硬盘有价而数据无价，现在越来越多的用户有这样的概念，但是只有在真正遇到数据危机时才会有切身的感受，尽管存储在各种磁盘中的计算机数据如此重要，但由于技术和工艺的原因，任何存储设备都存在毁损的风险。运行环境的改变和恶化，违规操作或折磨式操作，病毒的破坏和黑客的入侵，以及难以避免的各种异常情况，都可能导致存储设备报废和软件系统崩溃。

　　不少朋友都认为，数据恢复是一项专业性很强的工作，需要对磁盘结构和文件系统有透彻的了解，真的有那么神秘么？其实针对一些简单的软件类数据丢失，我们自己动手就能解决问题，不仅可以省下一大笔费用，而且对自己的电脑水平的提高也是一个难得的机会。今天小编就和大家聊一下关于一些数据回复的解决办法。

　　一旦遭遇数据危机，保持一份从容不迫的心态非常重要，出现手忙脚乱的情况则很可能造成更大的破坏，让本来可以恢复的数据变得无法挽救。事实上，自己独立挽救万元价值的数据并非是天方谭谈，只要掌握一些操作技巧并方法得当，大家完全可能会扮演拯救数据危机的英雄角色。

　　■数据丢失,对症下药

　　对症下药，哪些数据可以挽救？数据出现问题主要包括两大类:逻辑问题和硬件问题，相对应的恢复也分别称为软件恢复和硬件恢复。软件恢复是指通过软件的方式进行数据修复，整个过程并不涉及硬件维修。而导致数据丢失的原因往往是病毒感染、误格式化、误分区、误克隆、误删除、操作断电等。
　　
　软件类故障的特点为:无法进入操作系统、文件无法读取、文件无法被关联的应用程序打开、文件丢失、分区丢失、乱码显示等。事实上，造成软件类数据丢失的原因十分复杂，每种情况都有特定的症状出现，或者多种症状同时出现。一般情况下，只要数据区没有被彻底覆盖，个人用户通过一些特定的软件，基本上都可以顺利恢复。

　　以最普通的删除操作为例，实际上此时保存在硬盘中的文件并没有被完全覆盖掉，通过一些特定的软件方法，能够按照主引导区、分区、DBR、FAT，最后文件实体恢复的顺序来解决；当然也应客观承认的是，尽管软件类数据恢复有很多细节性的技巧与难以简单表达的经验，但是也的确存在现有软件恢复技术无能为力的情况。如果硬盘中的数据被完全覆盖或者多次被部分覆盖，很可能使用任何软件也无法修复。

　　■开机时突然断电，重启后找不到系统

　　相信不少朋友都遇到过这种情况,在我们使用电脑是突然断电，重新开机时能够检测到硬盘，但是不能进入到系统，或者提示“DISK BOOT FAILURE,INSERT SYSTEN DISK AND PRESS ENTER”。

　　像这种情况一般都是硬盘主引导区故障，其实只需要几分钟便可以搞定。此类故障大约占据整体软件故障的30%以上，所以学会对付这类问题的解决方法可谓掌握了一个有效的杀手锏。另外要提醒大家的是，如果开机自检后提示“Miss operation system”而且DOS下可以看到C盘完整内容，这也是属于主引导区故障。

　　对于这一类软件故障，我们完全可以自已解决。大家可以用软盘启动系统。然后键入“C:”，看看能否读取C盘的内容。造成这一情况比较复杂，根据主引导区破坏程度的不同，C盘能否被读取也不能确定。如果C盘中的数据可以读出的话，那么大家只要使用Fdisk/mbr命令进行无条件重写主引导区一般都能成功，而且可以保留原有的数据。值得注意的是，运行 Fdisk/mbr命令时系统是没有任何反应的，但实际上它已经起了作用，因为硬盘分区表的数据量很小，写入时间几乎让人感觉不到。

　　当然，即便不能读取C盘，我们也可以使用Fdisk/mbr命令。事实上Fdisk/mbr的作用十分明显，也能对付一些主引导区病毒，大家可以好好利用，这堪称是对付硬盘在BIOS中可以识别而DOS下无法操作的第一件工具；除了Fdisk的这一隐藏参数，大家还可以使用Fixmbr这款DOS下的小工具。在DOS下直接执行该文件之后，系统会自动检查分区表结构，经过用户确认之后，它就开始自动修复。与Fdisk/mbr命令相比，Fixmbr具有更好的效果，很多Fdisk/mbr命令不能解决的主引导区问题都能被它轻松搞定。

　　■使用PQ Magic合并分区，文件丢失

　　故障：硬盘空间分配不合理,使用分区软件从新分区，或者合并分区，导致文件丢失，或者无法打开。

　　这种故障一般都是分区表错误引起的，分区表故障在各种软件故障中也属于常见的，这里推荐大家使用由我们国产的DiskGenius软件。该软件可以直接在纯DOS环境下运行，而且采用直观的中文界面，因此它对于英文不好的用户而言是最佳的选择。

　　将DiskGenius软件复制到DOS启动盘之后可以直接运行，进入DiskGenius的主界面后，按下F10就能轻松地自动恢复硬盘分区表，而且这一招非常有效。DiskGenius将首先搜索0柱面0磁头从2扇区开始的隐含扇区，寻找被挪动过的分区表。然后搜索每个磁头的第一个扇区，其中搜索过程可以采用“自动”与“交互”两种方式进行。

　　自动方式适用于大多数情况，建议大家选择这种方案。通过以上对主引导区以及分区表的修复，大家才可能让一个遭受严重破坏的硬盘得以在Windows下正确看到分区，进而为其他操作打下坚实的基础。

　　手动修复:在部分情况下，可能任何软件都无法找到备份的分区表，此时只能手动修改。手动修改将完全凭借经验，在WinHex等软件下直接操作分区表数据。使用WinHex打开磁盘后。其中从“80”开始到“55AA”结束的DPT硬盘分区表相当关键，我们这里截图展示的硬盘分区表是完好的，因此并不需要修改。

　　但是对于一个已经被破坏的分区表而言，其结束位置可能完全错乱，此时大家可以通过寻找下一个“55AA”标志来确定，因为下一个分区开始的位置向前推移一个扇区就是上一个分区的结束的位置。根据所得到的磁头、扇区和柱面数字再折算成16进制，然后使用WinHex回写即可。此外，在寻找下一个“55AA”的过程中可能会碰到很多干扰项，建议根据硬盘分区的容量结合判断。手写恢复分区表的整个过程需要拥有大量的实战经验，大家可以进一步深入学习。

　　■无法打开分区,提示“该分区未格式化”

　　故障：正常使用时突然某个盘符不能打开,提示“该分区未格式化”

　　毫无疑问，直接重新格式化就能够解决问题，所以如果这个分区里没有比较重要的文件资料等，小编强烈建议您直接格式化硬盘，既简单，但是如果里面有比较重要的文件不能丢失的话，这里还有一个捷径，但是不一定都有效，大家可以找另外一台电脑，将坏的硬盘当作从盘挂在那台电脑上，进入系统后看一下可不可以打开，如果还不行的话，那我们就要用到WinHex改写DBR模板了。

　　使用时建议将存在问题的硬盘作为从盘挂接。然后直接打开 WinHex后选择该硬盘，而不要选择分区，这样就能使用硬盘中分区表信息来处理分区，从而巧妙绕过DRB信息。接下来的任务就非常简单了，直接在右上方的“访问”下拉列表中选择DBR故障的分区，然后打开“起始扇区模板”。需要注意的是对于FAT32和NTFS分区，其标准模板都是不同的，要看准了再选。

　　■零磁道损坏，硬盘无法启动

　　对于磁盘而言，零磁道是最为关键的地方，因为硬盘的分区表信息就在其中。一旦零磁道损坏，那么硬盘将无法启动。其实零磁道损坏只是物理坏道的特殊情况，所不同的只是损坏之处十分敏感。

　这里推荐给大家的是一款名为效率源的磁盘访问工具。它是目前对付坏道时比较常用的软件其特点在于能够针对扇区进行复制。以一块80GB硬盘为例，如果我们已经知道所需要的重要数据在最后一个分区，且最后一个分区的容量为20GB，那么在效率源软件中直接让起始复制扇区定位在大约70%的位置，终止位置为最后，这样在复制过程中将会避开前面的部分。

　很多时候，物理坏道都是连续出现，而我们所需要的数据可能并没有存储在危险的坏道上。然而操作系统对于硬盘的读取过程比较特殊，一旦存在大量坏道就有可能无法识别硬盘分区。通过效率源软件，大家可以轻而易举地突破这些限制，而且该软件本身就带有强力复制功能和相应的校验算法。

　　■分区被误操作格式化或者误克隆

　　当我们发现文件丢失或文件被同名文件覆盖，甚至分区被误操作格式化以及误克隆之后，就需要采用磁盘扫描的方法来进行数据恢复。

　　由于误操作而导致的文件丢失在软件类数据恢复中很常见，当在磁盘上删除一些数据后，被删除的地方只不过做了一个可覆盖标记，数据并没有真正被删除。但是再次写入的话，不一定立即覆盖刚刚删除的地方，因此可以使用磁盘扫描的方法来恢复数据，但数据一旦被其他数据所覆盖，就很难做到将被删除数据完全恢复。

　　这里推荐大家使用Easy Recovery和Final Data。由于Easy Recovery和Final Data在针对分区表等故障时有着一套独特的处理方法，可以自动使用内定的方式来扫描文件，因此结合起来使用往往可以带来惊喜。

　　EasyRecovery使用Ontrack公司复杂的模式识别技术找回分布在硬盘上不同地方的文件碎块，并根据统计信息对这些文件碎块进行重整。接着 EasyRecovery在内存中建立一个虚拟的文件系统并列出所有的文件和目录。哪怕整个分区都不可见或者硬盘上只有非常少的分区维护信息, EasyRecovery仍然可以高质量地找回文件。

　　能用EasyRecovery找回数据、文件的前提就是硬盘中还保留有文件的信息和数据块。但在进行删除文件、格式化硬盘等操作后，再对该分区内写入大量新信息时，这些需要恢复的数据就很有可能被覆盖了!这时，无论如何都是找不回想要的数据了。所以，为了提高数据的修复率，就不要再对要修复的分区或硬盘进行新的读写操作。如果要修复的分区恰恰是系统启动分区，就要马上退出系统，用另外一个硬盘来启动，然后在用软件进行回复。

　　■小编总结

　　以上的几条硬盘数据丢失，基本上我们用户都可以自己尝试一下，使用不同的软件进行恢复，不一定全部管用，但是如果我们不试的话就完全没有机会，或者说需要花钱进行专业恢复，但是小编感觉，前提是我们硬盘里有对于我们比较重要的数据或者文件等，否则如果只是一些正常的电影或者MP3文件的话小编建议，就不要进行数据恢复了，直接格式化重做系统最简单了。

wow防盗号相关，账号安全必看

1. 目前有2个专门的WOW盗号木马，已经证实多数防火墙和杀毒软件无法发现，至少目前诺顿和瑞星是无法查杀的。
2. 经过研究此种木马主要是通过首先攻击其他网站，在其他网站内插入一个隐藏的无大小连接到他的木马页，以及各类下载中，也就是他的最后目的还是要安装在你机器内才能实施盗号。这个网页连接到木马页的病毒几乎所有防火墙都会报警，但是大部分不能阻止你下载木马，也就是你发现报警时，你已经中了，而目前的杀毒软件对于新的木马还不能识别。
3. 这个木马的原理是只要你运行WOW输入账号密码，他就会自动截取你输入的账号和密码发送到指定的邮箱。

防御方法：
1. 这是已经证实可以查出WOW木马的金山杀毒软件的免费在线查毒。
http://scan.kingsoft.com/
你只要每天在上游戏前看论坛的同时打开5分钟检查一下自己的机器，基本可以查到，这是免费和不计次数的。
这是可以免费使用15天的金山杀毒软件下载，如果你查出来可以用他杀掉
http://db.kingsoft.com/db2005/#001
2. 我们会关注各大杀毒软件公司的主页，因为每个杀毒软件公司查杀的病毒都有进度问题，金山和瑞星在网络游戏这方面比较侧重，而最著名的诺顿对于网络游戏的木马并不是很突出。我们会及时提醒大家。这是瑞星的在线查毒。
http://online.rising.com.cn/free/index.htm

事后弥补：
1. 目前九城针对WOW盗号严重，已经开放了每年一次的恢复服务。这是地址：
http://www.wowchina.com/support/ingame7.htm

每天上游戏前花5分钟检查下机器，可以保证你的账号安全，尤其是在网吧上网的

与盗号者的对话
中国电脑教育报 杨浩

　　游戏ID被盗；QQ密码被改；邮箱被人登录……这些情况你是否遇到过？虽然你不想，但总有那么一些“盗贼”围绕着你。我一个朋友的传奇ID被盗了n次，不但装备全失，最后竟连人物也给删掉了，他现在对盗号者深恶痛绝。下面我们就让“盗号者”与“防盗者”来一次“实话实说”吧，看看到底是道高一尺，还是魔高一丈。

　　盗号者：各位，我是一名盗号者，并不是我成心和大家过不去，只因有前辈将我的号给盗了，无奈！我只能盗别人的号补偿我自己了（找借口给盗号行为作托词，也不能博取同情）。

　　我的常用方法有：

　　1. 当你输入ID密码时，我正悄悄地站在你后面偷看，并暗自记下。这可是最普通且有效的盗号方法了（这种形式，谁不会盗呀！）。

　　2. 在网吧内，为每一台电脑安装上后台程序（如冰河、键盘幽灵等）。在服务器端控制冰河客户端的计算机，使用暴力关闭形式，强行关掉你当前使用的程序，游戏也好，QQ也好！你一定会抱怨网吧的电脑系统问题，并重新打开程序，输入ID，哈哈……这就中计了！这时候冰河的键盘记录功能开始生效了。你输入的账号以及密码都会自动传给我了。如果使用“键盘幽灵”更方便，可以完全记录使用者的键盘操作过程，等你用完了计算机，我再调出键盘记录，研究里面的日志文件，你的ID准能被我找到。

　　3. 听说还有一种方法更绝！在使用完电脑10分钟左右，输入过的账号和密码会驻留与内存中，如果懂得使用Debug命令，并对汇编语言有一定了解的人，马上可以把你刚才输入过的账号和密码从内存中调出来。

　　防盗者：盗取ID的现象一般出现在网吧等公众场合，如果你在家里上网，密码都被人“盗”了，那可真是够“衰”的。好了，下从两方面来谈谈如何防盗。 

　　非技术性防止盗号

　　1. 既然盗号者采取偷看盗取的手段，那输入密码时，要看看你背后或者旁边是否有人在窥视，建议先左右环顾一圈。

　　2. 在输入ID密码时，通常情况可以采用粘贴复制的方法，比如：你可以将密码写入QQ的个人文件里，需要时，直接复制过来。这样就可以有效防范“按键精灵”形式的木马。或者输入密码时，采取乱序输入，譬如密码是sever1980，可以先输入1980；再用鼠标将热点指到最前方，再输入server。 

　　3. 遇到程序被异常关闭时，不要立即重新进入，可以先看看网页，做些别的事情然后再继续。

　　4. 使用完计算机以后，最好是重新启动一次，清空内存中的信息。

　　技术性防止盗号

　　1. 删除含密码信息的存档文件，这些文件是一些记录文件，删除后不会影响系统的其他程序。以QQ为例，在使用后会在QQ的目录里留下以QQ号码为名称的文件夹，里面就包含用户的密码。再以游戏“传奇”为例，在游戏目录的DATA文件夹里，有登录者的相关信息，包括密码。在使用完计算机以后，删除相应的遗留文件，就可以很好地保护ID，但对程序不够了解的人不建议这么做，以免会误删其他的文件。

　　2. 安装使用工具软件，病毒防火墙，杀毒软件是必不可少的。除此之外，网络上还有很多专用于防止盗号的软件，如：网吧密码防盗专家、眼睛专杀工具等等。它们主要是针对一些专用于盗取ID的木马程序制作，即使计算机已经感染木马，它也可以以伪装的形式，防止木马窃取ID。

　　最后给大家提个醒，如果是使用公共计算机（这里的公共计算机主要指：网吧计算机、图书馆计算机等由多人使用的计算机）一定要格外小心。使用自己的计算机上网的朋友也应该注意，木马无处不在，来自网上的东西应该小心处理。

来源：赛迪网

　　在这将着重介绍一下Windows系统的Svchost.exe和Explorer.exe两种进程，作为Windows系统中两种重要的进程，下面我们就来看看他们的特点以及在各个操作系统中的应用。

　　Explorer

　　在Windows系列的操作系统中，运行时都会启动一个名为Explorer.exe的进程。这个进程主要负责显示系统桌面上的图标以及任务栏，它在不同的系统中有不同的妙用。

　　Explorer在Windows 9x中的应用

　　在Windows 9x中，这个进程是运行系统时所必需的。如果用“结束任务”的方法来结束Explorer.exe进程，系统就会刷新桌面，并更新注册表。所以，我们也可以利用此方法来快速更新注册表。方法如下：

　　按下Ctrl+Alt+Del组合键，出现“结束任务”对话框。在该对话框中选择“Explorer”选项，然后单击“结束任务”按钮，将出现“关闭Windows”对话框。单击“否”按钮，系统过一会儿将出现另一个对话框，告诉你该程序没有响应，询问是否结束任务。单击“结束任务”按钮，则更新注册表并返回Windows 9x系统环境中。这比起烦琐的重新启动过程要方便多了？

　　Explorer在Windows 2000/XP中的应用

　　在Windows 2000/XP和其他Windows NT内核的系统中，Explorer.exe进程并不是系统运行时所必需的，所以可以用任务管理器来结束它，并不影响系统的正常工作。打开你需要运行的程序，如记事本。然后右击任务栏，选择“任务管理器”，选中“进程”选项卡，在窗口中选择

　　Explorer.exe进程，单击“结束进程”按钮，，接下来桌面上除了壁纸(活动桌面Active Desktop的壁纸除外)，所有图标和任务栏都消失了。此时你仍可以像平常一样操作一切软件。

　　如果你想运行其他软件，但此时桌面上空无一物，怎么办？别着急，下面有两种可以巧妙地打开其他软件：

　　第一种方法：按下Ctrl+Alt+Del组合键，出现“Windows安全”对话框，单击“任务管理器”按钮(或是直接按下Ctrl+Shift+Esc组合键)，在任务管理器窗口中选中“应用程序”选项卡，单击“新任务”，在弹出的“创建新任务”的对话框中，输入你想要打开的软件的路径和名称即可。

　　你还可以在正在运行的软件上，选择“文件→打开”，在“打开”对话框中，点击“文件类型”下拉列表，选择“所有文件”，再浏览到你想打开的软件，右击它，在快捷菜单中选择“打开”命令，就可以启动你需要的软件了。注意，此时不能够通过单击“打开”按钮来打开软件，此种方法适用于大多数软件，Office系列除外。

　　通过结束Explorer.exe进程，还可以减少4520KB左右的系统已使用内存，无疑会加快系统的运行速度，为资源紧张的用户腾出了宝贵的空间。

Svchost.exe

　　Svchost.exe是NT核心系统的非常重要的进程，对于2000、XP来说，不可或缺。很多病毒、木马也会调用它。所以，深入了解这个程序，是玩电脑的必修课之一。

　　大家对Windows操作系统一定不陌生，但你是否注意到系统中“Svchost.exe”这个文件呢？细心的朋友会发现Windows中存在多个 “Svchost”进程（通过“ctrl+alt+del”键打开任务管理器，这里的“进程”标签中就可看到了），为什么会这样呢？下面就来揭开它神秘的面纱。

　　在基于NT内核的Windows操作系统家族中，不同版本的Windows系统，存在不同数量的“Svchost”进程，用户使用“任务管理器”可查看其进程数目。一般来说，Win 2000有两个Svchost进程，Win XP中则有四个或四个以上的Svchost进程（以后看到系统中有多个这种进程，千万别立即判定系统有病毒了哟），而Win 2003 server中则更多。这些Svchost进程提供很多系统服务，如：rpcss服务（remote procedure call）、dmserver服务（logical disk manager）、dhcp服务（dhcp clieNT）等

　　如果要了解每个Svchost进程到底提供了多少系统服务，可以在Win 2000的命令提示符窗口中输入“tlist -s”命令来查看，该命令是Win 2000 support tools提供的。在Win XP则使用“tasklist /svc”命令。

　　Svchost中可以包含多个服务

　　Windows系统进程分为独立进程和共享进程两种，“Svchost.exe”文件存在于“%systemroot% system32”目录下，它属于共享进程。随着Windows系统服务不断增多，为了节省系统资源，微软把很多服务做成共享方式，交由 Svchost.exe进程来启动。

　　但Svchost进程只作为服务宿主，并不能实现任何服务功能，即它只能提供条件让其他服务在这里被启动，而它自己却不能给用户提供任何服务。那这些服务是如何实现的呢？

　　原来这些系统服务是以动态链接库（dll）形式实现的，它们把可执行程序指向 Svchost，由Svchost调用相应服务的动态链接库来启动服务。那Svchost又怎么知道某个系统服务该调用哪个动态链接库呢？这是通过系统服务在注册表中设置的参数来实现。

　　从启动参数中可见服务是靠Svchost来启动的。

　　因为Svchost进程启动各种服务，所以病毒、木马也想尽办法来利用它，企图利用它的特性来迷惑用户，达到感染、入侵、破坏的目的（如冲击波变种病毒“w32.welchia.worm”）。但Windows系统存在多个Svchost进程是很正常的，在受感染的机器中到底哪个是病毒进程呢？这里仅举一例来说明。

　　假设Windows XP系统被“w32.welchia.worm”感染了。正常的Svchost文件存在于“c:Windowssystem32”目录下，如果发现该文件出现在其他目录下就要小心了。“w32.welchia.worm”病毒存在于“c:Windowssystem32Win s”目录中，因此使用进程管理器查看Svchost进程的执行文件路径就很容易发现系统是否感染了病毒。

　　Windows系统自带的任务管理器不能够查看进程的路径，可以使用第三方进程管理软件，如“Windows优化大师”进程管理器，通过这些工具就可很容易地查看到所有的Svchost进程的执行文件路径，一旦发现其执行路径为不平常的位置就应该马上进行检测和处理。