电脑还原原理解析

admin管理员组

文章数量:1530845

2024年4月3日发(作者：)

要想实现硬盘还原，需要做到两个步骤：第一步是分析扇区，还原产品通过分区表和文件分

配表，获取当前硬盘哪些扇区是已经使用过的，哪些扇区是暂未使用的。第二步是拦截读写，

还原产品通过还原驱动程序拦截硬盘读写驱动，并改变系统对硬盘的读写，实现对硬盘已经

存在的数据的保护。

举个简单的例子。 Windows要将一段内容写入到硬盘的第100扇区，这时还原驱动会

将它拦截下来，通过还原算法将这段内容转而写入到了硬盘中空闲的第1000扇区，并将这

个扇区映射关系（100→1000）记录下来，这样实际上100扇区原先的内容并未改变。之后

当Windows要读取100扇区时，还原驱动通过查询将1000扇区的内容提交给Windows，

Windows则认为它成功的从100扇区得到了想要的数据。这样对用户甚至Windows来说硬

盘随时都在发生着改变，然而实际上硬盘原有的数据都没有改变。当Windows重新启动后，

包括这个100→1000在内的所有记录都被清除了，在用户和 Windows看来，硬盘没有发生

任何变化，数据被还原了。

目前还原方式不外乎硬件还原和软件还原两种。

那么还原卡和还原软件有什么区别呢？我们一一分析。

现在流行的还原软件大致可分为两种，一种是以冰点为代表的纯驱动还原软件。这一类

的还原软件只有一个驱动程序，在Windows启动过程中加载。这个驱动程序不仅要实现对

硬盘驱动的拦截，它还要在程序加载时完成对硬盘已使用扇区和未使用扇区的分析。它把还

原的两个步骤结合到了一个驱动程序当中。它还舍弃了从 Windows开始启动后，到还原驱

动程序启动前这段时间Windows对硬盘的读写（事实上这段时间几乎没有写操作）。这是实

现还原最简单的方法，简单就会存在安全性的问题，我们后面再分析。

第二种是以还原精灵为代表的类还原卡软件。顾名思义，它们和还原卡很类似，它们的

特点是通过修改硬盘的主引导记录（MBR）来启动还原。启动还原的代码是在安装时写入

到硬盘中去的。我们知道，硬盘都是通过主引导记录来启动的。还原精灵将硬盘原有的主引

导记录保存下来，并改成自己的主引导程序。这样当硬盘启动时，系统就会首先加载还原精

灵的主引导程序。分析扇区这一步就是在这个时候完成的。而同时还原精灵可以做很多事情，

包括分析硬盘扇区，还原，转储（又叫更新硬盘数据）等等，这让它也能实现还原卡的诸多

功能。当还原精灵做完了这些事后，就去加载硬盘原有的主引导记录，开始启动Windows。

然后还是通过驱动程序，完成对硬盘读写的拦截。

还原卡的工作原理和还原精灵类似，也是分两部分，只不过它的启动是通过插在主板PCI

槽上的还原卡来实现的。这种方式启动时间更早，而且也无需修改硬盘的引导区，相比之下

更加安全。还原卡在启动时，同样可以实现转储等功能，甚至还能实现网络对拷，硬盘复制

等附加功能，这些对于拥有多台相同型号电脑的机房来说，非常实用。

了解了这些还原产品的原理后，我们可以对它们做一番比较。（考虑到市场上还原产品

很多，各有特点和附加的功能，所以我们只针对还原相关的功能，对以上三类还原产品做比

较）。

功能比较

纯驱动还原软件的功能都很简单，只有开机还原，和开放还原两个功能。这和它的工作

原理有关。没有引导程序，让它无法执行转储等类似于整理磁盘的功能。当还原驱动处于工

作状态时，就是开机还原；当还原驱动停止工作时，就是开放还原。

类还原卡软件，顾名思义和还原卡很类似。它除了有开机还原和开放还原的功能外，还

包含了继续保持，转储等功能，甚至拥有图形化的开机操作界面。这些功能对于新安装软件

要方便的多。

还原卡则拥有类还原卡软件的所有功能，此外，由于它的启动级别非常高，使它能够实

现对CMOS的保护。这个功能使得还原卡的安全性大大提高了。

性能比较

其实对于现在速度飞快的计算机来说，还原产品对于计算机性能的影响已经可以忽略不

计了。我们还是从产品特点上来分析一下他们的性能差别。

前面我们说过，要实现还原需要两个步骤，分析扇区和拦截读写。纯驱动还原软件功能

最简单，没有保持和转储等功能，这也使它无需将扇区映射关系表保存在硬盘中，直接使用

内存保存，重启后自动消失完成还原。所以它在进入Windows后的效率肯定要比另两种还

原产品要高，毕竟少了很多更费时的硬盘操作。也就是说在拦截读写上，纯驱动还原效率更

高。但是同样因为它不保存数据，所有它每次启动时都要分析扇区。还原卡和类还原卡软件

则只需在安装时和转储后分析扇区，其他时候直接从保存在的硬盘的扇区状态表中读取即

可。所以在启动时纯驱动还原软件要慢一些。

至于还原卡和类还原卡软件，他们的原理都是一样的，效率自然差不多。除非谁的算法更高

明一些。

不过还是那句话，以现在计算机的速度，这些影响你根本感觉不出来。

安全性比较

还原产品作为一种系统安全产品，其安全性肯定是最重要的一个参数。还原卡是否比还

原软件更加安全呢？

我们还是先看纯驱动还原软件，它们的特点是没有引导程序，在驱动程序加载时才起作用，

也就是说，它的安全是在这个时候才开始的。这样一看，它的安全性就比较差了。我们可以

做个试验。先在XP系统下装好冰点，让XP可以正常还原。然后在启动Windows时，按

F8键进入启动菜单，选择“上一次正确配置”进入 Windows。我们可以看到，还原再也不

起作用了。

这是为什么呢？我们知道，选择“上一次正确配置”，Windows会将最近一次成功启动时的

Windows配置文件，覆盖当前的Windows配置文件，这个Windows配置文件包含了注册表。

这个覆盖动作是在驱动程序启动之前完成的，也就是说，这个动作并不在纯驱动还原软件的

保护下。所以它真的被覆盖了，无法再还原了。

那类还原卡软件能否防止“上一次正确配置”的破坏呢？答案是可以的。因为类还原卡

软件的作用时间是从硬盘启动时开始的，这个时间是在F8前面的，所以它能保护。那么它

的安全性就很高了吗？以还原精灵为例，如果我们带了一个启动U盘，在CMOS中将U盘

的启动权限放到硬盘之前，那么我们就能通过U盘启动，而不经过硬盘。既然不经过硬盘，

那么必须通过硬盘MBR启动的还原精灵就没有启动。这时只要执行一下恢复硬盘MBR的

操作（如Fdisk/mbr)，再从硬盘启动就可以发现，还原精灵也不起作用了。

如果对CMOS加密码，防止修改CMOS呢？那就找个在Windows下修改CMOS的工具，

照样改掉。

那么还原卡能防住U盘引导吗？答案是可以！因为现在几乎所有主板的PCI设备启动

本文标签： 还原硬盘启动扇区驱动