配色: 字号:
计算机软件系统故障及维护
2012-06-19 | 阅:  转:  |  分享 
  
具体方法是开机按【F8】键选择“安全模式”,WindowsXP进入安全模式后,打开“开始”菜单,选择“所有程序”→“附件”→“系统工具”→
“系统还原”,选择“恢复我的计算机到一个较早的时间”单选钮,单击【下一步】按钮,选择一个还原点,启动恢复过程,如图13.14所示。
图13.14系统还原即使安全模式也无法进入,但有还原点的话,也可以通过启动ERDCommand或WindowsPE维
护工具选择该还原点还原到原系统中(见图13.15)。图13.15ERDCommand的还原工具可以选择无法启动的Wind
ows系统目录并读取、恢复其中的还原点3.使用安装光盘中的系统升级或修复安装功能在系统中运行安装光盘中的Setup.exe,选
择“安装WindowsXP”,在下一步中选择“升级(推荐)”即可对原系统进行覆盖安装(见图13.16),但是安装光盘上的补丁包应
该与原系统一致或更新(集成SP2补丁的光盘不能用来升级WindowsXPSP3操作系统),否则不能升级。这种覆盖的安装方式可以
解决大多数启动故障、蓝屏、驱动错误、系统运行错误,并且可以保持几乎所有的用户设置不变,但不能清除病毒,也不能修复硬盘非系统分区错误
和硬件问题,在弄不清故障原因时非常值得一试。图13.16升级(覆盖)安装如果原系统无法启动,不能在操作系统中运行setu
p.exe,此时可以从安装光盘启动,先按【Enter】键选择“安装WindowsXP”,按【F8】键同意后,安装程序自动搜索硬盘
上原有操作系统和版本,显示在列表中(见图13.17),高亮选择需要修复的操作系统,按【R】键开始修复,修复过程与全新安装系统时类似
,但修复过后可以直接进入原来的系统。图13.17修复安装WindowsXP4.用Ghost镜像恢复或重新安装系统如果
较早的时间备份了一个系统分区,可以用Ghost恢复,Ghost的用法前面已经介绍过。需要注意,如果原系统安装在C盘(第一个FAT3
2或NTFS分区)以外的其他分区(如D盘),那么D盘的Ghost备份镜像恢复以后,可能仍然无法启动Windows,因为此时Wind
owsXP的启动引导文件NTLDR、ntdetect.com和boot.ini文件依然在C盘中,可能已经损坏,此时需要用上文介绍
的方法进行引导文件的恢复,并激活C盘为启动分区。如果没有备份,最终的办法只能是全新安装系统,此时如果C盘空间足够,可以安装到另一
个文件夹,如C:\Windows2中,原有数据将保持不变;如果C盘空间不够,也可安装到其他分区。安装后系统菜单中出现新的系统选项,
旧系统选项依然存在,可选择进入新系统。进入新系统后,之前安装的系统软件(与注册表联系较多)可能无法使用,此时可以在原路径覆盖安装这
些软件,最后尝试将用户文件夹C:\DocumentsandSettings\xxx(之前使用的用户名)中的文件复制到现在的用户
文件夹中,这样可以恢复一部分系统和软件设置,以及原来使用的桌面。1.优化BIOS和引导设置(1)修改BIOS设置“Quic
kPowerOnSelfTest”:Enabled,加快主板自检速度。“ShowBoot-upLogo”:disab
led,不显示启动Logo。“BootUpFloppySeek”:disabled,不检测软驱,节省启动时间。“Boo
tSequence”:启动顺序,设为“Harddisk”。(2)修改boot.ini设置如果安装了多操作系统,boot.i
ni的默认设置是显示操作系统列表30秒,等待用户选择。可以在“系统属性”→“高级”→“启动和故障恢复”中,选择最常使用的操作系统为
默认启动的操作系统,并适当降低“显示操作系统列表的时间”以提高自动进入操作系统的速度。boot.ini文件中对应的字段如下:[b
ootloader]timeout=30 ’显示操作系统列表的时间default=multi(0)disk(0)
rdisk(0)partition(2)\Windows ’默认启动的操作系统2.缩减注册表体积删除注册表中不必要的项目以减
小注册表“体积”,可以缩短读取、查找注册表的时间,但注册表中哪些信息可以删除很难确定,此时可以借助注册表清理工具进行,优化大师(见
图13.18)是一款Windows优化软件,其中的注册信息清理功能比较实用,可以扫描指定图13.18用优化大师清理注册表
的注册表项,从扫描结果来看,主要包括用户打开文档和运行程序的历史记录、安装系统升级补丁的记录、无效或已卸载的程序安装记录、窗口及菜
单项的位置记录等,扫描完成后单击【全部删除】按钮,按提示备份原注册表并删除扫描到的项目。3.清理驱动程序WindowsXP在
启动过程中需要加载大量驱动程序和服务程序,在启动完成后,这些驱动程序和服务程序大多继续停留在内存中,在系统后台运行。但是除了必须的
底层驱动程序和维持Windows正常运行的服务程序以外,还有许多应用程序安装时加入的驱动程序、服务程序隐藏在系统中,有的甚至已失效
,这必将占用系统资源,影响系统的启动和运行速度。如图13.19所示,右击“我的电脑”→“属性”菜单项→“硬件”选项卡→“设备管理
器”,在菜单栏上单击“查看”,勾选“显示隐藏的设备”。在“设备管理器”窗口中切换到“非即插即用驱动程序”,此时可以看到其他驱动程序
,这些项比硬件设备的驱动程序更多。图13.19查看系统中隐藏的驱动程序若不清楚这些驱动程序的用途,可以使用Autorun
s软件(见图13.20)查看,它囊括了Windows加载的几乎所有驱动程序、服务程序、自启动程序,以注册表键分类,在各选项卡对应的
窗口中,显示项目名称、描述、发行商、映像路径等,另外,右键中还提供在线搜索功能,由此可以准确断定一个启动项的具体作用。图13.
20用Autoruns查看系统的加载项4.停止不必要的服务WindowsXP有很多服务,其中很多是普通用户很少用到的。关
闭不需要的服务,可以节省更多的系统资源,并让计算机运行得更顺畅。这在低配置的机器上非常有效。运行services.msc命令,或打
开“控制面板”→“管理工具”→“服务”,查看系统服务(见图13.21)。图13.21查看系统服务双击服务名称,可以打开“
属性”对话框,可查看该服务的进程名称(.exe)、启动类型和服务状态,并可做相应的修改(见图13.22)。图13.22设置
服务启动类型和状态、了解依存关系5.减少自启动程序如果系统托盘区(任务栏右端)显示大堆的程序图标,这些随系统自动加载的应用程序
都会占据一定的系统资源,同时还会大大延长系统的启动时间,因此应该尽可能地减少自启动程序的数量。运行msconfig命令,打开“系统
配置实用程序”,切换到“启动”选项卡,可看到本机上的应用程序启动项(见图13.23)。图13.23查看和设置应用程序
自启动项13.4.1病毒行为的特点(1)传染性。是指病毒具有把自身复制到其他程序中的特性。计算机病毒一旦进入计算机并得以执
行,会搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,达到自我繁殖的目的。计算机病毒传染的渠道有移动存储器
、计算机网络等。(2)破坏性。任何病毒只要侵入系统,都会对系统及应用程序产生程度不同的影响。轻者会降低计算机工作效率,占用系统资
源,重者可导致系统崩溃。根据破坏性大小,病毒有良性与恶性之分。良性病毒可能只显示些画面或音乐、无聊的语句,目的在于引人注意、哗众取
宠,但会占用系统资源。恶性病毒则有明确目的,往往破坏数据、删除文件、加密或格式化磁盘。(3)非授权性。一般正常的程序是由用户调用
,再由系统分配资源,完成用户交给的任务,其目的对用户是可见、透明的。而病毒除了具有正常程序的一切特性之外,还会隐藏在正常程序中,当
用户调用正常程序时窃取到系统的控制权,先于正常程序执行,病毒的动作、目的对用户是未知的,是未经用户允许的。(4)潜伏性。病毒一
般是具有很高编程技巧、短小精悍的程序,通常附在正常程序中或磁盘较隐蔽的地方,而且受到传染后,计算机系统通常仍能运行,目的是不让用户
发现病毒的存在。有些病毒可长期潜伏在系统中,只有在满足其特定条件时才启动其破坏模块,以求广泛传播。典型的潜伏性病毒一般被病毒程序编
写者设定在某个日期发作,如著名的有26日发作的CIH病毒,13号星期五的“黑色星期五”病毒等。(5)不可预见性。病毒具有不可预见
性,不同种类的病毒代码千差万别,但有些行为是共有的(如驻留内存、植入进程、篡改中断等)。有些杀毒软件声称具有主动防御能力,也就是利
用病毒的这种共性来防治未知病毒,但这种方法时常误报正常程序为病毒,甚至误杀操作系统文件(如Norton的误杀事件导致计算机系统大面
积瘫痪)。而且病毒程序的编写技术也在不断提高,病毒永远是超前于反病毒软件的。(1)蠕虫(Worm)。病毒的子类。通常,蠕虫传播
无须用户操作,可通过网络分发它自己的完整副本(可能有改动和变种)。蠕虫会消耗内存或网络带宽,从而可能导致计算机系统崩溃。与病毒相似
,蠕虫也是设计用来将自己从一台计算机复制到另一台计算机,但是它是自动进行的。首先,它控制计算机上可以传输文件或信息的功能。一旦系统
感染蠕虫,蠕虫即可独自传播。最危险的是,蠕虫可大量复制。例如,蠕虫可向电子邮件地址簿中的所有联系人发送自己的副本,那些联系人的计算
机也将执行同样的操作,结果造成多米诺效应(网络通信负担沉重),使商业网络和整个Internet的速度减慢。(2)特洛伊木马
(Trojan)。一种表面上有用、实际上起破坏作用的计算机程序。在神话传说中,特洛伊木马表面上是“礼物”,但实际上藏匿了袭击特洛伊
城的希腊士兵。现在,特洛伊木马是指表面上是有用的软件、实际目的却是危害计算机安全并导致严重破坏的计算机程序。木马常以电子邮件附件或
与正常软件捆绑安装的形式出现,声称是某些有用的程序,但实际上是一些试图造成破坏的病毒,往往会盗取用户的账号密码等信息。(3)流氓
软件。是介于病毒和正规软件之间的软件,同时具备正常功能(下载、媒体播放等)和恶意行为(开后门、弹广告以获利),给用户带来实质危害。
这类软件往往占用大量的资源,影响计算机正常使用。国内互联网上,此类有害软件特别多,一些网站在提供软件下载时,故意将下载链接篡改成流
氓软件,让用户糊里糊涂安装、不知不觉中招。1.保护并及时更新系统为防止有些病毒损坏BIOS,可以激活BIOSSetup中的
FlashWriteProtect写保护功能,禁止修改BIOS。为防止病毒破坏硬盘上的引导扇区,可以激活BIOSSetup中
BootSectorVirusProtection功能。支持DEP(DateExecutionPrevention,数据
执行保护)功能的CPU可以激活NXtechnology功能,DEP通过处理器的NX(NoeXecute)功能,查找内存中可能会
是病毒的源代码,找到这些数据后,NX将它们都标记为“不可执行”,此时在WindowsXP系统中打开这些文件时,会提示“数据执行保
护”并禁止运行。在Windows系统中,及时运行WindowsUpdate为系统打补丁修补漏洞是很重要的,因为许多病毒都是根据
Windows漏洞编写出来的。但是限于国内的网络环境,官方网站的WindowsUpdate网速很慢,此时可以使用第三方更新软件(
超级兔子、360安全卫士等都具有类似的功能)以取得较快的速度。2.安全地上网把InternetExplorer的“Inte
rnet安全性属性”的安全级别调高。方法是打开菜单栏“工具”→“Internet选项”→“安全”选项卡,选定“Internet”
区域,拖动该区域安全级别中的滑块,单击【确定】按钮即可(见图13.24)。事实上,IE或基于IE核心的浏览器往往更加容易成为黑客和
病毒攻击的目标,实践证明,选用Firefox、Opera等非IE核心的浏览器相对会更安全。图13.24调整IE安全级别浏
览网页时,有时会弹出安全警告(见图13.25),需要安装ActiveX之类的插件,此时应看清楚名称和发行者,一些不安全插件一旦安装
可能很难卸载。图13.25浏览网页时的安全警告3.开启防病毒监控并经常更新病毒库开启杀毒软件的监控功能,保证浏览网
页和下载文件时的安全。病毒库是杀毒软件识别病毒的信息库,为了监控和查杀新病毒,应当经常通过在线更新(见图13.26)或下载升级包的
方式更新杀毒软件的病毒库。杀毒软件长期不更新病毒库,就像警察长时间使用旧的资料库,便很难抓获已经易容的犯罪分子一样。图13.2
6更新Kaspersky杀毒软件的病毒库4.检查计算机是否中毒在检查启动项方面,可以使用Autoruns软件的保存对比功能
,在系统正常时保存所有启动项的Autoruns数据文件(见图13.27)。操作方法:先切换到“全部”选项卡,打开“文件”菜单→“保
存”,在弹出的对话框中指定保存位置和文件名。图13.27保存系统正常时的启动项数据系统异常时对比正常时的启动项列表文件,
打开“文件”菜单→“对比”,选择正常时保存的Autoruns数据文件,当前系统新增加的启动项将会以高亮显示(见图13.28),其中
可能包含病毒启动项。图13.28系统异常时对比启动项以发现新增加的可疑启动项查杀病毒的一般做法是使用杀毒软件或专门针对某
种或几种病毒的专杀工具,但往往虽然扫描到病毒,却仍然无法完全清除或删除(见图13.29),查杀完成重启计算机后,病毒又开始肆虐。
图13.29无法删除的病毒文件1.查杀独立的病毒进程一般的木马和流氓软件,采用1个或多个独立的进程加上注册表启动项,
系统重启动时自动加载,注册表启动项删除后会自动生成,进程在任务管理器中结束后会自动生成。此类病毒一般还会劫持杀毒软件、防火墙的启动
,禁止其运行。对付这类病毒,首先应启动被禁止的杀毒软件。病毒禁止杀毒软件主要是利用了系统注册表中的ImageFileExec
utionOptions(IFEO)项,进行映像劫持。例如,添加下列注册表项和键值可以禁止某些程序的运行,并在用户打开这些程序时
打开别的程序(如病毒):WindowsRegistryEditorVersion5.00[HKEY_LOCAL_MAC
HINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\ImageFileExec
utionOptions\taskmgr.exe]"Debugger"="D:\123.exe"把上面的代码用记事本保存,更
名为xx.reg(后缀名.txt需要修改为.reg),双击导入注册表。以后,每次按Ctrl-Alt-Delete打开任务管理器(t
askmgr.exe)时,都不会弹出任务管理器,而是转而执行123.exe,此文件可以是任意路径下的病毒可执行文件。为了查看注
册表的改动,运行regedit,将HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsN
T\CurrentVersion\ImageFileExecutionOptions注册表项的权限设置为everyone可以
访问(具体方法与设置文件NTFS权限相同,见图13.30),此时可以看到ImageFileExecutionOptions的
分支下有子项taskmgr.exe,其中有Debugger键,键值为D:\123.exe。图13.30映像劫持的实现2.
查杀注入系统进程的病毒此类病毒一般是注入用户进程(explorer.exe等)或系统进程(csrss.exe、smss.exe、
svchost.exe、service.exe、winlogon.exe等)的模块(.dll等),病毒的自启动项一般以服务或驱动程
序的形式出现。要查看进程中的模块信息,可用ProcessExplorer,这是比Windows任务管理器强大得多的进程管理工具
,下载地址http://download.sysinternals.com/Files/ProcessExplorer.zip,读
者可自行搜索汉化版。如图13.31所示,启动软件后,打开“查看”菜单,勾选“显示下级窗格”项,在“查看下级窗格”中勾选“DLLs
”,此时单击选定一个进程,下方窗格中将会显示进程中的模块名称,右击下方窗格标题栏,选择“添加列”,勾选“时间戳”为窗格添加一列“时
间”,在中毒后可以重点排查时间较近和描述、公司名、版本等信息不全的可疑模块。图13.31用ProcessExplorer查
看进程中的模块若文件无法删除,可使用一个小工具Unlocker,下载地址http://ccollomb.free.fr/unlo
cker/。它是一个免费的右键扩充工具,当用户发现有文件或进程无法删除时,可以通过右键菜单中的“Unlocker”进行解锁(见图1
3.32),不过它并非强制关闭进程,而是解除进程与模块的关联,因此不会造成系统崩溃。图13.32用Unlocker解锁和删
除模块3.使用维护盘查杀病毒在DOS启动盘或WindowsPE启动盘系统中查杀病毒比系统正常运行(或安全模式)中杀毒更加有效
,且不用担心病毒感染启动盘。启动维护系统后不要主动去打开本地磁盘分区,更不要执行病毒文件,这样,一般的病毒是不会自动运行的,此时可
以使用维护盘中的杀毒软件进行查杀,WindowsPE中还可以安装前面介绍的各种软件,维护起来更加方便。查杀完成后,应检查核心系
统文件是否被破坏,如损坏则应恢复;若杀毒完成后系统无法启动,可以参照13.2.2节进行修复。13.113.213.313
.4WindowsXP操作系统原理使用系统维护工具系统启动故障的修复病毒防治的一般方法13.1.1Windows
XP的架构特点WindowsXP已不再完整支持16位DOS应用程序,仅有的CMD命令窗口(“开始”→“运行”→“输入CMD”
)也只能执行一些基本DOS命令,对大多数直接控制硬件的16位应用程序是不支持的。从图13.1可以看出,WindowsXP还引入了
用户模式和内核模式,以提高内核稳定性,在与硬件交互时增加了硬件抽象层(HAL)以提供抽象的硬件访问接口,避免了直接操作硬件,这些都
是WindowsXP稳定性的主要保障。图13.1WindowsXP体系结构(1)内核模式(KernelMode)。
当CPU运行于内核模式时,一切程序都可运行。(2)用户模式(UserMode)。在这个模式中,硬件防止特权指令的执行,并对内存
和I/O空间的访问操作进行检查。允许WindowsXP限制程序对各种I/O操作的访问,并捕捉违反系统完整性的任何行为。Wind
ows系统文件夹下文件数量很多,并且随着安装软件的增加而递增。WindowsXP架构中的核心系统文件如表13.1所示。1.预
引导阶段在按下计算机电源到操作系统开始加载第一个文件前这段时间,称为预引导(Pre-Boot)阶段。此时,计算机首先运行Powe
rOnSelfTest(POST),POST检测系统的处理器、内存等硬件设备的状况。所有硬件设备都被自动识别和配置后,BIO
S将会定位引导设备(如硬盘或光驱),然后MBR(MasterBootRecord)被加载并运行。在预引导阶段的最后将加载Win
dowsXP的NTLDR文件。2.引导阶段WindowsXP引导阶段包含4个步骤。Step1.引导载入程序的初始化
NTLDR程序会将处理器由实模式(RealMode)切换为32位平面内存模式(32-bitFlatMemoryMode)。
在实模式下,内存中的前640KB是为MS-DOS保留的,而剩余内存则被当作扩展内存使用,这样WindowsXP将无法使用全部的
物理内存。而32位平面内存模式让WindowsXP能使用计算机上安装的所有内存(由于设计使然,32位Windows操作系统只能使
用2?GB,64位可使用4?GB)。接下来,NTLDR启动内建的微型文件系统驱动(mini-filesystemdrivers
),通过这个步骤,使NTLDR可以识别每一个用NTFS或FAT文件系统格式化的分区,以便发现和加载WindowsXP。Ste
p2.选择操作系统这一步在单操作系统的计算机上不是必须的。如果计算机安装了不止一个操作系统(也就是多操作系统),而且正确设置
了boot.ini,计算机会显示一个操作系统选项,这是NTLDR读取boot.ini的结果,操作系统选项的设置操作步骤是“系统属性
”→“高级”→“启动和故障恢复”,如图13.2所示。图13.2操作系统选项设备例如,安装了WindowsXP和Wind
ows2000的计算机系统分区根目录下的boot.ini中,主要包含以下内容:[bootloader]timeout=30
default=multi(0)disk(0)rdisk(0)partition(1)\Windows[operatings
ystems]multi(0)disk(0)rdisk(0)partition(1)\Windows="MicrosoftWi
ndowsXPProfessional"/fastdetectmulti(0)disk(0)rdisk(0)partiti
on(2)\WINNT="WindowsWindows2000Professional"timeout表示操作系统菜单显示
的时间(秒);default表示如果用户不选择,则默认启动后面指定的操作系统,multi(x)或scsi(x)表示磁盘控制器,di
sk(x)表示SCSI总线号(如果是multi,则x总为0),rdisk(x)表示硬盘编号(如果有多块硬盘,则从0开始依次编号)
,partition(x)表示分区(从1开始编号)。NTLDR从[operatingsystems]中查找WindowsXP
的系统文件夹位置。Step3.硬件检测选择启动WindowsXP后,操作系统选择阶段结束,硬件检测阶段开始。Ntdet
ect.com首先将当前计算机中安装的所有硬件信息收集起来,并列表提交给NTLDR,这个表的信息稍后会被用来创建Windows注册
表中有关硬件的键(HKEY_LOCAL_MACHINE\hardware)。这里需要收集的硬件信息包括:总线/适配器类型、显卡、通
信端口、串口、CPU、存储器、键盘、鼠标等。至此,硬件检测操作完成。Step4.选择硬件配置文件这一步也不是必须的,只有在
计算机中创建了多个硬件配置文件时(常用于笔记本电脑),才会显示配置文件列表,操作步骤为“系统属性”→“硬件”→“硬件配置文件”,见
图13.3。如果用户有一台笔记本电脑,主要在办公室和家里使用,则可以创建两个配置文件以确定禁用或启用哪些设备,如在办公室使用有线网
卡,在家使用无线网卡。在使用该配置文件时,可到设备管理器中启用或禁用相应的网卡。图13.3选择硬件配置文件3.加载内核阶
段在加载内核阶段,NTLDR加载被称为WindowsXP内核的Ntoskrnl.exe。系统加载了WindowsXP内核,但
是没有将它初始化。接着NTLDR加载硬件抽象层(Hal.dll),然后系统继续加载HKEY_LOCAL_MACHINE\syst
em键,NTLDR读取Select键(见图13.4)来决定哪一个ControlSet(控制集)将被加载。控制集包含设备的驱动程序
及需要加载的服务程序。NTLDR加载HKEY_LOCAL_MACHINE\system\ControlSetxxx(编号)\se
rvice\...下start键值为0的底层设备驱动程序。图13.4Select项记录了?4种状态的控制集编号4.初始化内
核阶段Step1.创建Hardware注册表键首先在注册表中创建Hardware键,Windows内核会使用在前面硬件检测
阶段收集到的硬件信息来创建HKEY_LOCAL_MACHINE\Hardware键,也就是说,注册表中该键的内容并不是固定的,而是
根据当前系统中的硬件配置情况动态更新。Step2.对ControlSet注册表键进行复制如果Hardware注册表键创建
成功,那么系统内核将会对ControlSet键的内容创建一个备份。这个备份将被用在系统高级启动菜单的“最后一次正确配置”选项中。
例如,用户安装了一个新的显卡驱动程序,重启动系统之后Hardware注册表键还没有创建成功系统就已经崩溃了,这时如果选择“最后一次
正确配置”选项,系统将会自动使用上一次的ControlSet注册表键的备份内容重新生成Hardware键,这样就可以撤销之前因为
安装了新的显卡驱动程序对系统设置的更改。Step3.载入和初始化设备驱动程序在这一阶段,操作系统内核首先初始化之前在载入
内核阶段加载的底层设备驱动程序,然后内核会在注册表的HKEY_LOCAL_MACHINE\System\CurrentContr
ol\SetServices键下查找所有Start键值为“1”的设备驱动程序。这些设备驱动程序将在加载之后立刻进行初始化,如果在这
一过程中发生任何错误,系统内核将会自动根据设备驱动程序的“ErrorControl”键值进行处理。“ErrorControl”键的
键值共有如下4种:0:忽略,继续引导,不显示错误信息。1:正常,继续引导,显示错误信息。2:恢复,停止引导,使用“最后一次正
确配置”选项重新启动系统。如果依然出错则忽略该错误。3:严重,停止引导,使用“最后一次正确配置”选项重新启动系统。如果依然出错则
会停止引导,并显示一条错误信息。Step4.启动服务系统内核成功加载,并且成功初始化所有底层设备驱动程序后,会话管理器(
SessionManager)通过会话子系统进程(smss.exe)启动高层子系统和服务,然后启动Win32子系统服务进程(cs
rss.exe)并加载Kernel、Advapi32、User32、GDI32等子系统dll。Win32子系统的作用是控制所有输入
/输出设备及访问显示设备。当所有这些操作都完成后,Windows图形界面显示出来,同时将可以使用键盘及其他I/O设备。接下来会话管
理器会启动Windows登录进程(Winlogon.exe),至此,初始化内核阶段成功完成,用户可以开始登录了。5.登录Wi
nlogon.exe启动LocalSecurityAuthority(本地安全授权进程LSASS.exe),同时Windows
XP欢迎屏幕或登录对话框出现,提示输入有效的用户名或密码。这时,系统还可能在后台继续初始化刚才没有完成的驱动程序和服务(SvcH
ost.exe)。只有用户成功登录到计算机并加载所有自启动程序(一般是用户安装的软件)显示桌面(explore.exe)后,Win
dowsXP的启动才被认为是完成了。在成功登录后,系统以当前ControlSet覆盖LastKnownGood编号的Contr
olSet,完成这一步骤后,意味着系统已经成功引导了。13.2.1系统维护盘WindowsPE(Pre-instal
lationEnvironment,预安装环境)是一种保留了核心Windows功能的系统,ERDCommander是基于Win
dowsPE的著名系统维护盘。ERDCommander减去了绝大多数功能,以系统维护软件取而代之,这些维护工具可以直接对操
作维护对象(指定分区内的Windows)进行文件、磁盘分区、注册表、驱动程序和服务、网络配置、系统还原功能、系统补丁、修改管理员密
码等操作。如图13.5所示为ERDCommander操作界面,它与WindowsXP极为相似。图13.5ERDCom
mander系统维护盘启动后的界面Windows98中可以制作功能较强的DOS启动盘,但它已经很少使用。在WindowsXP
系统中,可以制作简单的DOS启动盘,插入一张空白软盘,打开“我的电脑”,右击A盘盘符,再在弹出的菜单中选择“格式化”选项。在弹出的
格式化对话框(见图13.6)中勾选“创建一个MS-DOS启动盘”后单击“开始”按钮,就可以制作一张只含有DOS核心文件io.sys
、msdos.sys、command.com的启动盘,但是这张启动盘不包含DOS命令工具,必须手动复制xcopy.exe、dele
te.exe等命令文件到软盘上。图13.6用WindowsXP格式化命令制作一张简单的DOS启动盘通常,最方便的方法
是下载网上提供的启动维护光盘ISO镜像,例如,比较知名的MAXDOS工具集,网址为http://www.maxdos.net/。下
载光盘版镜像后,可用NeroBurningROM刻录到CD-R,用这张光盘启动维护系统(见图13.7)。图13.7MA
XDOS维护工具集如图13.8所示,进入其DOS模式的“工具箱”之后,将会显示一系列工具的运行命令,如ghost、dm(分区工具
)、mouse(加载鼠标驱动)等,另外DOS命令工具如Format(格式化磁盘)、Fdisk(DOS磁盘分区工具)、dir(显示目
录下的文件)、cd(切换目录)、del(删除文件)、copy(复制文件)等也可以使用。图13.8运行DOS命令和维护工具
例如,当前命令提示符为A:\>,由于系统分区上的NTLDR文件丢失,需要复制A盘上的NTLDR到C盘根目录,并删除C:\123\
123.exe这个病毒文件,命令如下:A:\>ntfsdos(若C盘为NTFS分区,则需加载nftsdos驱动程序才可读/写,M
AXDOS维护盘提供了该驱动程序)A:\>copyNTLDRC:\ (将当前目录A:下的NTLDR文件复制到C:\,按【En
ter】键后屏幕显示1file(s)copied)A:\>C: (改变根目录盘符到C:,下一行命令提示符将变为C:\>)
C:\>cd123 (切换当前目录到C:\123,下一行命令提示符将变为C:\123>)C:\123>del123.exe
(删除123.exe)Windows系统运行时需要修改自身的系统文件(如写注册表),所以用于维护系统的WindowsPE并
不是以只读光盘作为介质运行的。严格地说,WindowsPE只是WindowsXP的精简版,必须安装在硬盘上才能启动。但是由于其
体积小,可将一个安装好的WindowsPE做成启动镜像,在启动光盘时,将该镜像需要修改的系统文件展开装入内存(使用RAMDISK
方式),将这一块内存当作WindowsPE的“硬盘”分区来运行该系统,运行过程中系统修改WindowsPE注册表、用户在“系统
分区”进行的安装程序、修改设置等操作,实际上都直接作用于RAMDISK内存,重启后这一“硬盘”分区都不复存在了。在搜索引擎上搜
索“WinPE维护光盘”等关键字,可以下载到不同定制版本的WindowsPE维护工具ISO,刻录光盘后,从光盘启动,可以进入
与WindowsXP几乎一样的操作界面(见图13.9),维护系统非常方便。图13.9在WindowsPE系统中各种操作
与WindowsXP一样方便13.3.1自检(POST)未通过1.典型的自检错误提示(1)MEMORYTESTFA
IL:内存测试失败,通常发生这种情形大都是因为内存不兼容或故障所致,应先以每次开机使用一条内存的方式分批测试,找出有故障的内存,把
它拿掉或送修即可。(2)KEYBOARDERRORORNOKEYBOARDPRESENT:为键盘错误或没有安装键盘,
很明显这个错误是由键盘引起的,可以通过重新插拔键盘或更换一个新的键盘来检测并解决;对于不需要键盘的计算机(如带触摸屏的展示机或卡拉
OK控制台),可以进入BIOSSetup,将“Halton”一项设为NoErrors(任何非致命错误都不停止自检)或All,
ButKeyboard(任何错误都停止,但没有键盘并不停止),如图13.10所示。图13.10键盘自检设置(3)FL
OPPYDISK(S)FAIL:这个错误是因为软驱导致的,多数是因为软驱连线接错,但目前已很少使用软驱,故此错误多为在CMOS
中对软驱进行了错误设置,如果没有安装软驱,应将DriverA项设置为None或Disabled。(4)HARDDISKDR
IVERFAILURE:这个错误是因为硬盘导致的故障,有可能是硬盘连线或硬盘控制电路存在问题,可通过检测硬盘连线是否插错和更换硬
盘来解决,如果经常出现该现象,则可能是硬盘控制电路板出了问题。(5)CMOSCHECKSUMERROR-DEFAULTSL
OADED:为载入CMOS默认设置CMOS校验错误,这个问题多是因为CMOS电池电量不足导致,更换CMOS电池即可。另外CMOS
batteryfailed错误也是同样的原因。(6)BIOSROMCHECKSUMERROR:是BIOS检测错误的信息
提示,多数是因为BIOSROM损坏导致,可通过刷新BIOS尝试解决,但大部分是因为BIOS模块存在硬性故障导致的问题,那样就只能
通过更换主板来解决了。2.没有明确错误提示的情况(1)POST全部完成后停止不动。这一现象多为硬盘导致,因为POST在自检完
成后将引导系统的工作交给硬盘处理,但是硬盘此时存在故障,不能正常引导,可将硬盘拔下后安装到其他主机,测试它是否有相同故障,或是更换
一个新的硬盘尝试解决。(2)POST检测CPU或内存时停止不动。这一现象多为主板故障,主板不能正常检测CPU类型或内存容量,可尝
试恢复CMOS默认设置,如问题出现在升级内存或CPU后,可尝试重新安装或刷新BIOS来解决。(3)POST检测CPU、内存后,检
测硬盘之前停止不动或自动重启。系统中安装的USB设备(如摄像头、鼠标、键盘等)有问题或无法检测,拔除后再试。(4)POST检测C
PU、内存后,检测硬盘时停止不动或未检测到硬盘而直接跳过。可能有硬盘连接问题,若多次重启后可以检测成功并正常进入系统,则是硬盘出现
隐性硬件故障导致。1.提示ErrorLoadingOperatingSystem或MissingOperatingS
ystem分析:WindowsXP启动过程预引导阶段,POST结束后,需要加载MBR(主引导记录),出现上述提示表示硬盘的MB
R被破坏,或者分区引导记录遭到破坏。可能引起这种现象的原因有:CMOS参数设置错误;硬盘系统分区下的引导文件遭到破坏或丢失。如果多
次出现该错误,可能由于硬盘连线松动或硬盘坏道等原因。解决:如图13.11所示,使用WindowsXP安装光盘,按【R】键启动
到RecoveryConsole(恢复控制台),选择WindowsXP安装文件夹后,输入管理员密码,出现命令提示符,在后面输入
“cd..”切换到C盘(系统分区)根目录,再输入“Fixmbr”,修复主引导记录,还可以输入“Fixboot”命令修复分区引导记录
。如果上述解决方法不奏效,应检查硬件问题。图13.11按【R】键进入恢复控制台2.提示NTLDRismissing或
Ntdetect.com、boot.ini、Ntoskrnl.exe、hal.dll等涉及具体文件的错误信息分析和解决:NTL
DR文件是WindowsXP的引导文件,当此文件无法定位时启动系统会提示丢失,并要求“Press?CTRL+ALT+DEL?to
?restart”。不能正确进入系统的原因可能是:①使用非系统磁盘来启动计算机。如果用一些非系统磁盘启动计算机,如软盘、光盘、
USB移动存储设备等,就可能会出现此问题。解决的方法是取出这些设备,然后重新启动计算机即可。②BIOS中硬盘中的信息被更改,检
测方式设置为手动。由于硬盘信息被篡改,导致系统找不到硬盘中的系统分区,所以就找不到系统分区中的启动文件NTLDR了。只要在BIOS
的“StandardCMOSSetup”中,把硬盘检测方式设置为“Auto(自动)”即可。③系统分区没有被激活。如果用于存
放启动文件(包括boot.ini、NTLDR、Ntdetect.com)的系统分区没有被激活,而是激活了其他主分区,那么就会导致系
统启动时找不到NTLDR文件。解决的方法是用DOS启动盘启动计算机,然后运行Fdisk,选择“Setactivepartiti
on”来激活系统分区,并用Fixboot命令使活动分区成为可启动的分区。④硬盘中的MBR被破坏,导致系统找不到系统分区。解决的
方法是运行Fixmbr命令。⑤只是NTLDR文件误删除或损坏:用WindowsXP安装光盘进入恢复控制台,在命令提示符后输入
:copy?F:\i386\ntldr?c:\ (假设安装光盘在光驱F,并且该安装盘下有i386文件夹)copy?F:\i38
6\ntdetect.com?c:\ (ntdetect.com丢失可用此命令)⑥硬盘硬件故障,解决方法参见第14章。1.出现WindowsXPLogo及进度条时,滚动几圈死机、蓝屏或重启分析和解决:这一阶段,将会读/写注册表,载入和初始化设备驱动程序并启动服务。因为这期间会读/写取大量的文件,首先要排除内存和硬盘的硬件错误;其次可能是注册表损坏,需要重新开机按【F8】键使用“最后一次正确的配置”来启动系统;如果仍然不行,则需要检查最近是否安装了新的硬件驱动程序或者有病毒向系统注册表写入了有害的驱动程序,解决方法是开机按【F8】键进入“安全模式”,此时只会加载最基本的驱动程序,应该可以正常进入操作系统,此时要卸载所有出现问题前新安装的驱动程序,用杀毒软件查杀系统后重新启动。2.WindowsXPLogo及进度条滚动结束后,登录之前死机或重启分析和解决:此阶段系统开始启动高层子系统和服务,其中涉及的重要系统文件有smss.exe、csrss.exe、Kernel.dll、Advapi32.dll、User32.dll、GDI32.dll及Winlogon.exe等。这一阶段出现的问题在排除硬件问题之后,主要是以上文件损坏或被病毒篡改导致,或者安装了错误的软件导致,可进入“安全模式”修复。3.登录时出错但可以进入桌面或无法显示桌面分析和解决:此阶段起作用的系统文件主要是Winlogon.exe、svchost.exe、lsass.exe等,系统将继续启动服务并载入用户配置,如果出现错误,但可进入桌面,此时可打开“控制面板”→“管理工具”→“事件查看器”(见图13.12),查找系统服务和应用程序的错误记录,找到错误后双击查看具体信息,根据描述一般可以了解错误原因并排除。图13.12“事件查看器”可以查看记录的错误1.使用最后一次正确的配置?如果启动错误发生在初始化内核阶段之前,那么开机按【F8】键,尝试用“最后一次正确的配置”(见图13.13)来启动操作系统不失为一个好办法。该功能让用户取消任何在注册表CurrentControlSet键上做出的导致问题的修改,用系统最后一次正常启动的CurrentControlSet键值来取代当前的键值。图13.13使用“最后一次正确的配置”选项2.使用系统还原能够帮助解决WindowsXP启动问题的另一个工具是系统还原。系统还原作为一项服务在后台运行,并且持续监视重要系统组件的变化。当它发现一项改变即将发生,系统还原会立即在变化发生之前,为这些重要组件作一个名为恢复点的备份,而且系统恢复默认的设置是每24个小时创建恢复点。系统自动创建还原点的前提是,系统还原服务开启,可打开“系统属性”→“系统还原”选项卡查看各硬盘分区,特别是系统分区是否在“监视”状态下。
献花(0)
+1
(本文系有事就能解...首藏)