《恶意代码基础与防范（微课版）》 课件 第10章 恶意代码防范技术

恶意代码的防范技术本章学习目标掌握计算机病毒诊断知识掌握计算机病毒防范思路理解计算机病毒清除知识掌握数据备份和数据恢复一、计算机病毒防治技术的现状技术反思一次一次的大面积发生缺陷永无止境的服务库、培训、指导等未知病毒发现有限未知病毒清除的准确性从恢复的角度来考虑二、计算机病毒的防范思路防治技术概括成6个层次：检测清除预防被动防治免疫主动防治数据备份及恢复计算机病毒防范策略三计算机病毒的检测计算机病毒的诊断原理计算机病毒的诊断方法高速模式匹配自动诊断的源码分析计算机病毒的诊断原理用什么来判断？染毒后的特征常用方法：比较法校验和扫描法行为监测法行为感染试验法虚拟执行法陷阱技术先知扫描分析法等等比较法比较法是用原始或正常的对象与被检测的对象进行比较。手工比较法是发现新病毒的必要方法。比较法又包括：注册表比较法工具RegMon弱点:正常程序也操作注册表文件比较法通常比较文件的长度和内容两个方面工具FileMon弱点：长度和内容的变化有时是合法的病毒可以模糊这种变化内存比较法主要针对驻留内存病毒判断驻留特征中断比较法将正常系统的中断向量与有毒系统的中断向量进行比较比较法的好处：简单比较法的缺点：无法确认病毒，依赖备份校验和法首先，计算正常文件内容的校验和并且将该校验和写入某个位置保存。然后，在每次使用文件前或文件使用过程中，定期地检查文件现在内容算出的校验和与原来保存的校验和是否一致，从而可以发现文件是否感染，这种方法叫校验和法，它既可发现已知病毒又可发现未知病毒。优点：方法简单能发现未知病毒被查文件的细微变化也能发现缺点：必须预先记录正常态的校验和会误报警不能识别病毒名称程序执行附加延迟不对付隐蔽性病毒。

扫描法扫描法是用每一种病毒体含有的特定字符串（Signature）对被检测的对象进行扫描。如果在被检测对象内部发现了某一种特定字符串，就表明发现了该字符串所代表的病毒。扫描器由两部分组成：特征串（Signature）和扫描算法（Scanner）选择代码串的规则是：代码串不应含有病毒的数据区，数据区是会经常变化的。在保持唯一性的前提下，应尽量使特征代码长度短些，以减少时间和空间开销。代码串一定要在仔细分析了程序之后才能选出最具代表性的，足以将该病毒区别于其他病毒和该病毒的其他变种的代码串。特征串必须能将病毒与正常的非病毒程序区分开。例如:给定特征串为“E9

7C

00

10

?

37

CB”，则“E9

7C

00

10

27

37

CB”和“E9

7C

00

10

9C

37

CB”都能被识别出来.其优点包括：

（1）当特征串选择得很好时，病毒检测软件让计算机用户使用起来方便快速，对病毒了解不多的人也能用它来发现病毒。

（2）不用专门软件，用编辑软件也能用特征串扫描法去检测特定病毒。

（3）可识别病毒的名称。

（4）误报警率低。

（5）依据检测结果，可做杀毒处理。缺点：

（1）当被扫描的文件很长时，扫描所花时间也较多。

（2）不容易选出合适的特征串，有时会发出假警报。

（3）新病毒的特征串未加入病毒代码库时，老版本的扫毒程序无法识别出新病毒。

（4）怀有恶意的计算机病毒制造者得到代码库后，会很容易地改变病毒体内的代码，生成一个新的变种，使扫描程序失去检测它的能力。

（5）容易产生误警报。只要正常程序内带有某种病毒的特征串，即使该代码段已不可能被执行，而只是被杀死的病毒体残余，扫描程序仍会报警。

（6）不易识别变异类病毒。

（7）搜集已知病毒的特征代码，费用开销大。

（8）在网络上使用效率低。行为监测法利用病毒的特有行为特性来监测病毒的方法称为行为监测法。常用行为：占用INT13H修改DOS系统数据区的内存总量对COM和EXE文件做写入动作写注册表自动联网请求优点：发现未知病毒缺点：难度大、误报警感染实验法这种方法的原理是利用了病毒的最重要的基本特征：感染特性。观察正常程序和可疑程序的表现是非不同。

1．检测未知引导型病毒的感染实验法a.先用一张软盘，做一个清洁无毒的系统盘，用DEBUG程序，读该盘的BOOT扇区进入内存，计算其校验和，并记住此值。同时把正常的BOOT扇区保存到一个文件中。上述操作必须保证系统环境是清洁无毒的b.在这张实验盘上拷贝一些无毒的系统应用程序。c.启动可疑系统，将实验盘插入可疑系统，运行实验盘上的程序，重复一定次数。d.再在干净无毒机器上，检查实验盘的BOOT扇区，可与原BOOT扇区内容比较，如果实验盘BOOT扇区内容已改变，可以断定可疑系统中有引导型病毒。2．检测未知文件型病毒的感染实验法a.在干净系统中制作一张实验盘，上面存放一些应用程序，这些程序应保证无毒，应选择长度不同，类型不同的文件（既有COM型又有EXE型）。记住这些文件正常状态的长度和校验和。b.在实验盘上制作一个批处理文件，使盘中程序在循环中轮流被执行数次c.将实验盘插入可疑系统，执行批处理文件，多次执行盘中程序。d.将实验盘放人干净系统，检查盘中文件的长度和校验和，如果文件长度增加，或者校验和变化，则可断定系统中有病毒。虚拟执行法为了检测多态性病毒，提出了虚拟执行法。它是一种软件分析器，用软件方法来模拟和分析程序的运行。如果发现隐蔽性病毒或多态性病毒嫌疑时，启动虚拟执行模块，监视病毒的运行，待病毒自身的密码译码以后，再运用特征代码法来识别病毒的种类。分析法分析法的目的在于：1．确认被观察的磁盘引导区和程序中是否含有2．确认病毒的类型和种类，判定其是否是一种新病毒。3．搞清楚病毒体的大致结构，提取特征识别用的字符串或特征字，用于增添到病毒代码库供扫描和识别程序用。4．详细分析病毒代码，为制定相应的反病毒措施制定方案。上述方法的总结利用原始备份和被检测程序相比较的方法适合于不需专用软件，可以发现异常情况的场合，是一种简单的基本的病毒检测方法；扫描特征串和识别特征字的方法适用于制作成查病毒软件的方式供广大PC机用户使用，方便而又迅速，但对新出现的病毒会出现漏检的情况，需要与分析和比较法相结合；分析病毒的方法主要是由专业人员识别病毒，研制反病毒系统时使用，要求较多的专业知识，是反病毒研究不可缺少的方法。计算机病毒的诊断方法手工检测工具软件（Debug、UltraEdit、EditPlus、SoftICE、TRW、Ollydbg等）优点：Aver发现并分析新病毒缺点：不可能普及自动检测自动检测是指通过一些自动诊断软件来判断系统是否有毒的方法。优点：易于普及缺点：滞后性自动诊断的源码分析讨论自动诊断病毒（查毒）的最简单方法——特征码扫描法自动诊断程序至少要包括两个部分：病毒特征码（VirusPattern\VirusSignature）库扫描引擎（ScanEngine）。病毒特征码意义重大获得方法手工自动扫描引擎是杀毒软件的精华部分考虑杀毒速度待杀毒文件的类型支持的硬盘格式其他特殊技术虚拟执行行为识别等等ClamAV/Cisco-Talos/clamav-develClamAntiVirus（ClamAV）是免费而且开放源代码的防毒软件，软件与病毒码的更新皆由社群免费发布。目前ClamAV主要是使用在由Linux、FreeBSD等Unix-like系统架设的邮件服务器上，提供电子邮件的病毒扫描服务。ClamAV本身是在文字接口下运作，但也有许多图形接口的前端工具可用，另外由于其开放源代码的特性，在Windows与MacOSX平台都有其移植版。简单的查毒程序VirScan是一个简单的示例程序，其功能：根据病毒特征码发现特定病毒（CIH和Klez）。VirScan从程序入口点开始查找病毒特征码。对抗Klez病毒会卸载杀毒引擎的功能。CIH病毒不会动态地改变程序入口点处的标记，我们可以自接从入口点处开始。Klez病毒会动态的改变程序入口点处的前16个字节，所以，VirScan跳过了前16个字节。构造病毒库virus.pattern病毒库virus.pattern的结构如下：Klez={A1,00,00,00,00,50,64,89,25,00,00,00,00,83,EC,58,53,56,57,89};Cih={55,8D,44,24,F8,33,DB,64,87,03};初始化病毒库转化函数：字符-55；数字-30经过转换后的格式为：unsignedcharKlezSignature[]={0xA1,0x00,0x00,0x00,0x00,0x50,0x64,0x89,0x25,0x00,0x00,0x00,0x00,0x83,0xEC,0x58,0x53,0x56,0x57,0x89};unsignedcharCihSignature[]={0x55,0x8D,0x44,0x24,0xF8,0x33,0xDB,0x64,0x87,0x03};保护VirScan程序首先，编写一个普通的DLL，该DLL将导出一个名字为DontAllowForDeletion的函数。BOOLWINAPIDontAllowForDeletion(LPSTRStr){ HANDLEhFile; if((hFile=CreateFile(Str,GENERIC_READ,FILE_SHARE_READ,NULL,OPEN_EXISTING, FILE_ATTRIBUTE_READONLY,NULL))==INVALID_HANDLE_VALUE){ returnFALSE; } returnTRUE;}然后，在VirScan的启动时，调用DLL的导出函数，实现对VirScan程序的保护。DontAllowDeletion=(DLLFUNC*)GetProcAddress(hLib,"DontAllowForDeletion");DontAllowDeletion(TmpPath));//TmpPath为VirScan在系统中的物理位置病毒查找模块查找前需要定位文件、定位PE入口//查找KlezSetFilePointer(hFile,pCodeBytes+16,NULL,FILE_BEGIN);ReadFile(hFile,pBytes,sizeof(KlezSignature),&ReadBytes,NULL);for(i=0;i<sizeof(KlezSignature);i++){ if(KlezSignature[i]!=pBytes[i]) break;}放在病毒库里较好//查找CIH病毒SetFilePointer(hFile,pCodeBytes,NULL,FILE_BEGIN);ReadFile(hFile,pBytes,sizeof(CihSignature),&ReadBytes,NULL);for(i=0;i<sizeof(CihSignature);i++){ if(CihSignature[i]!=pBytes[i]) break;}演示程序计算机病毒查找实验(实验十五)【实验目的】掌握计算机病毒查找基本原理【实验平台】WindowsXP操作系统VisualStudio6.0应用程序【实验步骤】(1)从下载文件中复制实验文件到实验计算机上(源码位置：附书资源目录\Experiment\Chiklez)。(2)该目录下的DontAllow是防删除功能的动态链接库，事先编译该程序。(3)编译根目录下的程序，生成病毒查找应用程序。(4)运行VirRemv.exe，根据按钮指示操作，体验病毒查找功能。四、计算机病毒的清除清除病毒：将感染病毒的文件中的病毒模块摘除，并使之恢复为可以正常使用的文件的过程称为病毒清除.杀毒的不安全因素：清除过程可能破坏文件有的需要格式化才能清除清除的方法分类引导型病毒的清除原理文件型病毒的清除原理特殊病毒的清除原理引导型病毒的清除原理引导型病毒感染时的破坏行为有：（1）硬盘主引导扇区。（2）硬盘或软盘的BOOT扇区。（3）为保存原主引导扇区、BOOT扇区，病毒可能随意地将它们写入其他扇区，而毁坏这些扇区。（4）引导型病毒发做，执行破坏行为造成种种损坏。根据感染和破坏部位的不同，可以分以下方法进行修复：第一种：硬盘主引导扇区染毒，是可以修复的。（1）用无毒软盘启动系统。（2）寻找一台同类型、硬盘分区相同的无毒机器，将其硬盘主引导扇区写入一张软盘中。将此软盘插入染毒机器，将其中采集的主引导扇区数据写入染毒硬盘，即可修复。第二种：硬盘、软盘BOOT扇区染毒也可以修复。寻找与染毒盘相同版本的无毒系统软盘，执行SYS命令，即可修复。第三种：引导型病毒如果将原主引导扇区或BOOT扇区覆盖式写入根目录区，被覆盖的根目录区完全损坏，不可能修复。

第四种：如果引导型病毒将原主引导扇区或BOOT扇区覆盖式写入第一FAT表时，第二FAT表未破坏，则可以修复。可将第二FAT表复制到第一FAT表中。

第五种：引导型病毒占用的其他部分存储空间，一般都采用“坏簇”技术和“文件结束簇”技术占用。这些被空间也是可以收回的。文件型病毒的消毒原理覆盖型文件病毒清除该型病毒是一种破坏型病毒，由于该病毒硬性地覆盖掉了一部分宿主程序，使宿主程序被破坏，即使把病毒杀掉，程序也已经不能修复。覆盖型外的文件病毒原则上都可以被清除干净根据感染的逆过程来清除清除交叉感染病毒交叉感染：有时一台计算机内同时潜伏着几种病毒，当一个健康程序在这个计算机上运行时，会感染多种病毒，引起交叉感染。清除的关键：搞清楚多种病毒的感染顺序按感染先后次序的逆序清楚病毒3病毒2病毒1头部宿主文件尾部头部宿主文件尾部病毒1病毒2病毒3感染顺序：病毒1--〉病毒2-–〉病毒3在杀毒时：病毒3--〉病毒2-–〉病毒1计算机病毒的清除方法手工清除病毒的方法使用Debug、Regedit、SoftICE和反汇编语言等简单工具进行跟踪，清除的方法。优点：可以处理新病毒或疑难病毒（Worm等）缺点：需要高技术，复杂自动清除病毒方法使用杀毒软件自动清除染毒文件中的病毒代码，使之复原。优点：方便，易于普及缺点：滞后、不能完全奏效五、预防技术（被动）计算机监控技术计算机监控技术（实时监控技术）：注册表监控脚本监控内存监控邮件监控文件监控等优点：解决了用户对病毒的“未知性”，或者说是“不确定性”问题。实时监控是先前性的，而不是滞后性的。监控病毒源技术邮件跟踪体系例如，消息跟踪查寻协议（MTQP-MessageTrackingQueryProtocol）网络入口监控防病毒体系通用个人防火墙例如，TVCS-TrendVirusControlSystem个人防火墙技术个人防火墙以软件形式安装在最终用户计算机上，阻止由外到内和由内到外的威胁。个人防火墙不仅可以监测和控制网络级数据流，而且可以监测和控制应用级数据流，弥补边际防火墙和防病毒软件等传统防御手段的不足个人防火墙和边际防火墙的区别：个人可以监测和控制应用级数据流。云查杀技术云计算（cloudcomputing），一种分布式计算技术，其最基本的概念，是透过网络将庞大的计算处理程序自动分拆成无数个较小的子程序，再交由多部服务器所组成的庞大系统经搜寻、计算分析之后将处理结果回传给用户。旧的依赖客户个人计算机的杀毒模式可能已经走到了尽头。现在提出的所谓“云安全”其实就是把原来放在客户端的分析计算能力转移到了服务器端，从而使得客户端变轻了。六、免疫技术（主动）免疫的原理传染模块要做传染条件判断病毒程序要给被传染对象加上传染标识在正常对象中自动加上这种标识，就可以不受病毒的传染，起到免疫的作用1．针对某一种病毒进行的计算机病毒免疫把感染标记写入文件和内存，防止病毒感染缺点:对于不设有感染标识的病毒不能达到免疫的目的。当出现这种病毒的变种不再使用这个免疫标志时，或出现新病毒时，免疫标志发挥不了作用。某些病毒的免疫标志不容易仿制，非要加上这种标志不可，则对原来的文件要做大的改动。不可能对一个对象加上各种病毒的免疫标识。这种方法能阻止传染，却不能阻止已经感染的病毒的破坏行为。2．基于自我完整性检查的计算机病毒的免疫方法。为可执行程序增加一个免疫外壳，同时在免疫外壳中记录有关用于恢复自身的信息。执行具有这种免疫功能的程序时，免疫外壳首先得到运行，检查自身的程序大小、校验和，生成日期和时间等情况，没有发现异常后，再转去执行受保护的程序。这种免疫方法可以看作是一种通用的自我完整性检验方法。缺点和不足：（1）每个受到保护的文件都要增加1KB-3KB，需要额外的存储空间。（2）现在使用中的一些校验码算法不能满足防病毒的需要，被某些种类的病毒感染的文件不能被检查出来。（3）无法对付覆盖方式的文件型病毒。（4）有些类型的文件不能使用外加免疫外壳的防护方法，这样将使那些文件不能正常执行。（5）当某些尚不能被病毒检测软件检查出来的病毒感染了一个文件，而该文件又被免疫外壳包在里面时，这个病毒就像穿了“保护盔甲”，使查毒软件查不到它，而它却能在得到运行机会时跑出来继续传染扩散。数字免疫系统数字免疫系统主要包括封闭循环自动化网络防病毒技术和启发式侦测技术。前者是一个后端基础设施，可以为企业级用户提供高级别的病毒保护。后者则可以自动监视可疑行为，为网络防病毒产品对付未知病毒提供依据。系统加固（主动）系统加固技术系统加固是防黑客领域的基本问题，主要是通过配置系统的参数（如服务、端口、协议等）或给系统打补丁来减少系统被入侵的可能性。常见的系统加固工作主要包括：安装最新补丁；禁止不必要的应用和服务；禁止不必要的账号；去除后门；内核参数及配置调整；系统最小化处理；加强口令管理；启动日志审计功能等。七、数据备份与数据恢复重要性2001年，美国纽约世贸中心大楼发生爆炸。一年后，350家原本在该楼工作的公司再回来的只有150家，其它很多企业由于无法恢复对其业务至关重要的数据而被迫倒闭。美国纽约世贸中心遭受恐怖主义分子袭击之后，世贸中心最大的主顾之一摩根斯坦利宣布，双子楼的倒塌并没有给公司和客户的关键数据带来重大损失。摩根斯坦利精心构造的远程防灾系统，能够实时将重要的业务信息备份到几英里之外的另一个数据中心。大楼倒塌之后，该数据中心立刻发挥作用，保障了公司业务的继续运行，有效降低了灾难对于整个企业发展的影响，摩根斯坦利在第二天就进入了正常的工作状态。摩根斯坦利几年前就制订的数据安全战略，在这次大劫难中发挥了令人瞩目的作用。a-人为原因b-软件原因c-盗窃d-硬件的毁坏e-计算机病毒f-硬件故障数据丢失原因调查

在病毒清除工作越来越困难的今天，数据备份和恢复成了计算机病毒防治技术的一个核心问题数据备份--个人PC备份策略一、备份个人数据所谓个人数据就是用户个人劳动的结果，包括自己制作的各种文档、编制的各种源代码、下载或从其他途径获取的有用数据和程序等等。养成良好存放的习惯：拒绝所有的缺省位置个人数据集中存放经常备份这些数据养成良好的定期备份习惯二、备份系统重要数据磁盘的分区表、主引导区、引导区等重要区域的数据。三、注册表的备份系统把它物理地分为两个文件:USER.DAT(用户设置)和SYSTEM.DAT(系统设置)。备份方式：系统自动备份USER.DAT-〉USER.DAOSYSTEM.DAT-〉SYSTEM.DAOC:\WINDOWS\SYSBCKUP目录中以CAB文件格式备份了最近五天开机后的系统文件。其备份文件名分别是rb000.cab、rb001.cab、rb002.cab、rb003.cab和rb005.cab。（可用Windows自带的Scanreg.exe命令）手工备份Cfgback.exe、手工备份两个文件、导出注册表四、OUTLOOK数据的备份首先，应对注册表的相关部分备份。Hkey-current-user\Software\Microsoft\InternetAccountManager\Accounts然后，还要对目录文件进行备份。%windows%\applicationdata\microsoft\outlook最后，通讯簿的备份。五、Foxmail数据的备份比OutLook简单六、即时消息数据的备份1.备份MESSAGES(历史数据)2.备份ADDRESSBOOK(地址数据)七、输入法自定义词组的备份1.中文五笔输入法中自定义词组的备份C:\Windows\System\wbx.emb2.智能拼音输入法中自定义词组的备份C:\WINDOWS\SYSTEM\tmmr.rem3.微软拼音输入法中自定义词组的备份C:\Windows\pjyyP.UPT八、IE收藏夹和NN书签的备份IE收藏夹C:\Windows\Favorites文件夹NN书签将其saveas为一个html文件数据备份--系统级备份策略

一、数据备份需求分析关键服务器的地位越来越重要，需要备份造成系统失效的主要原因有以下几个方面：硬盘驱动器损坏，由于一个系统或电器的物理损坏导致文件、数据的丢失；人为错误，人为删除一个文件或格式化一个磁盘（占数据灾难的80%）；黑客的攻击，黑客侵入计算机系统，破坏计算机系统；病毒，使计算机系统感染，甚至损坏计算机数据；自然灾害，火灾、洪水或地震也会无情地毁灭计算机系统；电源浪涌，一个瞬间过载电功率损害计算机驱动器上的文件；磁干扰，生活、工作中常见的磁场可以破坏磁碟中的文件。建立完整的网络数据备份系统必须考虑以下内容：计算机网络数据备份的自动化，以减少系统管理员的工作量；使数据备份工作制度化、科学化；对介质管理的有效化，防止读写操作的错误；对数据形成分门别类的介质存储,使数据的保存更细致、科学；自动介质的清洗轮转,提高介质的安全性和使用寿命；以备份服务器形成备份中心，对各种平台的应用系统及其他信息数据进行集中的备份，系统管理员可以在任意一台工作站上管理、监控、配置备份系统，实现分布处理，集中管理的特点；维护人员可以容易地恢复损坏的整个文件系统和各类数据；备份系统还应考虑网络带宽对备份性能的影响，备份服务器的平台选择及安全性，备份系统容量的适度冗余，备份系统良好的扩展性等因素。二、备份设备的选择常用的存储介质类型有：磁盘、磁带、光盘和MO（磁光盘）等。1.四种磁带技术的比较Dat螺旋扫描、4mm、高强金属带、20GBDlt高强金属带、40GBLto开放标准、100GB8mm螺旋扫描、高速2、数据备份的容量计算网络中的总数据量，q1；数据备份时间表（即增量备份的天数），假设用户每天作一个增量备份，周末作一个全备份，d=6天每日数据改变量，即q2期望无人干涉的时间，假定为3个月，m=3数据增长量的估计，假定每年以20%递增，i=20%考虑坏带，不可预见因素，一般为30%，假定u=30%通过以上各因素考虑，可以较准确地推算出备份设备的大概容量为：

c=[（q1+q2*d）*4*m*(1+i)]*（1+u）三、分析应用环境、选择备份管理软件大型数据库自动备份功能缺陷包括：但它们既不能实现自动备份，而且只能将数据备份到磁带机或硬盘上，不能驱动磁带库等自动加载设备。现有产品：legatonetworker、caarcserve、hpopenviewomnibackii、ibmadsm及veritasnetbackup等四、存储备份策略备份策略可以确定需备份的内容、备份时间及备份方式。目前被采用最多的备份策略主要有以下三种：1、完全备份（full

backup）2、增量备份（incremental

backup）3、差分备份（differential

backup）差分备份即备份上一次完全备份后产生和更新的所有新的数据。差分备份的恢复简单：系统管理员只需要对两份备份文件进行恢复，即完全备份的文件和灾难发生前最近的一次差分备份文件，就可以将系统恢复。增量备份恢复复杂。在实际应用中，备份策略通常是以上三种的结合。例如每周一至周六进行一次增量备份或差分备份，每周日进行全备份，每月底进行一次全备份，每年底进行一次全备份。五、项目实施过程应注意的问题1、统计备份客户机信息了解各台备份主机的系统配置、备份数据量、备份方式（文件、数据库在线）、允许的备份时间窗口，每日数据增量等信息。2、做好培训工作3、制定备份策略制定备份日程表制定备份客户机分组方案制定备份卷分组方案配置各客户机选项其它选项配置：包括管理员设置，数据远程恢复权限设置，设备并行流设置，设备自动管理选项，数据压缩选项等4、日常维护有关问题硬件（磁带磁头等）、软件维护数据恢复数据恢复正常数据恢复灾难数据恢复所谓灾难数据恢复是指由于各种原因导致数据损失时把保留在介质上的数据重新恢复的过程。即使数据被删除或硬盘出现故障，只要在介质没有严重受损的情况下,数据就有可能被完好无损地恢复。重要性一、灾难数据恢复的分类软件恢复由病毒感染、误分区、误格式化等造成的数据丢失，仍然有可能使用第三方软件来恢复硬件恢复至于硬件恢复，如修复盘面划伤、磁组撞毁、芯片以及其他元器件烧坏等都成为硬件恢复二、数据可恢复的前提如果被删除的文件已经被其他文件取代，或者文件数据占用的空间已经分配给其他文件，那么该文件就不可能再恢复了。电子碎纸机就是利用这种原理来设计的。如果硬件或介质损坏严重，也是不可能恢复的。三、出现数据灾难时如何处理如果是由病毒感染、误分区、误格式化等原因造成的数据丢失，这将关系到整块硬盘数据的存亡，千万不要再用该硬盘进行任何操作，更不能继续往上面写任何数据，而应马上找专业人员来处理；如果是由硬件原因造成的数据丢失（如硬盘受到激烈振动而损坏），则要注意事故发生后的保护工作，不应继续对该存储器反复进行测试，否则，将造成永久性的损坏！四、低难度数据恢复1.如果怀疑硬盘有故障，先检查信号线和电源是否插好，或将硬盘挂接到另一台正常机器上，用BIOS检测，如果还是无法检测到硬盘，就是硬件故障。2.如果怀疑分区损坏，可用Fdisk命令观察，如无任何分区显示即表示已被破坏。3.如果怀疑硬盘电路板有故障，可以找一个相同型号的好硬盘更换电路板。4.如果是硬盘分区损坏、误格式化或误删除，可以将该硬盘挂接到另一台正常机器上作为第二个硬盘，用Easyrecovery或Finaldata数据恢复软件抢救数据。五、高难度数据恢复第一，分区表破坏原因：1.个人误操作删除分区，只要没有进行其它的操作完全可以恢复