現(xiàn)在感染exe程序的病毒木馬都喜歡修改系統(tǒng)文件�,而且通常都不能將中毒的系統(tǒng)文件恢復(fù)回原狀,那么除了重裝和從其他機(jī)器拷貝外還有別的方法嗎���?
還可以從安裝盤提取最原始��、最保險(xiǎn)的"原裝"文件���!但是安裝盤中的文件可不是直接復(fù)制/粘貼就能弄出來的���,而且XP和Vista/2008的提取方法還不同,因?yàn)樗鼈兪褂昧瞬煌陌惭b方式�����。
一�����、提取XP安裝盤的文件
仔細(xì)觀察XP安裝盤的文件��,可以看到i386目錄中絕大部分文件都是"EXPLORER.EX_"這類的文件名�,其實(shí)它是經(jīng)過壓縮后的文件,文件名和解壓出來的文件名一樣�,但是擴(kuò)展名和文件大小不同�����,所以直接改后綴是不能使用的����。
有兩種方法可以把文件解壓出來:
方法一:使用壓縮軟件例如7-zip直接將這個(gè)文件解壓��。之所以提到7-zip�,除了它免費(fèi)之外還因?yàn)樗J(rèn)會(huì)將"7-zip"菜單集成到所有文件(或文件夾)右鍵菜單中���,用起來很方便���。當(dāng)然使用WinRAR也是可以解壓的。
方法二:在窗口命令行狀態(tài)下使用XP自帶的Expand命令解壓文件��。用法如:expand D:\i386\EXPLORER.EX_ C:\explorer.exe��;含義為將D盤i386目錄下的EXPLORER.EX_文件解壓到C盤根目錄下面���,并命名為explorer.exe�。i386目錄就是XP安裝盤中安裝文件所在的目錄����。這條命令常用于恢復(fù)控制臺(tái)下面修復(fù)系統(tǒng)。
二�、提取Vista/2008安裝盤中的文件
Vista/2008使用了新的安裝技術(shù),所有安裝文件都保存在sources\install.wim文件中�;這個(gè)文件無法用一般的軟件打開,只能用微軟提供的imagex.exe程序打開。這個(gè)程序沒有圖形操作界面��,現(xiàn)以Vista下使用為例子介紹用法:
第一步:以管理員身份運(yùn)行命令提示符�,并使用CD命令(例如:"CD i386"命令就是進(jìn)入當(dāng)前目錄的i386子目錄)進(jìn)入imagex.exe所在的文件夾。
第二步:使用imagex/info h:\sources\install.wim命令查看當(dāng)前安裝光盤包含的系統(tǒng)版本�����。例如Vista安裝盤中就有Home Basic��、Home Premium�、Business、Ultimate等版本�。當(dāng)看到
Windows Vista ULTIMATE
這個(gè)段落就說明索引號(hào)4的鏡像為Vista ULTIMATE安裝文件所在。
第三步:使用命令如imagex /mount g:\sources\install.wim 4 d:\msdn將G盤安裝文件中索引號(hào)為4的安裝鏡像映射到d:\msdn文件夾��。這時(shí)打開d:\msdn就能像進(jìn)入普通文件夾一樣提取原始文件了����,不需要解壓哦。
第四步:用完后需要卸載鏡像���,對(duì)應(yīng)如上操作的命令如下:imagex /unmount d:\msdn。
小提示:
1���、如果無法使用imagex.exe�,進(jìn)入控制面板→添加新硬件,手動(dòng)安裝WIMFLTR.INF���。
2���、imagex映射到的文件夾必須真實(shí)存在。如果原文件夾有文件�����,那么映射后文件并不會(huì)消失���,只是被Vista的安裝文件"偽裝"起來了��。
關(guān)鍵詞標(biāo)簽:文件,提取,方法,系統(tǒng),
