合肥本本之星合肥Thinkpad专卖店合肥Apple专卖店 hfthink 合肥本之星信息科技有限公司

标题: 一些超有用的电脑小技巧(很多你都不可能知道) [打印本页]

作者: 爱国者 时间: 2008-4-8 10:37 标题: 一些超有用的电脑小技巧(很多你都不可能知道)

以下方法仅在XP下测试通过。

一、跳过操作系统选单

有些朋友装了DOS工具箱以后，每次启动系统都要跳出菜单让你选择，每次要按一下Enter键确实显得有些麻烦，其实有方法可以跳过：

1. 在“我的电脑”属性－“高级”－“启动和故障恢复”－“设置”页面把“显示操作系统列表的时间”改为0，这样就跳过操作系统选单了；或者可以点击“编辑”，将timeout一项改为0。

2. 如果要进入DOS系统，可在开机时按下F8，选择“返回操作系统选择菜单”即可。

二、找回未保存的文本

如果你的文本程序出了问题，正在编写的文本丢失了，不要紧，丢失的文本还保存在内存里，只要不关机、不重启、未运行过大程序，就能找回来。

1. 保险的方法，先用休眠功能将内存映象存于硬盘文件hiberfil.sys之中，由于休眠文件在XP下被系统锁定，所以只能在另一操作系统中对它进行操作，可以用深山红叶之类的winPE系统启动电脑，然后运行其中的十六进制编辑器打开hiberfil.sys文件，查找丢失文本的关键字，找到以后复制粘贴到新建的一个文本文件中保存即可。这个方法使用的前提是你的电脑休眠功能正常。

2. 用winhex也可以直接从内存中查找丢失的文本。先尽量关掉运行的程序腾出内存，运行winhex，点击“工具”菜单，选择“RAM编辑器”－“物理内存”，在弹出的窗口中搜索文本关键字，查到后复制粘贴保存。有时候内存的部分内容不能显示，如果丢失的文本正好位于这部分内存之中，那这个方法就失效了。此法的优点是快捷方便。下图是从内存中搜索到的本文。

三、创建一个删不掉、打不开、拷不走的文件/文件夹

大家可能会问，建立这类文件/文件夹有什么用？我想这个方法主要应用于U盘病毒的预防（参见技巧四），当然用于保护私密数据也是有一定作用的。

1. 用cmd命令md a..\，可以创建一个delete键无法删除的文件夹“a.”，需用命令rd a..\才能删除。如果往“a.”里面拷入了文件，则需用带参数的命令rd /s a..\删除。在XP下这个文件夹是打不开也无法拷贝的。

2. 运用文件名非法字符。大家知道windows不允许一些特殊字符出现在文件名中，如\ % ? * 等等，所以我们可以用winhex中的磁盘编辑器修改文件记录，加入一些非法字符到文件名中，那么这个文件或文件夹就成为“删不了、打不开、拷不走”的“钉子户”了。由于在NTFS分区上修改文件记录操作很复杂，考虑到不便应用就不加赘述了，这里只讨论在FAT分区上建立“钉子”文件/文件夹的方法：

用winhex的磁盘编辑器打开FAT分区，在目录浏览器里找到需要修改的文件的上一级目录，比如此文件位于根目录下就选定“根目录”，这样根目录下包含的子文件夹和文件的记录项都会显示在下方的十六进制编辑框里，查找目标文件名，以“autorun.inf”为例，可以看到自地址003E120开始的11个字节是存储文件名的区域，前8个字节是文件名，未使用的字节补空格（ASCII码为20H），后3字节为扩展名，这就是DOS文件名8.3格式的由来。顺便提一句，只要把文件名的第一个字节值改为“E5”就表示已删除这个文件/文件夹了。

我们只需把文件名中的合法字符修改为非法字符（?、\、*、:的ASCII码分别为3F、5C、2A、3A）或者改为00值就达到目的了，而改为00值具有很好的欺骗性，表面看，文件/文件夹并无异常，可就是打不开、删不掉、拷不走，如图所示：

四、U盘病毒的预防

关于U盘病毒的预防，有很多有效的方法，如组策略禁用自动播放、关闭shell hardware detection服务等，除此之外，还有一个很有效的方法可以防止U盘感染autorun病毒，其原理是在U盘根目录下创建一个删不掉的名为autorun.inf的文件夹，这样就能阻止病毒创建autorun.inf文件了，方法如下：

在U盘根目录下新建一个名为autorun.inf的文件夹，然后根据技巧三在这个文件夹里面创建一个删不掉的文件或文件夹即可。如果是NTFS文件格式，你也可以在设置autorun.inf文件夹的权限，在“安全”页面的“高级”对话框中去掉“从父项中继承那些可以应用到子对象的项目......”复选框，然后再点击“删除”，确定选择，这样就拒绝任何人操作该文件夹了。虽然此法可以阻止病毒的发作，但U盘还是可能被拷入一些病毒文件，你只需显示系统及隐藏文件删除即可。删不掉的文件夹autorun.inf 如图所示：

五、获取system权限

system权限是系统最高权限（高于adminstrator），如果需要进行某些特殊操作，而有必要获取system权限时（例如查看修改注册表的SAM项），可以用微软提供的工具pstools工具包中的psexec完成。

例如：在命令行模式下输入psexec -s -d -i regedit，将会以system权限运行注册表编辑器，这样在adminstrator权限下看不到的SAM项就能看到了，某些病毒会在注册表的SAM项中添加键值，可以用此法清除。各参数的含义为：-s system权限，-d 不等待进程交互，-i 后接进程名启动你想要的进程。你也可以用psexec启动explorer进程，这样你就能以最高权限控制电脑。下图为以system权限运行的regedit.exe：

六、用NTFS数据流隐藏数据

通俗地讲，NTFS文件系统的“流”是文件的“尾巴”，就是说可以通过指针将某些数据附加在NTFS文件之后，一个NTFS文件可以挂接多个数据流，而一个数据流只能附加在一个NTFS文件之后，数据流在OS用户界面下不能查看、修改、删除，需通过专用工具。通常拷贝一个文件，其数据流不会被拷贝，删除一个文件，其数据流也将同时被删除。建立数据流要小心，如果你在分区根目录后挂接数据流，不借助第三方工具那只有格式化分区才能清除，卡巴斯基5.0臭名昭著的NTFS数据流相信大家还记忆犹新。鉴于数据流的隐秘性，我们可以借助它流隐藏自己的私密数据。建立数据流的方法有：

1. 命令行法

利用保留字符“:”，例如，有两个文本文件a.txt、b.txt，要把b.txt的信息作为数据流附加到a.txt之后，可以输入命令：

type b.txt > a.txt:b.txt，这样就在a.txt之后附加了一个名为b.txt的数据流。

2. 工具法

用NTFS Streams Info可以很方便地搜索、查看、建立、导出、删除NTFS数据流。如图所示，可以看到D盘as文件夹附加了两个流Stream1、Stream2，而文件cbaabc.txt附加了一个名为Stream3的流。

2007-6-15 03:47 PM

七、隐藏分区浏览修改器

这是winPM中的一个组件，我觉得非常有用就提出来上传给大家，使用方法很简单，大家一看就会，用它可以很方便地查看修改提取隐藏分区中的文件。

八、找回误删除的文件

数据恢复软件常用的有easyrecovery、finaldata，这两个软件确实功能强大，但使用方法比较复杂，程序也大。有一个小巧的绿色数据恢复软件file scavenger，使用方法很简单，大家一看就会。软件界面如图所示，选择检索方式一栏一般是“quick search”，选中丢失文件的分区，输入文件类型或者使用默认值“*”，点击“search”开始查找即可。只要丢失文件的分区未被写入新的数据，间隔的时间也不长，那找回误删除的文件是十拿九稳的事情。

九、删除顽固的文件

通常造成文件不能删除的原因不外乎：文件被某进程锁定，文件系统存在错误。

（一）文件被某进程锁定

可以用unlocker解锁之后删除，也可以查找注册表中的文件相关项，删除之后重启电脑，一般就可以删除这类文件了。

（二）文件系统错误

1. 运行磁盘检测工具

例如输入命令“chkdsk /f 驱动器盘符:”，运行完毕可能就会纠正磁盘错误，也就能正常删除文件了。

2. 命令行法

输入命令dir /x，显示非DOS8.3格式的文件的短名称，输入“del 短文件名”或可删除文件。

3. 用icesword删除

icesword是一个安全辅助软件，它有一项强制删除的功能，可用于对付顽固文件。

4. 用磁盘编辑器删除文件记录

如果icesword无效，就需要使用磁盘编辑器了。

（1）FAT文件系统

用winhex打开问题文件所在分区，参考技巧三.2，将DOS8.3格式的文件名第一字节改为E5，然后用磁盘检测工具（比如chkdsk）扫描分区，会找到一些磁盘碎片文件，选择丢弃即可。

（2）NTFS文件系统

NTFS文件系统中的所有文件/文件夹都会在主文件表（MFT）中记录相关信息，如果我们把目标文件的记录从MFT中删除，那对于NTFS文件系统这个文件也就被删除了。要找到问题文件在MFT中的文件记录，需得借助一个软件NTExplorer（也叫DiskExplorer for NTFS），然后用winhex中的磁盘编辑器完成。例如，我要删除D盘上的按技巧三建立的“钉子”文件夹“a.”就按以下步骤操作：

I. 运行NTExplorer，点击菜单“File”－“Drive”，选定D盘，点击菜单“Goto”－“Root directory”，找到文件夹“a."，点击它的MFT entry。

获得MFT entry的所在扇区。

II. 运行winhex中的磁盘编辑打开D盘，如果D盘相对于上一次打开发生了变化，那么需要提取新的卷快照，点击菜单“专用”－“提取卷快照”，勾上“获取新的快照”，确定即可。点击菜单“位置”－“转到扇区”，输入文件夹“a.”的MFT entry所在扇区号6316440，注意MFT文件记录必以“FILE”开头，图中画红圈的位置有“a.”字样，说明位置无误。

选中这个扇区，将其填充0即可（注意小心操作，确认无误再保存，以免把正常的数据覆盖了）。

III. 关闭winhex，运行chkdsk /f D:，待磁盘检测完毕这个问题文件夹就被删除了。

如果文件夹内有文件，需得按同样的方法删除里面的文件然后才能删除该文件夹，删除文件的方法也是一样的。

十、关于数据恢复的一个简单例子

大家碰到数据丢失的情况时，想必第一反应是求助于那些常用的数据恢复软件：
easyrecovery、finaldata、dataexplore等等。
这几个软件功能确实强大，但很多时候效果却差强人意。如果你对文件系统存储原理有所了解，再结合使用这些工具必然事半功倍。

有时候，硬盘分区损坏打不开了，有可能是分区DBR（DOS Boot Record，文件系统第一扇区，存储这个分区的重要参数以及操作系统引导代码）损坏造成的。对于FAT32和NTFS文件系统，DBR扇区都是有备份的，我们只需用winhex把备份扇区复制到0号扇区（也就是DBR扇区，文件系统都是从0开始编号）就能修复分区了。

在FAT32，DBR备份在6号扇区：

NTFS则是在分区最后一个扇区，通常紧挨着下一分区的分区表所在扇区（也就是虚拟MBR）。
点击“访问菜单”，选择与问题分区紧邻的下一分区，点击其分区表，弹出的页面往前移动一个扇区就是备份扇区了：

在这个例子中，先用easyrecovery的raw恢复，折腾了七、八个小时但恢复出来的数据文件名全都变了，难以整理，而采用DBR备份恢复法，只需一两分钟就搞定了，分区数据完全挽回，两个方法高下立判，从中可见了解文件系统存储原理对于数据恢复的重要性。关于文件系统存储原理的资料，在数据恢复网站www.sjhf.net上有一些，另外戴士剑编著的《数据恢复技术（第二版）》是国内较权威的教材，大家有兴趣的话可以找来看。

十一、通用一键还原MBR引导程序

一键还原系统的MBR驻留程序在重装系统之后就失效了，如何修复？很多一键还原软件并不提供修复工具，我写了一个小程序试图解决这个问题。源文件在masm下编译连接获得exe文件之后用工具exe2bin将exe文件转换为bin文件（可作为扇区程序），将其安装到MBR之后在开机之时按下Scroll Lock键，可启动任何一键还原系统。

下面就说明一下手工安装方法（自动安装程序我以后会完成的，预计将在暑假发布）：

1. 在winhex 菜单中点击“工具”－“磁盘编辑器”，在弹出的对话框中选择“物理媒介－HD0......”，出现的第一个页面就是MBR 扇区了。

如图所示，MBR 扇区分为三部分：
（1）代码区，0~1BD 字段，也就是浅蓝色背景的区域，这一部分是要写入新代码的。
（2）硬盘分区表，1BE~1FD 字段，画框的部分，注意，这部分十分重要，不得随意修改。
（3）引导标志 55 AA，位于最后两个字节，注意，这个同样不能修改。
注意：鉴于操作MBR的风险性，新手慎用！

2. 打开MBR.bin 文件，选中所有数据，按下ctrl + C 复制到剪贴板。

转入MBR 页面，先把光标移至偏移0 的位置，也就是第一字节处，偏移不要弄错，否则就写坏了！

点击“编辑”－“剪贴板数据”－“写入”。

软件会提示你确定否？点击“确定”，数据就被写入了，如果写错，可“撤消”。

3. 关键的一步，须写入还原系统所在分区的LBA地址。
点击“访问”菜单，找到恢复分区（这里假定是分区4），点击“启动扇区”。

这样就转到恢复分区的第一扇区了，左下角显示的是该扇区的LBA地址108824373，
换算成十六进制为67C8735。

转到MBR扇区，在偏移000000108开始的4个字节处写入恢复分区启动扇区LBA地址。
确认无误后保存。

作者: NB是我 时间: 2009-3-7 17:02

顶:lol

欢迎光临合肥本本之星合肥Thinkpad专卖店合肥Apple专卖店 hfthink 合肥本之星信息科技有限公司 (http://hfthink.com/)