1、第13章 软件系统故障及维护,Windows XP操作系统原理,使用系统维护工具,系统启动故障的修复,病毒防治的一般方法,13.1 Windows XP操作系统原理,13.1.1 Windows XP的架构特点 Windows XP已不再完整支持16位DOS应用程序,仅有的CMD命令窗口(“开始”“运行”“输入CMD”)也只能执行一些基本DOS命令,对大多数直接控制硬件的16位应用程序是不支持的。从图13.1可以看出,Windows XP还引入了用户模式和内核模式,以提高内核稳定性,在与硬件交互时增加了硬件抽象层(HAL)以提供抽象的硬件访问接口,避免了直接操作硬件,这些都是Windows X
2、P稳定性的主要保障。,图13.1 Windows XP体系结构,13.1.1 Windows XP的架构特点,(1)内核模式(Kernel Mode)。当CPU运行于内核模式时,一切程序都可运行。 (2)用户模式(User Mode)。在这个模式中,硬件防止特权指令的执行,并对内存和I/O空间的访问操作进行检查。允许Windows XP限制程序对各种I/O操作的访问,并捕捉违反系统完整性的任何行为。 Windows系统文件夹下文件数量很多,并且随着安装软件的增加而递增。Windows XP架构中的核心系统文件如表13.1所示。,13.1.2 Windows XP的启动过程,1预引导阶段 在按下
3、计算机电源到操作系统开始加载第一个文件前这段时间,称为预引导(Pre-Boot)阶段。此时,计算机首先运行Power On Self Test(POST),POST检测系统的处理器、内存等硬件设备的状况。所有硬件设备都被自动识别和配置后,BIOS将会定位引导设备(如硬盘或光驱),然后MBR(Master Boot Record)被加载并运行。在预引导阶段的最后将加载Windows XP的NTLDR文件。 2引导阶段 Windows XP引导阶段包含4个步骤。 Step 1. 引导载入程序的初始化 NTLDR程序会将处理器由实模式(Real Mode)切换为32位平面内存模式(32-bit Fl
4、at Memory Mode)。在实模式下,内存中的前640 KB是为MS-DOS保留的,而剩余内存则被当作扩展内存使用,这样Windows XP将无法使用全部的物理内存。而32位平面内存模式让Windows XP能使用计算机上安装的所有内存(由于设计使然,32位Windows操作系统只能使用2 GB,64位可使用4 GB)。接下来,NTLDR启动内建的微型文件系统驱动(mini-file system drivers),通过这个步骤,使NTLDR可以识别每一个用NTFS或FAT文件系统格式化的分区,以便发现和加载Windows XP。,13.1.2 Windows XP的启动过程,Step
5、2. 选择操作系统 这一步在单操作系统的计算机上不是必须的。如果计算机安装了不止一个操作系统(也就是多操作系统),而且正确设置了boot.ini,计算机会显示一个操作系统选项,这是NTLDR读取boot.ini的结果,操作系统选项的设置操作步骤是“系统属性”“高级”“启动和故障恢复”,如图13.2所示。,图13.2 操作系统选项设备,13.1.2 Windows XP的启动过程,例如,安装了Windows XP和Windows 2000的计算机系统分区根目录下的boot.ini中,主要包含以下内容: boot loader timeout=30 default=multi(0)disk(0)r
6、disk(0)partition(1)Windows operating systems multi(0)disk(0)rdisk(0)partition(1)Windows=“Microsoft Windows XP Professional“ /fastdetect multi(0)disk(0)rdisk(0)partition(2)WINNT=“Windows Windows 2000 Professional“ timeout表示操作系统菜单显示的时间(秒);default表示如果用户不选择,则默认启动后面指定的操作系统,multi(x)或scsi(x)表示磁盘控制器,disk(x)
7、表示 SCSI总线号(如果是multi,则x总为0),rdisk(x)表示硬盘编号(如果有多块硬盘,则从0开始依次编号),partition(x)表示分区(从1开始编号)。NTLDR从operating systems中查找 Windows XP的系统文件夹位置。,13.1.2 Windows XP的启动过程,Step 3. 硬件检测 选择启动Windows XP后,操作系统选择阶段结束,硬件检测阶段开始。N首先将当前计算机中安装的所有硬件信息收集起来,并列表提交给NTLDR,这个表的信息稍后会被用来创建Windows注册表中有关硬件的键(HKEY_LOCAL_MACHINEhardware)
8、。这里需要收集的硬件信息包括:总线/适配器类型、显卡、通信端口、串口、CPU、存储器、键盘、鼠标等。至此,硬件检测操作完成。,Step 4.选择硬件配置文件 这一步也不是必须的,只有在计算机中创建了多个硬件配置文件时(常用于笔记本电脑),才会显示配置文件列表,操作步骤为“系统属性”“硬件”“硬件配置文件”,见图13.3。如果用户有一台笔记本电脑,主要在办公室和家里使用,则可以创建两个配置文件以确定禁用或启用哪些设备,如在办公室使用有线网卡,在家使用无线网卡。在使用该配置文件时,可到设备管理器中启用或禁用相应的网卡。,图13.3 选择硬件配置文件,13.1.2 Windows XP的启动过程,3
9、加载内核阶段 在加载内核阶段,NTLDR加载被称为Windows XP内核的Ntoskrnl.exe。系统加载了Windows XP内核,但是没有将它初始化。接着NTLDR加载硬件抽象层(Hal*.dll),然后系统继续加载HKEY_LOCAL_MACHINEsystem键,NTLDR读取Select键(见图13.4)来决定哪一个Control Set(控制集)将被加载。控制集包含设备的驱动程序及需要加载的服务程序。NTLDR加载HKEY_LOCAL_MACHINEsystemControlSet xxx(编号)service.下start键值为0的底层设备驱动程序。,图13.4 Select
10、项记录了 4种状态的控制集编号,13.1.2 Windows XP的启动过程,4初始化内核阶段 Step 1. 创建Hardware注册表键 首先在注册表中创建Hardware键,Windows内核会使用在前面硬件检测阶段收集到的硬件信息来创建HKEY_LOCAL_MACHINEHardware键,也就是说,注册表中该键的内容并不是固定的,而是根据当前系统中的硬件配置情况动态更新。 Step 2. 对Control Set注册表键进行复制 如果Hardware注册表键创建成功,那么系统内核将会对Control Set键的内容创建一个备份。这个备份将被用在系统高级启动菜单的“最后一次正确配置”选
11、项中。例如,用户安装了一个新的显卡驱动程序,重启动系统之后Hardware注册表键还没有创建成功系统就已经崩溃了,这时如果选择“最后一次正确配置”选项,系统将会自动使用上一次的Control Set注册表键的备份内容重新生成Hardware键,这样就可以撤销之前因为安装了新的显卡驱动程序对系统设置的更改。,13.1.2 Windows XP的启动过程,Step 3. 载入和初始化设备驱动程序 在这一阶段,操作系统内核首先初始化之前在载入内核阶段加载的底层设备驱动程序,然后内核会在注册表的 HKEY_LOCAL_MACHINESystemCurrentControlSetServices键下查找
12、所有Start键值为“1”的设备驱动程序。这些设备驱动程序将在加载之后立刻进行初始化,如果在这一过程中发生任何错误,系统内核将会自动根据设备驱动程序的“ErrorControl”键值进行处理。“ErrorControl”键的键值共有如下4种: 0:忽略,继续引导,不显示错误信息。 1:正常,继续引导,显示错误信息。 2:恢复,停止引导,使用“最后一次正确配置”选项重新启动系统。如果依然出错则忽略该错误。 3:严重,停止引导,使用“最后一次正确配置”选项重新启动系统。如果依然出错则会停止引导,并显示一条错误信息。,13.1.2 Windows XP的启动过程,Step 4. 启动服务 系统内核成
13、功加载,并且成功初始化所有底层设备驱动程序后,会话管理器(Session Manager)通过会话子系统进程(smss.exe)启动高层子系统和服务,然后启动Win32子系统服务进程(csrss.exe)并加载Kernel、Advapi32、User32、GDI32等子系统dll。Win32子系统的作用是控制所有输入/输出设备及访问显示设备。当所有这些操作都完成后,Windows图形界面显示出来,同时将可以使用键盘及其他I/O设备。接下来会话管理器会启动Windows登录进程(Winlogon.exe),至此,初始化内核阶段成功完成,用户可以开始登录了。,13.1.2 Windows XP的启
14、动过程,5登录 Winlogon.exe启动Local Security Authority(本地安全授权进程LSASS.exe),同时Windows XP欢迎屏幕或登录对话框出现,提示输入有效的用户名或密码。这时,系统还可能在后台继续初始化刚才没有完成的驱动程序和服务(SvcHost.exe)。只有用户成功登录到计算机并加载所有自启动程序(一般是用户安装的软件)显示桌面(explore.exe)后,Windows XP的启动才被认为是完成了。在成功登录后,系统以当前Control Set覆盖LastKnownGood编号的Control Set,完成这一步骤后,意味着系统已经成功引导了。,1
15、3.2 使用系统维护工具,13.2.1 系统维护盘 Windows PE(Pre-installation Environment,预安装环境)是一种保留了核心Windows功能的系统,ERD Commander是基于Windows PE 的著名系统维护盘。 ERD Commander减去了绝大多数功能,以系统维护软件取而代之,这些维护工具可以直接对操作维护对象(指定分区内的Windows)进行文件、磁盘分区、注册表、驱动程序和服务、网络配置、系统还原功能、系统补丁、修改管理员密码等操作。如图13.5所示为ERD Commander操作界面,它与Windows XP极为相似。,图13.5 ER
16、D Commander系统维护盘启动后的界面,13.2.2 使用DOS维护工具,Windows 98中可以制作功能较强的DOS启动盘,但它已经很少使用。在Windows XP系统中,可以制作简单的DOS启动盘,插入一张空白软盘,打开“我的电脑”,右击A盘盘符,再在弹出的菜单中选择“格式化”选项。在弹出的格式化对话框(见图13.6)中勾选“创建一个MS-DOS启动盘”后单击“开始”按钮,就可以制作一张只含有DOS核心文件io.sys、msdos.sys、的启动盘,但是这张启动盘不包含DOS命令工具,必须手动复制xcopy.exe、delete.exe等命令文件到软盘上。,图13.6 用Windo
17、ws XP格式化命令制作 一张简单的DOS启动盘,13.2.2 使用DOS维护工具,通常,最方便的方法是下载网上提供的启动维护光盘ISO镜像,例如,比较知名的MAXDOS工具集,网址为http:/ Burning ROM刻录到CD-R,用这张光盘启动维护系统(见图13.7)。,图13.7 MAXDOS维护工具集,13.2.2 使用DOS维护工具,如图13.8所示,进入其DOS模式的“工具箱”之后,将会显示一系列工具的运行命令,如ghost、dm(分区工具)、mouse(加载鼠标驱动)等,另外DOS命令工具如Format(格式化磁盘)、Fdisk(DOS磁盘分区工具)、dir(显示目录下的文件)
18、、cd(切换目录)、del(删除文件)、copy(复制文件)等也可以使用。,图13.8 运行DOS命令和维护工具,13.2.2 使用DOS维护工具,例如,当前命令提示符为A:,由于系统分区上的NTLDR文件丢失,需要复制A盘上的NTLDR到C盘根目录,并删除C:123123.exe这个病毒文件,命令如下: A:ntfsdos(若C盘为NTFS分区,则需加载nftsdos驱动程序才可读/写,MAXDOS维护盘提供了该驱动程序) A:copy NTLDR C: (将当前目录A:下的NTLDR文件复制到C:,按【Enter】键后屏幕显示 1file(s)copied) A:C: (改变根目录盘符到C
19、:,下一行命令提示符将变为C:) C:cd 123 (切换当前目录到C:123,下一行命令提示符将变为C:123) C:123del 123.exe (删除123.exe),13.2.3 使用Windows PE维护工具,Windows系统运行时需要修改自身的系统文件(如写注册表),所以用于维护系统的Windows PE并不是以只读光盘作为介质运行的。严格地说,Windows PE只是Windows XP的精简版,必须安装在硬盘上才能启动。但是由于其体积小,可将一个安装好的Windows PE做成启动镜像,在启动光盘时,将该镜像需要修改的系统文件展开装入内存(使用RAMDISK方式),将这一块
20、内存当作Windows PE的“硬盘”分区来运行该系统,运行过程中系统修改Windows PE注册表、用户在“系统分区”进行的安装程序、修改设置等操作,实际上都直接作用于RAMDISK内存,重启后这一“硬盘”分区都不复存在了。,13.2.3 使用Windows PE维护工具,在搜索引擎上搜索“Win PE 维护光盘”等关键字,可以下载到不同定制版本的Windows PE维护工具ISO,刻录光盘后,从光盘启动,可以进入与Windows XP几乎一样的操作界面(见图13.9),维护系统非常方便。,图13.9 在Windows PE系统中各种操作与Windows XP一样方便,13.3 系统启动故障
21、的修复,13.3.1 自检(POST)未通过 1典型的自检错误提示 (1)MEMORY TEST FAIL:内存测试失败,通常发生这种情形大都是因为内存不兼容或故障所致,应先以每次开机使用一条内存的方式分批测试,找出有故障的内存,把它拿掉或送修即可。,13.3.1 自检(POST)未通过,(2)KEYBOARD ERROR OR NO KEYBOARD PRESENT:为键盘错误或没有安装键盘,很明显这个错误是由键盘引起的,可以通过重新插拔键盘或更换一个新的键盘来检测并解决;对于不需要键盘的计算机(如带触摸屏的展示机或卡拉OK控制台),可以进入BIOS Setup,将“Halt on”一项设为
22、No Errors(任何非致命错误都不停止自检)或All, But Keyboard(任何错误都停止,但没有键盘并不停止),如图13.10所示。,图13.10 键盘自检设置,13.3.1 自检(POST)未通过,(3)FLOPPY DISK(S) FAIL:这个错误是因为软驱导致的,多数是因为软驱连线接错,但目前已很少使用软驱,故此错误多为在CMOS中对软驱进行了错误设置,如果没有安装软驱,应将Driver A项设置为None或Disabled。 (4)HARD DISK DRIVER FAILURE:这个错误是因为硬盘导致的故障,有可能是硬盘连线或硬盘控制电路存在问题,可通过检测硬盘连线是否
23、插错和更换硬盘来解决,如果经常出现该现象,则可能是硬盘控制电路板出了问题。 (5)CMOS CHECKSUM ERROR-DEFAULTS LOADED:为载入CMOS默认设置CMOS校验错误,这个问题多是因为CMOS电池电量不足导致,更换CMOS电池即可。 另外CMOS battery failed错误也是同样的原因。 (6)BIOS ROM CHECKSUM ERROR:是BIOS检测错误的信息提示,多数是因为BIOS ROM损坏导致,可通过刷新BIOS尝试解决,但大部分是因为BIOS模块存在硬性故障导致的问题,那样就只能通过更换主板来解决了。,13.3.1 自检(POST)未通过,2没有
24、明确错误提示的情况 (1)POST全部完成后停止不动。这一现象多为硬盘导致,因为POST在自检完成后将引导系统的工作交给硬盘处理,但是硬盘此时存在故障,不能正常引导,可将硬盘拔下后安装到其他主机,测试它是否有相同故障,或是更换一个新的硬盘尝试解决。 (2)POST检测CPU或内存时停止不动。这一现象多为主板故障,主板不能正常检测CPU类型或内存容量,可尝试恢复CMOS默认设置,如问题出现在升级内存或CPU后,可尝试重新安装或刷新BIOS来解决。 (3)POST检测CPU、内存后,检测硬盘之前停止不动或自动重启。系统中安装的USB设备(如摄像头、鼠标、键盘等)有问题或无法检测,拔除后再试。 (4
25、)POST检测CPU、内存后,检测硬盘时停止不动或未检测到硬盘而直接跳过。可能有硬盘连接问题,若多次重启后可以检测成功并正常进入系统,则是硬盘出现隐性硬件故障导致。,13.3.2 操作系统引导、加载内核出现问题,1提示Error Loading Operating System或Missing Operating System 分析:Windows XP启动过程预引导阶段,POST结束后,需要加载MBR(主引导记录),出现上述提示表示硬盘的MBR被破坏,或者分区引导记录遭到破坏。可能引起这种现象的原因有:CMOS参数设置错误;硬盘系统分区下的引导文件遭到破坏或丢失。如果多次出现该错误,可能由于
26、硬盘连线松动或硬盘坏道等原因。,13.3.2 操作系统引导、加载内核出现问题,解决:如图13.11所示,使用Windows XP安装光盘,按【R】键启动到Recovery Console(恢复控制台),选择Windows XP安装文件夹后,输入管理员密码,出现命令提示符,在后面输入“cd”切换到C盘(系统分区)根目录,再输入“Fixmbr”,修复主引导记录,还可以输入“Fixboot”命令修复分区引导记录。如果上述解决方法不奏效,应检查硬件问题。,图13.11 按【R】键进入恢复控制台,13.3.2 操作系统引导、加载内核出现问题,2提示NTLDR is missing或N、boot.ini、
27、Ntoskrnl.exe、hal*.dll等涉及具体文件的错误信息 分析和解决:NTLDR文件是Windows XP的引导文件,当此文件无法定位时启动系统会提示丢失,并要求“Press CTRL+ALT+DEL to restart”。不能正确进入系统的原因可能是: 使用非系统磁盘来启动计算机。如果用一些非系统磁盘启动计算机,如软盘、光盘、USB移动存储设备等,就可能会出现此问题。解决的方法是取出这些设备,然后重新启动计算机即可。 BIOS中硬盘中的信息被更改,检测方式设置为手动。由于硬盘信息被篡改,导致系统找不到硬盘中的系统分区,所以就找不到系统分区中的启动文件NTLDR了。只要在BIOS的
28、“Standard CMOS Setup”中,把硬盘检测方式设置为“Auto(自动)”即可。 系统分区没有被激活。如果用于存放启动文件(包括boot.ini、NTLDR、N)的系统分区没有被激活,而是激活了其他主分区,那么就会导致系统启动时找不到NTLDR文件。解决的方法是用DOS启动盘启动计算机,然后运行Fdisk,选择“Set active partition”来激活系统分区,并用Fixboot命令使活动分区成为可启动的分区。 硬盘中的MBR被破坏,导致系统找不到系统分区。解决的方法是运行Fixmbr命令。 只是NTLDR文件误删除或损坏:用Windows XP安装光盘进入恢复控制台,在命
29、令提示符后输入: copy F:i386ntldr c: (假设安装光盘在光驱F,并且该安装盘下有i386文件夹) copy F: c: (丢失可用此命令) 硬盘硬件故障,解决方法参见第14章。,13.3.3 初始化内核和登录阶段出现错误,1出现Windows XP Logo及进度条时,滚动几圈死机、蓝屏或重启 分析和解决:这一阶段,将会读/写注册表,载入和初始化设备驱动程序并启动服务。因为这期间会读/写取大量的文件,首先要排除内存和硬盘的硬件错误;其次可能是注册表损坏,需要重新开机按【F8】键使用“最后一次正确的配置”来启动系统;如果仍然不行,则需要检查最近是否安装了新的硬件驱动程序或者有病
30、毒向系统注册表写入了有害的驱动程序,解决方法是开机按【F8】键进入“安全模式”,此时只会加载最基本的驱动程序,应该可以正常进入操作系统,此时要卸载所有出现问题前新安装的驱动程序,用杀毒软件查杀系统后重新启动。 2Windows XP Logo及进度条滚动结束后,登录之前死机或重启 分析和解决:此阶段系统开始启动高层子系统和服务,其中涉及的重要系统文件有smss.exe、csrss.exe、Kernel.dll、Advapi32.dll、User32.dll、GDI32.dll及Winlogon.exe等。这一阶段出现的问题在排除硬件问题之后,主要是以上文件损坏或被病毒篡改导致,或者安装了错误的
31、软件导致,可进入“安全模式”修复。,13.3.3 初始化内核和登录阶段出现错误,3登录时出错但可以进入桌面或无法显示桌面 分析和解决:此阶段起作用的系统文件主要是Winlogon.exe、svchost.exe、lsass.exe等,系统将继续启动服务并载入用户配置,如果出现错误,但可进入桌面,此时可打开“控制面板”“管理工具”“事件查看器”(见图13.12),查找系统服务和应用程序的错误记录,找到错误后双击查看具体信息,根据描述一般可以了解错误原因并排除。,图13.12 “事件查看器”可以查看记录的错误,13.3.4 不明原因启动故障的解决方法,1使用最后一次正确的配置如果启动错误发生在初始
32、化内核阶段之前,那么开机按【F8】键,尝试用“最后一次正确的配置”(见图13.13)来启动操作系统不失为一个好办法。该功能让用户取消任何在注册表CurrentControlSet键上做出的导致问题的修改,用系统最后一次正常启动的CurrentControlSet键值来取代当前的键值。,图13.13 使用“最后一次正确的配置”选项,13.3.4 不明原因启动故障的解决方法,2使用系统还原 能够帮助解决Windows XP启动问题的另一个工具是系统还原。系统还原作为一项服务在后台运行,并且持续监视重要系统组件的变化。当它发现一项改变即将发生,系统还原会立即在变化发生之前,为这些重要组件作一个名为恢
33、复点的备份,而且系统恢复默认的设置是每24个小时创建恢复点。系统自动创建还原点的前提是,系统还原服务开启,可打开“系统属性”“系统还原”选项卡查看各硬盘分区,特别是系统分区是否在“监视”状态下。,13.3.4 不明原因启动故障的解决方法,具体方法是开机按【F8】键选择“安全模式”,Windows XP进入安全模式后,打开“开始”菜单,选择“所有程序”“附件”“系统工具”“系统还原”,选择“恢复我的计算机到一个较早的时间”单选钮,单击【下一步】按钮,选择一个还原点,启动恢复过程,如图13.14所示。,图13.14 系统还原,13.3.4 不明原因启动故障的解决方法,即使安全模式也无法进入,但有还
34、原点的话,也可以通过启动ERD Command或Windows PE维护工具选择该还原点还原到原系统中(见图13.15)。,图13.15 ERD Command的还原工具可以选择无法启动的Windows系统目录并读取、恢复其中的还原点,13.3.4 不明原因启动故障的解决方法,3使用安装光盘中的系统升级或修复安装功能 在系统中运行安装光盘中的Setup.exe,选择“安装Windows XP”,在下一步中选择“升级(推荐)”即可对原系统进行覆盖安装(见图13.16),但是安装光盘上的补丁包应该与原系统一致或更新(集成SP2补丁的光盘不能用来升级Windows XP SP3操作系统),否则不能升
35、级。这种覆盖的安装方式可以解决大多数启动故障、蓝屏、驱动错误、系统运行错误,并且可以保持几乎所有的用户设置不变,但不能清除病毒,也不能修复硬盘非系统分区错误和硬件问题,在弄不清故障原因时非常值得一试。,图13.16 升级(覆盖)安装,13.3.4 不明原因启动故障的解决方法,如果原系统无法启动,不能在操作系统中运行setup.exe,此时可以从安装光盘启动,先按【Enter】键选择“安装Windows XP”,按【F8】键同意后,安装程序自动搜索硬盘上原有操作系统和版本,显示在列表中(见图13.17),高亮选择需要修复的操作系统,按【R】键开始修复,修复过程与全新安装系统时类似,但修复过后可以
36、直接进入原来的系统。,图13.17 修复安装Windows XP,13.3.4 不明原因启动故障的解决方法,4用Ghost镜像恢复或重新安装系统 如果较早的时间备份了一个系统分区,可以用Ghost恢复,Ghost的用法前面已经介绍过。需要注意,如果原系统安装在C盘(第一个FAT32或NTFS分区)以外的其他分区(如D盘),那么D盘的Ghost备份镜像恢复以后,可能仍然无法启动Windows,因为此时Windows XP的启动引导文件NTLDR、和boot.ini文件依然在C盘中,可能已经损坏,此时需要用上文介绍的方法进行引导文件的恢复,并激活C盘为启动分区。 如果没有备份,最终的办法只能是全新
37、安装系统,此时如果C盘空间足够,可以安装到另一个文件夹,如C:Windows2中,原有数据将保持不变;如果C盘空间不够,也可安装到其他分区。安装后系统菜单中出现新的系统选项,旧系统选项依然存在,可选择进入新系统。进入新系统后,之前安装的系统软件(与注册表联系较多)可能无法使用,此时可以在原路径覆盖安装这些软件,最后尝试将用户文件夹C:Documents and Settingsxxx(之前使用的用户名)中的文件复制到现在的用户文件夹中,这样可以恢复一部分系统和软件设置,以及原来使用的桌面。,13.3.5 提高系统运行速度,1优化BIOS和引导设置 (1)修改BIOS设置 “Quick Powe
38、r On Self Test”:Enabled,加快主板自检速度。 “Show Boot-up Logo”:disabled,不显示启动Logo。 “Boot Up Floppy Seek”: disabled,不检测软驱,节省启动时间。 “Boot Sequence”:启动顺序,设为“Hard disk”。 (2)修改boot.ini设置 如果安装了多操作系统,boot.ini的默认设置是显示操作系统列表30秒,等待用户选择。可以在“系统属性”“高级”“启动和故障恢复”中,选择最常使用的操作系统为默认启动的操作系统,并适当降低“显示操作系统列表的时间”以提高自动进入操作系统的速度。boot.
39、ini文件中对应的字段如下: boot loader timeout = 30 显示操作系统列表的时间 default = multi(0)disk(0)rdisk(0)partition(2)Windows 默认启动的操作系统,13.3.5 提高系统运行速度,2缩减注册表体积 删除注册表中不必要的项目以减小注册表“体积”,可以缩短读取、查找注册表的时间,但注册表中哪些信息可以删除很难确定,此时可以借助注册表清理工具进行,优化大师(见图13.18)是一款Windows优化软件,其中的注册信息清理功能比较实用,可以扫描指定,图13.18 用优化大师清理注册表,的注册表项,从扫描结果来看,主要包括
40、用户打开文档和运行程序的历史记录、安装系统升级补丁的记录、无效或已卸载的程序安装记录、窗口及菜单项的位置记录等,扫描完成后单击【全部删除】按钮,按提示备份原注册表并删除扫描到的项目。,13.3.5 提高系统运行速度,3清理驱动程序 Windows XP在启动过程中需要加载大量驱动程序和服务程序,在启动完成后,这些驱动程序和服务程序大多继续停留在内存中,在系统后台运行。但是除了必须的底层驱动程序和维持Windows正常运行的服务程序以外,还有许多应用程序安装时加入的驱动程序、服务程序隐藏在系统中,有的甚至已失效,这必将占用系统资源,影响系统的启动和运行速度。,如图13.19所示,右击“我的电脑”
41、“属性”菜单项“硬件”选项卡“设备管理器”,在菜单栏上单击“查看”,勾选“显示隐藏的设备”。在“设备管理器”窗口中切换到“非即插即用驱动程序”,此时可以看到其他驱动程序,这些项比硬件设备的驱动程序更多。,图13.19 查看系统中隐藏的驱动程序,13.3.5 提高系统运行速度,若不清楚这些驱动程序的用途,可以使用Autoruns软件(见图13.20)查看,它囊括了Windows加载的几乎所有驱动程序、服务程序、自启动程序,以注册表键分类,在各选项卡对应的窗口中,显示项目名称、描述、发行商、映像路径等,另外,右键中还提供在线搜索功能,由此可以准确断定一个启动项的具体作用。,图13.20 用Auto
42、runs查看系统的加载项,13.3.5 提高系统运行速度,4停止不必要的服务 Windows XP有很多服务,其中很多是普通用户很少用到的。关闭不需要的服务,可以节省更多的系统资源,并让计算机运行得更顺畅。这在低配置的机器上非常有效。运行services.msc命令,或打开“控制面板”“管理工具”“服务”,查看系统服务(见图13.21)。,图13.21 查看系统服务,13.3.5 提高系统运行速度,双击服务名称,可以打开“属性”对话框,可查看该服务的进程名称(.exe)、启动类型和服务状态,并可做相应的修改(见图13.22)。,图13.22 设置服务启动类型和状态、了解依存关系,13.3.5
43、提高系统运行速度,5减少自启动程序 如果系统托盘区(任务栏右端)显示大堆的程序图标,这些随系统自动加载的应用程序都会占据一定的系统资源,同时还会大大延长系统的启动时间,因此应该尽可能地减少自启动程序的数量。运行msconfig命令,打开“系统配置实用程序”,切换到“启动”选项卡,可看到本机上的应用程序启动项(见图13.23)。,图13.23 查看和设置应用程序自启动项,13.4 病毒防治的一般方法,13.4.1 病毒行为的特点 (1)传染性。是指病毒具有把自身复制到其他程序中的特性。计算机病毒一旦进入计算机并得以执行,会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达
44、到自我繁殖的目的。计算机病毒传染的渠道有移动存储器、计算机网络等。 (2)破坏性。任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资源,重者可导致系统崩溃。根据破坏性大小,病毒有良性与恶性之分。良性病毒可能只显示些画面或音乐、无聊的语句,目的在于引人注意、哗众取宠,但会占用系统资源。恶性病毒则有明确目的,往往破坏数据、删除文件、加密或格式化磁盘。 (3)非授权性。一般正常的程序是由用户调用,再由系统分配资源,完成用户交给的任务,其目的对用户是可见、透明的。而病毒除了具有正常程序的一切特性之外,还会隐藏在正常程序中,当用户调用正常程序时窃取到系统的
45、控制权,先于正常程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。,13.4.1 病毒行为的特点,(4)潜伏性。病毒一般是具有很高编程技巧、短小精悍的程序,通常附在正常程序中或磁盘较隐蔽的地方,而且受到传染后,计算机系统通常仍能运行,目的是不让用户发现病毒的存在。有些病毒可长期潜伏在系统中,只有在满足其特定条件时才启动其破坏模块,以求广泛传播。典型的潜伏性病毒一般被病毒程序编写者设定在某个日期发作,如著名的有26日发作的CIH病毒,13号星期五的“黑色星期五”病毒等。 (5)不可预见性。病毒具有不可预见性,不同种类的病毒代码千差万别,但有些行为是共有的(如驻留内存、植入进程、篡改中断
46、等)。有些杀毒软件声称具有主动防御能力,也就是利用病毒的这种共性来防治未知病毒,但这种方法时常误报正常程序为病毒,甚至误杀操作系统文件(如Norton的误杀事件导致计算机系统大面积瘫痪)。而且病毒程序的编写技术也在不断提高,病毒永远是超前于反病毒软件的。,13.4.2 蠕虫、木马、流氓软件等其他种类的病毒,(1)蠕虫(Worm)。病毒的子类。通常,蠕虫传播无须用户操作,可通过网络分发它自己的完整副本(可能有改动和变种)。蠕虫会消耗内存或网络带宽,从而可能导致计算机系统崩溃。与病毒相似,蠕虫也是设计用来将自己从一台计算机复制到另一台计算机,但是它是自动进行的。首先,它控制计算机上可以传输文件或信
47、息的功能。一旦系统感染蠕虫,蠕虫即可独自传播。最危险的是,蠕虫可大量复制。例如,蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本,那些联系人的计算机也将执行同样的操作,结果造成多米诺效应(网络通信负担沉重),使商业网络和整个 Internet 的速度减慢。,13.4.2 蠕虫、木马、流氓软件等其他种类的病毒,(2)特洛伊木马(Trojan)。一种表面上有用、实际上起破坏作用的计算机程序。在神话传说中,特洛伊木马表面上是“礼物”,但实际上藏匿了袭击特洛伊城的希腊士兵。现在,特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。木马常以电子邮件附件或与正常软件捆
48、绑安装的形式出现,声称是某些有用的程序,但实际上是一些试图造成破坏的病毒,往往会盗取用户的账号密码等信息。 (3)流氓软件。是介于病毒和正规软件之间的软件,同时具备正常功能(下载、媒体播放等)和恶意行为(开后门、弹广告以获利),给用户带来实质危害。这类软件往往占用大量的资源,影响计算机正常使用。国内互联网上,此类有害软件特别多,一些网站在提供软件下载时,故意将下载链接篡改成流氓软件,让用户糊里糊涂安装、不知不觉中招。,13.4.3 实用的病毒预防方法,1保护并及时更新系统 为防止有些病毒损坏BIOS,可以激活BIOS Setup中的Flash Write Protect写保护功能,禁止修改BI
49、OS。为防止病毒破坏硬盘上的引导扇区,可以激活BIOS Setup中Boot Sector Virus Protection功能。支持DEP(Date Execution Prevention,数据执行保护)功能的CPU可以激活NX technology功能,DEP通过处理器的NX(No eXecute)功能,查找内存中可能会是病毒的源代码,找到这些数据后,NX将它们都标记为“不可执行”,此时在Windows XP系统中打开这些文件时,会提示“数据执行保护”并禁止运行。 在Windows系统中,及时运行Windows Update为系统打补丁修补漏洞是很重要的,因为许多病毒都是根据Windows漏洞编写出来的。但是限于国内的网络环境,官方网站的Windows Update网速很慢,此时可以使用第三方更新软件(超级兔子、360安全卫士等都具有类似的功能)以取得较快的速度。,
