現在感染exe程序的病毒木馬都喜歡修改系統(tǒng)文件����,而且通常都不能將中毒的系統(tǒng)文件恢復回原狀,那么除了重裝和從其他機器拷貝外還有別的方法嗎��?
還可以從安裝盤提取最原始、最保險的"原裝"文件��!但是安裝盤中的文件可不是直接復制/粘貼就能弄出來的���,而且XP和Vista/2008的提取方法還不同��,因為它們使用了不同的安裝方式�。
一���、提取XP安裝盤的文件
仔細觀察XP安裝盤的文件���,可以看到i386目錄中絕大部分文件都是"EXPLORER.EX_"這類的文件名,其實它是經過壓縮后的文件�����,文件名和解壓出來的文件名一樣�,但是擴展名和文件大小不同,所以直接改后綴是不能使用的�����。
有兩種方法可以把文件解壓出來:
方法一:使用壓縮軟件例如7-zip直接將這個文件解壓��。之所以提到7-zip,除了它免費之外還因為它默認會將"7-zip"菜單集成到所有文件(或文件夾)右鍵菜單中��,用起來很方便�����。當然使用WinRAR也是可以解壓的���。
方法二:在窗口命令行狀態(tài)下使用XP自帶的Expand命令解壓文件����。用法如:expand D:\i386\EXPLORER.EX_ C:\explorer.exe�����;含義為將D盤i386目錄下的EXPLORER.EX_文件解壓到C盤根目錄下面����,并命名為explorer.exe����。i386目錄就是XP安裝盤中安裝文件所在的目錄。這條命令常用于恢復控制臺下面修復系統(tǒng)�。
二����、提取Vista/2008安裝盤中的文件
Vista/2008使用了新的安裝技術���,所有安裝文件都保存在sources\install.wim文件中���;這個文件無法用一般的軟件打開,只能用微軟提供的imagex.exe程序打開���。這個程序沒有圖形操作界面���,現以Vista下使用為例子介紹用法:
第一步:以管理員身份運行命令提示符,并使用CD命令(例如:"CD i386"命令就是進入當前目錄的i386子目錄)進入imagex.exe所在的文件夾��。
第二步:使用imagex/info h:\sources\install.wim命令查看當前安裝光盤包含的系統(tǒng)版本�。例如Vista安裝盤中就有Home Basic、Home Premium��、Business��、Ultimate等版本��。當看到
Windows Vista ULTIMATE
這個段落就說明索引號4的鏡像為Vista ULTIMATE安裝文件所在����。
第三步:使用命令如imagex /mount g:\sources\install.wim 4 d:\msdn將G盤安裝文件中索引號為4的安裝鏡像映射到d:\msdn文件夾��。這時打開d:\msdn就能像進入普通文件夾一樣提取原始文件了���,不需要解壓哦。
第四步:用完后需要卸載鏡像�,對應如上操作的命令如下:imagex /unmount d:\msdn。
小提示:
1���、如果無法使用imagex.exe���,進入控制面板→添加新硬件,手動安裝WIMFLTR.INF�����。
2����、imagex映射到的文件夾必須真實存在�。如果原文件夾有文件,那么映射后文件并不會消失��,只是被Vista的安裝文件"偽裝"起來了。
關鍵詞標簽:文件,提取,方法,系統(tǒng),
