第三章_Windows操作系统备份与恢复

第三章Windows操作系统备份与恢复第三章Windows操作系统备份与恢复•操作系统概述•Windows操作系统启动故障的修复•Windows操作系统启动故障的分析和排除•注册表故障及修复•系统密码遗失的处理•使用Ghost软件备份与恢复系统•GhostShellV2.0的使用3.1操作系统概述1.操作系统(OperatingSystem，简称OS)–是管理计算机系统的硬件和软件资源的大型软件系统。控制程序运行、改善人机界面、为其它应用软件提供支持等，使计算机系统所有资源最大限度地发挥作用，为用户提供方便、有效、友善的服务界面。它是最靠近硬件的一层系统软件，它把硬件裸机改造成为功能完善的一台虚拟机，使得计算机系统的使用和管理更加方便，计算机资源的利用效率更高，上层的应用程序可以获得比硬件提供的功能更多的支持。2.操作系统的功能–处理机管理、作业管理、存储管理、设备管理、文件管理。3.操作系统的工作过程？–启动过程、运行过程、退出过程–启动故障、运行故障、退出故障3.2Windows操作系统启动故障的修复3.2.1Windows系统故障恢复常见任务–操作系统引导画面黑屏，操作系统无法启动；–进入系统异常慢，近乎死机的情况；–引导滚动条静止不动，无法进入系统；–输入登陆用户名密码后无法显示桌面。3.2Windows操作系统启动故障的修复3.2.2思路和原则–（1）作好备份：将用户系统、用户数据、程序作好备份，以防操作失误造成损失；–（2）收集信息：尽可能多地获取出现问题前的用户信息、用户使用情况信息等；–（3）准备工具：解决问题需要的一系列工具，如系统备份和恢复软件GHOST；–（4）分析原因：根据用户的描述和当前系统现象分析造成故障的原因，确定故障类型、位置；–（5）提出方案：通过分析，提出一个或多个排队故障的解决方案。3.2Windows操作系统启动故障的修复3.2.3故障的处理方法1.引导画面闪一会就黑屏无法进入系统–这种情况通常是由于引导文件破坏或显卡驱动文件丢失所致，在“安全模式”下进入系统，找到显卡驱动程序删除重新安装即可。2.进入系统异常慢，近乎死机的情况–这种情况主要是由于系统引导过程中检测到异常硬件或系统垃圾文件过多磁盘空间不足造成，可通过进入“安全模式”系统，进行磁盘整理删除垃圾文件来解决。3.引导滚动条静止不动，无法进入系统–这种情况是系统引导文件丢失或检测硬件失败所致，可以尝试在“最后一次正确配置”模式下进入系统来解决，此模式通常在系统引导文件或核心配置被理发过的情况下能起到一定的恢复作用，如能顺利进入系统则故障排除；如故障依旧则考虑其他方法。4.输入登陆用户名密码后无法显示桌面–通常为某项随系统启动文件出错或杀毒软件程序损坏。这种情况只能重新启动并进入“安全模式”下运行—MSCONFIG启动“系统配置实用程序”将启动项中异常启动文件取消并搜索将其删除。3.3Windows操作系统启动故障的分析与排除•3.3.1XP系统启动过程分析•3.3.2进入XP系统安全模式排除启动故障•3.3.3XP系统启动“蓝屏”故障的排除3.3.1XP系统启动过程分析1.预引导(Pre-Boot)阶段2.引导阶段3.加载内核阶段4.初始化内核阶段5.登录1.预引导(Pre-Boot)阶段–计算机加电–运行PowerOnSelfTest（POST），检测内存的总容量、检查硬盘是否存在以及从CMOS中读取系统配置信息–MBR(MasterBootRecord)被加载并运行–DBR加载并运行XP系统的NTLDR文件3.3.1XP系统启动过程分析2.引导阶段–初始引导加载器阶段（InitialBootLoader）•NTLDR将计算机微处理器从实模式转换为32位平面内存模式。•NTLDR启动内建的小文件系统驱动程序（mini-filesystemdrivers），通过这个步骤，使NTLDR可以识别每一个用NTFS或者FAT文件系统格式化的分区，以便发现以及加载Windows操作系统。–操作系统选择阶段(Boot.ini)–硬件检测（ntdetect.com）：ntdetect.com将收集计算机硬件信息列表，并将列表返回到NTLDR，这样做的目的是便于以后将这些硬件信息加入到注册表HKEY_LOCAL_MACHINE下的hardware中。–配置选择：“硬件配置文件”的选择3.3.1XP系统启动过程分析3.加载内核阶段–ntldr加载WindowsXP内核文件的ntokrnl.exe;系统加载了WindowsXP内核但是没有将它初始化–接着ntldr加载硬件抽象层HAL（hal.dll）;–系统继续加载HKEY_LOCAL_MACHINE\system键，NTLDR读取select键来决定哪一个ControlSet将被加载;控制集中包含设备的驱动程序以及需要加载的服务。–NTLDR加载HKEY_LOCAL_MACHINE\system\CurrentControlSet\service\...下start键值为0的最底层设备驱动。当作为ControlSet的镜像的CurrentControlSet被加载时，ntldr传递控制给内核，初始化内核阶段就开始了。3.3.1XP系统启动过程分析4.初始化内核阶段：–在初始化内核阶段开始的时候，彩色的WindowsXP的logo以及进度条显示在屏幕中央–内核使用在硬件检测时收集到的数据来创建了HKEY_LOCAL_MACHINE\HARDWARE键–内核通过引用HKEY_LOCAL_MACHINE\system\Current的默认值复制ControlSet来创建了CloneControlSet。CloneControlSet配置是计算机数据的备份，不包括启动中的改变，也不会被修改。–系统完成初始化以及加载设备驱动程序，内核初始化那些在加载内核阶段被加载的底层驱动程序，然后内核扫描3.3.1XP系统启动过程分析5.登录：–启动WINLOGON.EXE,并由它启动LOCALSECURITYAUTHORITY(LSASS.EXE)，显示登录对话框–提示输入有效的用户名和密码–ServiceController最后执行以及扫描HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servives来检查是否还有服务需要加载3.3.1XP系统启动过程分析3.3.2进入XP系统安全模式排除启动故障3.3.3XP系统启动“蓝屏”故障的排除【任务分析】：蓝屏一般产生的原因往往集中在不兼容的硬件和驱动程序、有问题的软件、病毒等。3.3.3XP系统启动“蓝屏”故障的排除【常见故障排除方法】1.强制重启：有时只是某个程序或驱动程序一时犯错，重启后他们会改过自新。2.排查新硬件：检查新硬件是否插牢；检查新硬件是否与操作系统兼容。WindowsXP与硬件的兼容性查询网站：=kb;zh-cn;3140623.新驱动和新服务：如果新安装的软件或为某个硬件安装的新驱动导致蓝屏,可到安全模式来卸载或禁用它们。4.检查病毒、木马：很多病毒(如:冲击波和振荡波等)和木马间谍软件也会导致Windows蓝屏死机。可用杀毒软件或木马清除软件处理;若故障顽固,则可以进入Windows的安全模式处理.3.3.3XP系统启动“蓝屏”故障的排除5.检查BIOS和硬件兼容性：新装的电脑经常出现蓝屏，应该检查并升级BIOS到最新版本；还应该对照微软的硬件兼容列表检查自己的硬件；(如:主板BIOS无法支持大容量硬盘也会导致蓝屏，需要对其进行升级。)6.检查系统日志：开始—运行-输入“EventVwr.msc”-事件查看器，检查其中的系统日志和应用程序日志中表明错误的项。7.查询停机码：把蓝屏中的英文代码记下来，使用其它计算机进入微软帮助与支持网站（），使用搜索(知识库)功能搜索“停机码”，或则使用baidu、Google等搜索产生蓝屏的停机码。8.最后一次正确配置：蓝屏常出现于更新了硬件驱动或新加硬件并安装其驱动后，这时Windows2K/XP提供的“最后一次正确配置”通过还原注册表的方式修正错误。9.安装最新的系统补丁和ServicePack3.4注册表故障及修复3.4.1注册表相关知识1.注册表的概念注册表是Windows中的一个重要的系统管理数据库，用于存储系统和应用程序的设置信息。其中存放的各种参数直接控制做Windows的启动、硬件驱动程序的装载以及一些Windows应用程序，在整个系统中起着核心作用。注册表受到破坏，轻则使系统的启动过程出现异常，重则可能导致整个系统完全瘫痪。大多数病毒、木马、黑客都是通过更改注册表，从而达到控制、破坏计算机用户系统的目的。3.4.1注册表相关知识2.注册表的组成–软、硬件的有关配置和状态信息。注册表中保存有应用程序和资源管理器外部的初始条件、首选项和卸载数据。–联网计算机的整个系统的配置和各种许可，文件拓展名与应用程序的关联，硬件部件描述、状态和属性。–计算机性能的记录和其它底层的系统状态信息，以及其它数据。3.注册表的特点4.注册表的功能5.Windows2000/2003/XP的注册表3.4.1注册表相关知识6.在WindowsXP中备份注册表的手动步骤A.单击“开始”，单击“运行”，键入%SystemRoot%\system32\restore\rstrui.exe，然后单击“确定”。B.在“欢迎使用系统还原”页面上，单击“创建一个还原点”，然后单击“下一步”。C.在“创建一个还原点”页面上，键入该还原点名称，然后单击“创建”D.还原点创建后，单击“关闭”。注意：如果已关闭“系统还原”，将收到一条消息，询问现在是否要打开“系统还原”。单击“是”。然后在“系统属性”对话框中，单击以清除“关闭系统还原”复选框，单击“确定”，然后重复此步骤。3.4.1注册表相关知识7.在WindowsXP中还原注册表的手动步骤1.单击“开始”，单击“运行”，键入%SystemRoot%\System32\Restore\Rstrui.exe，然后单击“确定”。2.在“欢迎使用系统还原”页上，如果尚未选中“恢复我的计算机到一个较早的时间”，则单击该选项，然后单击“下一步”。3.在“选择一个还原点”页上，单击系统检查点。在“在此列表中选择还原点”区域中，单击名为“引导式帮助(注册表备份)”的项，然后单击“下一步”。如果“系统还原”消息显示列出了“系统还原”将进行的配置更改，请单击“确定”。4.在“确认还原点选择”页上，单击“下一步”。“系统还原”将还原以前的WindowsXP配置，然后重新启动计算机。5.登录计算机。显示“系统还原确认”页时，单击“确定”。3.4.2修改注册表显示盘符–【任务2.3】：打开“我的电脑”，里面空荡荡的，上面的A盘、C盘、D盘等全部盘符都没有了；在“控制面板→管理工具→计算机管理→磁盘管理”里查看，盘符还在。请解决这个问题。–【任务分析】：在“我的电脑”中看不到盘符的原因之一是“注册表被破坏”或者用户在注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer子项中NoDrives的值被设置为03FFFFFF。3.4.2修改注册表显示盘符–【解决方案】：1.只要将NoDrives删除就可以恢复正常。2.在“开始”菜单的“运行”中输入盘符如“c:\”进入或在IE浏览器的地址栏中输入盘符进入。3.在Windows2000/XP系统中，可以通过“组策略”来隐藏特定盘符。在“运行”中输入“gpedit.msc”，打开组策略编辑器，在“用户配置→管理模板→Windows组件→“Windows资源管理器”右侧窗口中找到隐藏“我的电脑”中的这些指定的驱动器→双击打开“属性”对话框→在下拉列表框中选择一个或几个准备隐藏