 一次转换bytes字节。
count=blocks 只拷贝输入的blocks块。
conv = ASCII 把EBCDIC码转换为ASCIl码。
conv = ebcdic 把ASCIl码转换为EBCDIC码。
conv = ibm 把ASCIl码转换为alternate EBCDIC码。
conv = block 把变动位转换成固定字符。
conv = ublock 把固定位转换成变动位。
conv = ucase 把字母由小写转换为大写。
conv = lcase 把字母由大写转换为小写。
conv = notrunc 不截短输出文件。
conv = swab 交换每一对输入字节。
conv = noerror 出错时不停止处理。
conv = sync 把每个输入记录的大小都调到ibs的大小（用NUL填充）。
例1：要把一张软盘的内容拷贝到另一张软盘上，利用/tmp作为临时存储区。把源盘插入驱动器中，输入下述命令：
$ dd if =/dev/fd0 of = /tmp/tmpfile
拷贝完成后，将源盘从驱动器中取出，把目标盘插入，输入命令：
$ dd if = /tmp/tmpfile of =/dev/fd0
软盘拷贝完成后，应该将临时文件删除：
$ rm /tmp/tmpfile
例2：把net.i这个文件写入软盘中，并设定读/写缓冲区的数目。 （注意：软盘中的内容会被完全覆盖掉）
$ dd if = net.i of = /dev/fd0 bs = 16384
例3：将文件sfile拷贝到文件 dfile中。
$ dd if=sfile of=dfile
fdformat 命令
软盘是用户常用的存储介质之一。软盘在使用之前必须先作格式化操作，然后可以用tar、dd、cpio等命令存储数据，也可以在软盘上建立可安装的文件系统。
功能：低级格式化软盘
语法：format [-n] device
说明：该命令的作用是对软盘进行格式化。
-n 软盘格式化后不作检验。
device 指定要进行格式化的设备，通常是下述设备之一：
/dev/fd0d360
/dev/fd0h1200
/dev/fd0D360
/dev/fd0H360
/dev/fd0D720
/dev/fd0H720
/dev/fd0h360
/dev/fd0h720
/dev/fd0H1440

Ⅳ 问下硬件高手，打算用微星Z97 gaming 9 ACK这块新板子，关于M.2接口和PCIe SSD 问题，求解答

只要板上有这个接口 肯定是可以的。不然做这个接口作摆设么。

Ⅵ 最近玩游戏速度太慢了，想要提高游戏运行效率，选择致钛哪款固态硬盘比较好

致钛PC005作为一款高性能固态硬盘，对于游戏玩家来 说真是太合适不过了，它采用了NVMe协议，支持PCIe Gen 3.0 x4通道，拥 有更快的传输速度，可以达到3500MB /s 左右 ；外观尺寸是常规的M.2 2280，方便用户安装，不占用机箱其他空间，而且采用的是自家研发的Xtackin g架构长 江存储64层3D NAND，拥有更高的存储密度和传输速度。

Ⅶ 我的电脑怎么会那么卡啊

可能有一下原因：
1、设定虚拟内存
硬盘中有一个很宠大的数据交换文件，它是系统预留给虚拟内存作暂存的地方，很多应用程序都经常会使用到，所以系统需要经常对主存储器作大量的数据存取，因此存取这个档案的速度便构成影响计算机快慢的非常重要因素！一般windows预设的是由系统自行管理虚拟内存，它会因应不同程序所需而自动调校交换档的大小，但这样的变大缩小会给系统带来额外的负担，令系统运作变慢！有见及此，用户最好自定虚拟内存的最小值和最大值，避免经常变换大小。要设定虚拟内存，在“我的电脑”上按右键选择“属性”，在“高级”选项里的“效能”的对话框中，对“虚拟内存”进行设置。
3、检查应用软件或者驱动程序
有些程序在电脑系统启动会时使系统变慢。如果要是否是这方面的原因，我们可以从“安全模式”启动。因为这是原始启动，“安全模式”运行的要比正常运行时要慢。但是，如果你用“安全模式”启动发现电脑启动速度比正常启动时速度要快，那可能某个程序是导致系统启动速度变慢的原因。
4、桌面图标太多会惹祸
桌面上有太多图标也会降低系统启动速度。windows每次启动并显示桌面时，都需要逐个查找桌面快捷方式的图标并加载它们，图标越多，所花费的时间当然就越多。同时有些杀毒软件提供了系统启动扫描功能，这将会耗费非常多的时间，其实如果你已经打开了杀毒软件的实时监视功能，那么启动时扫描系统就显得有些多余，还是将这项功能禁止吧！
建议大家将不常用的桌面图标放到一个专门的文件夹中或者干脆删除！
5、adsl导致的系统启动变慢
默认情况下windows
xp在启动时会对网卡等网络设备进行自检，如果发现网卡的ip地址等未配置好就会对其进行设置，这可能是导致系统启动变慢的真正原因。这时我们可以打开
“本地连接”属性菜单，双击“常规”项中的“internet协议”打开“tcp/ip属性”菜单。将网卡的ip地址配置为一个在公网（默认的网关是
192.168.1.1）中尚未使用的数值如192.168.1.x，x取介于2~255之间的值，子网掩码设置为255.255.255.0，默认网关和dns可取默认设置。

Ⅷ 计算机常的信息编码

计算机中信息编码一、 计算机中数的表示我们平常使用的十进制数，在计算机中则采用二进制数。1．进位计数制的概念进位计数制，是指按某种进位原则进行订数的一种方法。数的表示涉及到两个主要问题：权和基数。权是一个与相应数位有关的常数，它与该数位的数码相乘后，就可得到该数位的数码代表的值。一个数码处理不同位置时，所代表的数值是不同的，因为它拥有的权不同。基数是一个正整数，它等于相邻数位上权的比。对任意一种进制的数，基数和能选用的个数相等，能选用的最大数码要比基数小1，每个数位能表示的最大数值是最大数乘以该闰具有的权，当超过这个数值时要向高位进位。以十进制数为例。对整数部分，每一位的权从右到左依次为100，101，102，103，即平常所说的个、十、百、千、万等。对小数部分，每一位的权从左到右依次为10-1，10-2，10-3，10-4，等，即平常所说十分之一、百分之一、千分之一、万分之一。看以看出，相邻两数位权的比是10，即10的基数是10，各数位允许选用的数码为0，1，2，，其计数规则是“逢十进一”。对任意一个十进制数，都可以用一个多项形式来表示，其中每一项表示相应数位代表的数值。例如：十进制数321.5可以表示成： 321.5=3×102+2×101+1×100+5×10-1同样的道理，对一个R进制数N可表示成：（N）R=an*Rn+an-1*Rn-1+…a1*R1+a0*R0+an-1*Rn-1+…+a-m*R-m按照以上的讨论，对二进制数来说，应符合以下几点：（1）能选用的数码的个数等于基数2，即各数位只允许是0和1；（2）相邻两数位的比为2；（3） 每个数码代表的数值，等于该数码乘以2的整次幂，幂的大小取决于该数所在位置；（4）计数规则是“逢二进一”。常用进制的基数和所用的数字符号十进制 二进制 八进制 十六进制

0 0 0 0

1 1 1 1
2 10 2 2

3 11 3 3

4
100
4
4

5
101
5
5

6
110
6
6

7
111
7
7

8
1000
10
8

9
1001
11
9

10
1010
12
A

11
1011
13
B

12
1100
14
C

13
1101
15
D

14
1110
16
E

15
1111
17
F
2．二进制的特点和运算(1)二进制数的特点：在计算机中容易实现。在二进制数中，只需要0和1两个数码就可以表示任意数。这样，每一位二进制数可以用具有两种不同状态的电路或元件表示。如电平的高低，晶体管的导通与截止，可分别用来表示0和1。运算规则简单。由于数的运算规则随基数的增大而变复杂，对R进制的数，在做加法运算时需要记住R（R+1）/2条规则，乘法也一样。而二进制数由于在所有的进位记数制中基数最小，因而规则也最少。工作可靠。表示二进制的元件具有两种状态，一般都有质的区别，如电平的正和负，晶体管的导通和截止等，它可以减少外部因素对信息的干扰。适合逻辑运算。在计算机的非数值计算应用中，存在着大量的逻辑运算。二进制数的0和1正好与逻辑代数中的“真”和“假”两种逻辑值相对应，为计算机在非数值计算领域的应用提供了强有力的支持。(1)二进制算术运算规则加法：0+0=0 0+1=1+0=1 1+1=0减法：0-0=0 1-0=1 1-1=0 0-1=1（有借位）乘法：0*0=0 0*1=1*0=0 1*1=1１． 不同数制之间的互相转换（1）十进制数转换成二进制数十进制数转换成二进制数时，整数和小数的转换方法是不一样的。所以，对于一个十进制数，若既有整数部分又有小数部分，则要分别进行转换，然后再把两部分拼起来。整数的转换规则：连除以2，直到商为0，从下而上取其余。例1：将十进制数34转换为二进制数2 34 ……余0 2 17 ……余1 2 8 ……余0 2 4 ……余0 2 2 ……余0 2 1 ……余1 0所以(34)10=(100010)2 小数的转换规则：连乘以2，直到积为0，从上而下取其整。例2：将十进制小数0.625化为二进制小数。 0．6 2 5× 21．2 5 0 整数部分为10．2 5 0 余下的小数部分 × 2 0．5 0 0 整数部分为0 0．5 0 0 余下的小数部分 × 2 1．0 0 0 整数部分为1 0．0 0 0 余下小数部分为0 结束所以（0.625）10=（0.101）2必须指出，一个十进制小数不一定能完全准确地转换成二进制小数。在这种情况下，可以根据精度要求计算到小数点后某一位为止。（2) 十进制数转换成十六进制数十进制转换成十六进制与十进制转换成二进制的方法类似，只不过其权由2变成了16，下面是两个例子。例3：将十进制数1245化为十六进制 16 19356 ……余 C 16 1209 ……余 9 16 75 ……余 B 16 4 ……余 4 0 所以，（19356）10=（4B9C）16 例4：将十进制小数0.35625转换十六进制数。 0．3 5 6 2 5× 1 65．7 0 0 0 0 0．7 0 0 0 0 × 16 1．1 2 0 0 0 0．1 2 0 0 0 × 1 6 1．9 2 0 0 0 0．9 2 0 0 0 × 1 6 14．7 2 0 0 0 所以，（0.35625）10≈（0.511E）16（1）二进制与十六制互相转换二进制数与十六进制数之间的转换比较简单。一位十六进制数对应四位二进制数，互换时只有以四位二进制数为一个组，每个组作相应变换即可。要注意的是，分组时要以小数点为基准，整数从小数点开始从右向左每四位划分为一组，而小数则从小数点开始从左向右每四位划分为一组。如果最后一组不足四位，可以加0补齐。例5：（110001101.10）2=( 18D.8)16 ,(23EF)16=(10001111101111)2 0001 1000 1101 .1000 2 3 E F ↓ ↓ ↓ ↓ ↓ ↓ ↓ ↓ 1 6 D .8 10 0011 1110 1111 （2）二、十六进制转换成十进制数用第n位乘以权的n-1次方，求其和。11000101.01B=1×27+1×26+0×25+0×24+0×23+1×22+0×21+1×20+0×2-1+1×2-2 =197.252DA3.4H=2×163+D×162+A×161+3×160+4×16-1=8192+3072+160+3+0.25=11427.25一、 英文字符编码在计算机中使用的字符主要有英文字母、标点符号、运算符号等，这些所有的字符也是以二进制的形式表示的，但是和数值不一样，字符与二进制之间没有必然的对应关系。这些字符的二进制编码只能是人为编制的，目前二进制编码有多种，如国际标准代码组织的编码ISO、美国国际商业机器公司（IBM公司）的扩充二~十进制编码EBCDIC等。 现在使用最普遍的编码是美国国家标准信息交换码即ASCII码（American National Standard Code for Information Interchange）。ASCII码是用7位二进制数进制编码的，能表示27=128个字符，这些字符包括26个英文字母（大小写）、0~9十个阿拉伯数字、32个专用符号（！、#、$、%、^、*、(、)、<、>等）、34个控制字符。 例如，英文字母A 的ASCII编码是1000001，a的ASCII编码是1100001，数字0的ASCII编码是110001。需要注意的是在ASCII码表中字符的顺序是按ASCII码值从小到大排列的，这样便于记住常用字符的ASCII码值。为了便于记忆，也可以记住相应的ASCII码十进制值或十六进制值。 表1-1 ASCII码字符表 高3位低4位
000
001
010
011
100
101
110
111

0000
NUL
DEL
SP
0
@
P
.
p

0001
SOH
DC1
!
1
A
Q
a
q

0010
STX
DC2
"
2
B
R
b
r

0011
ETX
DC3
#
3
C
S
c
s

0100
DOT
DC4
$
4
D
T
d
t

0101
ENG
NAK
%
5
E
U
e
u

0110
ACK
SYN
&
6
F
V
f
v

0111
BEL
ETB
'
7
G
W
g
w

1000
BS
CAN
(
8
H
X
h
x

1001
HT
EM
)
9
I
Y
I
y

1010
LF
SUB
*
:
J
Z
j
z

1011
VT
ESC
+
;
K
[
k
{

1100
FF
FS
,
<
L
"
l
|

1101
CR
GS
-
=
M
]
m
}

1110
SO
RS
.
>
N
↑
n
~

1111
SI
US
/
?
O
↓
o
DEL
三、 计算机中汉字的表示 计算机中汉字的表示也是用二进制编码，同样是人为编码的。根据应用目的的不同，汉字编码分为外码、交换码、机内码和字形码。 １.外码（输入码） 外码也叫输入码，是用来将汉字输入到计算机中的一组键盘符号。英文字母只有26个，可以把所有的字符都放到键盘上，而使用这种办法把所有的汉字都放到键盘上，是不可能的。所以汉字系统需要有自己的输入码体系，使汉字与键盘能建立对应关系。目前常用的输入码有拼音码、五笔字型码、自然码、表形码、认知码、区位码和电报码等,一种好的编码应有编码规则简单、易学好记、操作方便、重码率低、输入速度快等优点,每个人可根据自己的需要进行选择。在后面的章节中，重点介绍智能全拼输入法和五笔字型输入法。 ２.交换码 计算机内部处理的信息，都是用二进制代码表示的，汉字也不例外。而二进制代码使用起来是不方便的，于是需要采用信息交换码。我国标准总局1981年制定了中华人民共和国国家标准GB2312--80《信息交换用汉字编码字符集--基本集》，即国标码。国标码字符集中收集了常用汉字和图形符号7445个，其中图形符号682个，汉字6763个，按照汉字的使用频度分为两级，第一级为常用汉字3755个，第二级为次常用汉字3008个。为了避开ASCII字符中的不可打印字符0100001--1111110(十六进制为21-7E),国标码表示汉字的范围为2121--7E7E(十六进制)。 区位码是国标码的另一种表现形式，把国标GB2312--80中的汉字、图形符号组成一个94×94的方阵，分为94个“区”，每区包含94个“位”，其中“区”的序号由01至94，“位”的序号也是从01至94。94个区中位置总数＝94×94＝8836个，其中7445个汉字和图形字符中的每一个占一个位置后，还剩下1391个空位，这1391个位置空下来保留备用。所以给定“区”值和“位”值，用四位数字就可以确定一个汉字或图形符号，其中前两位是 “区”号。后两位是“位”号，如“普”字的区位码是“3853”，“通”字的区位码是“4508”。区位码编码的最大优点是没有重码，但由于编码缺少规律，很难记忆。使用区位码的主要目的是为了输入一些中文符号或无法用其它输入法输入的汉字、制表符以及日语字母、俄语字母、希腊字母等。94个区可以分为五组： 01--15区：是各种图形符号、制表符和一些主要国家的语言字母，其中01--09区为标准符号区，共有682个常用符号。 10--15区：为自定义符号区，可留作用户自己定义。 16--55区：是一级汉字区，共有3755个常用汉字，以拼音为序排列。 56--87区：是二级汉字区，共有3008个次常用汉字，以部首为序排列。 88--94区：自定义汉字区，可留作用户自己定义。 ３.机内码 根据国标码的规定，每一个汉字都有了确定的二进制代码，但是这个代码在计算机内部处理时会与ASCII码发生冲突，为解决这个问题，把国标码的每一个字节的首位上加1。由于ASCII码只用7位，所以，这个首位上的“1”就可以作为识别汉字代码的标志，计算机在处理到首位是“1”的代码时把它理解为是汉字的信息，在处理到首位是“0”的代码时把它理解为是ASCII码。经过这样处理后的国标码就是机内码。 汉字的机内码、国际码和区位码之间的关系是： (汉字机内码前两位)16=(国标码前两位)16+80H=(区码)16+A0H (汉字机内码后两位)16=(国标码后两位)16+80H=(区码)16+A0H 把用十六进制表示的机内码的前两位和机内码的后两位连起来，就得到完整的用十六进制表示的机内码。在微机内部汉字代码都用机内码，在磁盘上记录汉字代码也使用机内码。 4.汉字的字形码 字形码是汉字的输出码，输出汉字时都采用图形方式，无论汉字的笔画多少，每个汉字都可以写在同样大小的方块中。为了能准确地表达汉字的字形，对于每一个汉字都有相应的字形码，目前大多数汉字系统中都是以点阵的方式来存储和输出汉字的字形。所谓点阵就是将字符(包括汉字图形)看成一个矩形框内一些横竖排列的点的集合，有笔画的位置用黑点表示，没笔画的位置用白点表示。在计算机中用一组二进制数表示点阵，用0表示白点，用1表示黑点。一般的汉字系统中汉字字形点阵有16×16、24×24、48×48几种，点阵越大对每个汉字的修饰作用就越强，打印质量也就越高。通常用16×16点阵来显示汉字，每一行上的16个点需用两个字节表示，一个16×16点阵的汉字字形码需要2×16＝32个字节表示，这32个字节中的信息是汉字的数字化信息，即汉字字模。下面以“口”为例看看16×16点阵字形是怎样存放的(如图3--1)。 如果我们把这个“口”字图形的“.” 处用“0”代替，就可以很形象地得到“口”的字形码:0000H 0004H 3FFAH 2004H 2004H 2004H 2004H 2004H 2004H 2004H 2004H 2004H 3FFAH 2004H 0000H 0000H。计算机要输出“口”时，先找到显示字库的首址，根据“口”的机内码经过计算，再去找到“口”的字形码，然后根据字形码(要用二进制)通过字符发生器的控制在屏幕上进行依次扫描，其中二进制代码中是“0”的地方空扫，是“1”的地方扫出亮点，于是就可以得到“口”的字符图形。 字模按构成字模的字体和点阵可分为宋体字模、楷体字模等等, 这些是基本字模。基本字模经过放大、缩小、反向、旋转等交换可以得到美术字体,如长体、扁体、粗体、细体等等。汉字还可以分为简体和繁体两种,ASCII 字符也可分为半角字符和全角字符。汉字字模按国标码的顺序排列，以二进制文件形式存放在存储器中,构成汉字字模字库,亦称为汉字字形库,称汉字库。 0 1 2 3 4 5 6 7 0 1 2 3 4 5 6 7 0 . . . . . . . . . . . . . . . .1 . . . . . . . . . . . . . 1 . .2 . . 1 1 1 1 1 1 1 1 1 1 1 1 . .3 . . 1 . . . . . . . . . . 1 . .4 . . 1 . . . . . . . . . . 1 . .5 . . 1 . . . . . . . . . . 1 . .6 . . 1 . . . . . . . . . . 1 . .7 . . 1 . . . . . . . . . . 1 . .0 . . 1 . . . . . . . . . . 1 . . 1 . . 1 . . . . . . . . . . 1 . . 2 . . 1 . . . . . . . . . . 1 . . 3 . . 1 . . . . . . . . . . 1 . . 4 . . 1 1 1 1 1 1 1 1 1 1 1 1 . . 5 . . 1 . . . . . . . . . . 1 . . 6 . . . . . . . . . . . . . . . . 7 . . . . . . . . . . . . . . . .图1-6 “口”字的16×16点阵字形图按照汉字库的存放和使用情况可划分为软字库和硬字库。软字库是汉字字库文件存放在软盘或硬盘中，大多数微机在安装汉字系统时把汉字字库存储在硬盘上,一般提供16×16点阵和24×24点阵字库，软字库可分为RAM字库、磁盘字库、分级字库三种： (1)RAM字库 系统启动后把磁盘上汉字库调入内存RAM中驻留的字库,称为RAM字库,由于汉字数量很大,需要的内存空间也就很多,仅16×16点阵字库,就要占用261696字节。 (2)磁盘字库 高点阵的汉字库占用空间很大,内存一般放不下,于是常驻留在硬盘上,形成磁盘字库，例如CCDOS中用的24×24点阵字库及排版印刷系统中用的32×32以上点阵字库均为磁盘字库。这种字库不占内存,但操作速度慢。 (3)分级字库 分级字库是把RAM字库与磁盘字库相结合的方案,将汉字字库分为两部分,一部分驻留内存,另一部分驻留外存。通常把使用频度高的一级字库放在内存,使用较少的二级字库放在外存,这样即保证了速度,又节省了内存。 硬字库是把字库固化在ROM或EPROM中,做成字库插件板,插在主机的插槽中,也称汉卡。标准化了的点阵字模可固化在ROM中,非标准化的汉字点阵字模，则用写入器固化在EPROM中,以便改写。汉卡可看作一个外部设备,点阵信息从并行口读入,读取速度快,且不占用主存空间,随着ROM集成度的提高, 使价格下降,使用硬字库的用户将越来越多。 以上简单地介绍了汉字系统怎样输入、处理和输出汉字的问题。这个问题解决了，就可以把汉字同ASCII码一样作为计算机的一种信息资源，也就是可以在这样的中文系统下共享西文软件资源。

Ⅸ 怎样使用GHOST进行硬盘对硬盘拷贝操作

到网易学习,俗话说得好，"磨刀不误砍柴工"，学吧
http://tech.163.com/05/1027/14/212VQ91500091589.html
(http://cimg.163.com/tech/netSchool/juyi/windows/ghost-dk.swf)

http://..com/question/1768917.html
一、用DOS启动盘进入DOS状态
二、进入GHOST的目录（>cd d:/ghost/）
二、运行ghost.exe（>ghost 回车）

Ghost的具体使用方法：
使用ghost进行系统备份，有整个硬盘（disk）和分区硬盘（partition）两种方式。在菜单中点击local（本地）项，在右面弹出的菜单中有3个子项，其中disk表示备份整个硬盘（即克隆）、partition表示备份硬盘的单个分区、check表示检查硬盘或备份的文件，查看是否可能因分区、硬盘被破坏等造成备份或还原失败。分区备份作为个人用户来保存系统数据，特别是在恢复和复制系统分区时具有实用价值。
选local→partition→to image菜单，弹出硬盘选择窗口，开始分区备份操作。点击该窗口中白色的硬盘信息条，选择硬盘，进入窗口，选择要操作的分区（若没有鼠标，可用键盘进行操作：tab键进行切换，回车键进行确认，方向键进行选择）。 在弹出的窗口中选择备份储存的目录路径并输入备份文件名称，注意备份文件的名称带有gho的后缀名。 接下来，程序会询问是否压缩备份数据，并给出3个选择：no表示不压缩，fast表示压缩比例小而执行备份速度较快，high就是压缩比例高但执行备份速度相当慢。最后选择yes按钮即开始进行分区硬盘的备份。ghost备份的速度相当快，不用久等就可以完成，备份的文件以gho后缀名储存在设定的目录中。
系统克隆
硬盘的克隆就是对整个硬盘的备份和还原。选择菜单local→disk→to disk，在弹出的窗口中选择源硬盘（第一个硬盘），然后选择要复制到的目标硬盘（第二个硬盘）。注意，可以设置目标硬盘各个分区的大小，ghost可以自动对目标硬盘按设定的分区数值进行分区和格式化。选择yes开始执行。
ghost能将目标硬盘复制得与源硬盘几乎完全一样，并实现分区、格式化、复制系统和文件一步完成。只是要注意目标硬盘不能太小，必须能将源硬盘的数据内容装下。
ghost还提供了一项硬盘备份功能，就是将整个硬盘的数据备份成一个文件保存在硬盘上（菜单local→disk→to image），然后就可以随时还原到其他硬盘或源硬盘上，这对安装多个系统很方便。使用方法与分区备份相似。
系统还原
如果硬盘中备份的分区数据受到损坏，用一般数据修复方法不能修复，以及系统被破坏后不能启动，都可以用备份的数据进行完全的复原而无须重新安装程序或系统。当然，也可以将备份还原到另一个硬盘上。
要恢复备份的分区，就在界面中选择菜单local→partition→from image，在弹出窗口中选择还原的备份文件，再选择还原的硬盘和分区，点击yes按钮即可。
软件特性
存贮介质
ghost 支持的存储介质超出了我们的想象，它支持对等lpt接口、对等usb接口、对等tcp/ip接口、scsi磁带机、便携式设备（jaz、zip、mo等）、光盘刻录机（cdr、cdrw）等。而这些特性不需要任何外带的驱动程序和软件，只需一张软盘就可以做到！特别是对光盘刻录机的支持，如今的刻录机和空白光盘都十分便宜，非常适合作备份的用途。
兼容性
ghost 对现有的操作系统都有良好的支持，包括fat16、fat32、ntfs、hpfs、unix、novell等文件存储格式。同以前版本不同的是，ghost 2001加入了对linux ex2的支持（fifo文件存储格式），这也就意味着linux的用户也可以用ghost来备份系统了。
配套软件支持
ghost浏览器：在以前的ghost版本中，我们只能对系统进行简单的备份、复制、还原，要恢复单个的文件和文件夹还要使用外带的ghostexp软件。现在，symantec公司已经将ghost浏览器整合在软件中。ghost浏览器采用类似于资源管理器的界面，通过它，我们可以方便迅速地在备份包中找出我们想要的文件和文件夹并还原。
gdisk：gdisk是一个新加入的实用工具，它彻底取代了fdisk和format：
* 快速格式化。
* 隐藏和显示分区的能力。此功能允许一个以上的主dos分区，并且每个分区上的操作系统有不同的版本。隐藏分区的能力使计算机习惯于引导到选定的可引导分区，忽略其他隐藏分区中相同操作系统的安装。
* 全面的分区报告。
* 高度安全的磁盘擦除。提供符合美国国防部标准和更高安全标准的磁盘擦除选项。
和使用交互式菜单的fdisk不同，gdisk是由命令行驱动的。这提供了更快的配置磁盘分区和在批处理文件中定义gdisk操作的能力。但与此同时，几十个参数会令普通用户头疼，因此笔者不推荐一般用户使用，symantec公司也应该推出相应的gui（图形用户界面）控制台以方便用户使用。具体的参数说明可以用命令行gdisk/?了解。
live update
live update是symantec公司软件的一个通用升级程序，它能够检查当前系统中已安装的symantec软件，并且通过英特网对软件进行在线升级。
在安装ghost 2001时，安装程序自动升级了live update程序的版本。
附加的命令行参数：（限ghost的无人备份/恢复/复制）
其实ghost 2001的功能远远不止它主程序中显示的那些，ghost可以在其启动的命令行中添加众多参数以实现更多的功能。命令行参数在使用时颇为复杂，不过我们可以制作批处理文件，从而“一劳永逸”（类似于无人安装windows 98和windows 2000）现在让我们来了解一些常用的参数（了解更加详细的参数介绍可查看ghost的帮助文件）。
1.-rb
本次ghost操作结束退出时自动重启。这样，在复制系统时就可以放心离开了。
2.-fx
本次ghost操作结束退出时自动回到dos提示符。
3.-sure
对所有要求确认的提示或警告一律回答“yes”。此参数有一定危险性，只建议高级用户使用。
4.-fro
如果源分区发现坏簇，则略过提示强制拷贝。此参数可用于试着挽救硬盘坏道中的数据。
5.@filename
在filename中指定txt文件。txt文件中为ghost的附加参数，这样做可以不受dos命令行150个字符的限制。
6.-f32
将源fat16分区拷贝后转换成fat32（前提是目标分区不小于2g）。winnt 4和windows95、97用户慎用。
7.-bootcd
当直接向光盘中备份文件时，此选项可以使光盘变成可引导。此过程需要放入启动盘。
8.-fatlimit
将nt的fat16分区限制在2g。此参数在复制windows nt分区，且不想使用64k/簇的fat16时非常有用。
9.-span
分卷参数。当空间不足时提示复制到另一个分区的另一个备份包。
10.-auto
分卷拷贝时不提示就自动赋予一个文件名继续执行。
11.-crcignore
忽略备份包中的crc error。除非需要抢救备份包中的数据，否则不要使用此参数，以防数据错误。
12.-ia
全部映像。ghost会对硬盘上所有的分区逐个进行备份。
13.-ial
全部映像，类似于-ia参数，对linux分区逐个进行备份。
14.-id
全部映像。类似于-ia参数，但包含分区的引导信息。
15.-quiet
操作过程中禁止状态更新和用户干预。
16.-< >
可以执行多个ghost命令行。命令行存放在指定的文件中。
17.-span
启用映像文件的跨卷功能。
18.-split=x
将备份包划分成多个分卷，每个分卷的大小为x兆。这个功能非常实用，用于大型备份包复制到移动式存储设备上，例如将一个1.9g的备份包复制到3张刻录盘上。
19.-z
将磁盘或分区上的内容保存到映像文件时进行压缩。-z或-z1为低压缩率（快速）；-z2为高压缩率（中速）；-z3至-z9压缩率依次增大（速度依次减慢）。
20.-clone
这是实现ghost无人备份/恢复的核心参数。使用语法为：
-clone,mode=(operation),src=(source),dst=(destination),[sze(size),sze(size)......]
此参数行较为复杂，且各参数之间不能含有空格。 其中operation意为操作类型，值可取：：磁盘到磁盘；load：文件到磁盘；mp：磁盘到文件；p：分区到分区；pload：文件到分区；pmp：分区到文件。
source意为操作源，值可取：驱动器号，从1开始；或者为文件名，需要写绝对路径。
destination意为目标位置，值可取：驱动器号，从1开始；或者为文件名，需要写绝对路径；@cdx，刻录机，x表示刻录机的驱动器号，从1开始。
下面举例说明
命令行参数：ghostpe.exe -clone,mode=,src=1,dst=2
完成操作：将本地磁盘1复制到本地磁盘2。
命令行参数：ghostpe.exe -clone,mode=p,src=1:2,dst=2:1
完成操作：将本地磁盘1上的第二分区复制到本地磁盘2的第一分区。
命令行参数：ghostpe.exe-clone,mode=load,src=g:3prtdisk.gho,dst=1,sze1=450m,sze2=1599m,sze3=2047m
完成操作：从映像文件装载磁盘1，并将第一个分区的大小调整为450mb，第二个调整为1599mb，第三个调整为2047mb。
命令行参数：ghostpe.exe -clone,mode=pmp,src2:1:4:6,dst=(d: )prt246.gho
完成操作：创建仅具有选定分区的映像文件。从磁盘2上选择分区1、4、6。
了解了这些参数后，我们就可以轻松地实现ghost的无人备份/复制/恢复了。冲杯咖啡吧。
一些示例
ghost.exe -clone,mode=,src=1,dst=2 -sure
硬盘对拷
ghost.exe -clone,mode=p,src=1:2,dst=2:1 -sure
将一号硬盘的第二个分区复制到二号硬盘的第一个分区
ghost.exe -clone,mode=pmp,src=1:2,dst=g:ac.gho
将一号硬盘的第二个分区做成映像文件放到g分区中
ghost.exe -clone,mode=pload,src=g:ac.gh2,dst=1:2
从内部存有两个分区的映像文件中，把第二个分区还原到硬盘的第二个分区
ghost.exe -clone,mode=pload,src=g:ac.gho,dst=1:1 -fx -sure -rb
用g盘的bac.gho文件还原c盘。完成后不显示任何信息，直接启动。
ghost.exe -clone,mode=load,src=g:ac.gho,dst=2,sze1=60p,sze2=40p
将映像文件还原到第二个硬盘，并将分区大小比例修改成60:40
还原磁盘
首先做一个启动盘，包含config.sys,autoexec.bat,command.com,io.sys,ghost.exe文件(可以用windows做启动盘的程序完成)。
autoexec.bat可以包含以下命令：
ghost.exe -clone,mode=pload,src=(d: )ac.gho,dst=1:1 -fx -sure -rb
利用在d盘的文件自动还原，结束以后自动跳出ghost并且重新启动。
开机自动做c区的备份，在d区生成备份文件bac.gho。
ghost.exe -clone,mode=pmp,src=1:1,dst=(d: )ac.gho -fx -sure -rb
还原光盘
包含文件：config.sys,autoexec.bat,mscdex.exe(cdrom执行程序),oakcdrom.sys(atapi cdrom兼容驱动程序),ghost.exe
config.sys内容为：
device=oakcdrom.sys /(d: )idecd001
autoexec.bat内容为：
mscdex.exe /(d: )idece001 /l:z
ghost -clone,mode=load,src=z:ac.gho,dst=1:1 -sure -rb
可以根据下面的具体说明修改实例
-clone 在使用时必须加入参数，它同时也是所有的switch{batch switch}里最实用的一种，下面是clone所定义的参数
-clone,
mode={|load|mp|p|pload|pmp},
src={drive|file|driveartition},
dst={drive|file|driveartition}
mode指定要使用哪种clone所提供的命令
硬盘到硬盘的复制(disk to disk )
load 文件还原到硬盘(file to disk load)
mp 将硬盘做成映像文件(disk to file mp)
p 分区到分区的复制(partition to partition )
pload 文件还原到分区(file to partition load)
pmp 分区备份成映像文件（partition to file mp)
src指定了ghost运行时使用的源分区的位置模式及其意义:
mode命令 对应mode命令src所使用参数 例子
/mp
源硬盘号。
以1代表第一号硬盘
load 映像文件名
g:/back98/setup98.gho 或装置名称(drive）
p/pmp
源分区号。
1：2代表的是硬盘1的第二个分区
pload 分区映像文件名加上分区号或是驱动器名加上分区号。
g:ack98setup98.gh2,代表映像文件里的第二个分区
dst运行ghost时使用的目标位置模式及其意义:
mode命令 对应mode命令dst所使用参数 例子
/mp 目的硬盘号。
2代表第二号硬盘
load 硬盘映像文件名。
例g:ack98setup98.gho
p/pload 目的分区号。
2:2 代表的是，硬盘2的第二个分区
pmp 分区映像文件名加分区号。
g:ack98setup98.gh2
szen指定所使用目的分区的大小
n=xxxxm 指定第n目的分区的大小为xxxxmb sze2=800m表示分区2的大小为800mb
n=mmp 指定地n的目的分区的大小为整个硬盘的mm个百分比。
其他参数
-fxo 当源物件出现坏块时，强迫复制继续进行
-fx 当ghost完成新系统的工作后不显示“press ctrl-alt-del to reboot“直接回到dos下
-ia 完全执行扇区到扇区的复制。当由一个映像文件或由另一个硬盘为来源，复制一个分区时，ghost将首先检查来源分区，再决定是要复制文件和目录结构还是要做映像复制(扇区到扇区)。预设是这种形式。但是有的时候，硬盘里特定的位置可能会放一些隐藏的与系统安全有关的文件。只有用扇区到扇区复制的方法才能正确复制
-pwd and -pwd=x 给映像文件加密
-rb 在还原或复制完成以后，让系统重新启动
-sure 可以和clone合用。ghost不会显示“proceed with disk clone-destination drive will be overwritten?“提示信息

Ⅹ 文件恢复软件是怎么个原理

磁盘上的软件.你删除后..WINDOWS只是把标记(文件名)去掉了..而文件本身还存在硬盘中的..这时候,用恢复软件就可以把这个文件名恢复.或者说.把在硬盘中找到的文件与一个文件名联系起来.你又可以再次使用这个文件.