1、計(jì)算機(jī)病毒防治技術(shù)本章的學(xué)習(xí)目的 了解計(jì)算機(jī)病毒防治的現(xiàn)狀 掌握常用病毒防治技術(shù) 了解病毒防治技術(shù)的缺陷 掌握典型病毒防治方法 防治技術(shù)概括成四個(gè)方面： 檢測 去除 預(yù)防 被動防治 免疫 自動防治本章內(nèi)容 病毒防治技術(shù)現(xiàn)狀病毒防治技術(shù)現(xiàn)狀 目前的流行技術(shù)目前的流行技術(shù) 病毒防治技術(shù)的缺陷病毒防治技術(shù)的缺陷 數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)數(shù)據(jù)備份與數(shù)據(jù)恢復(fù) 驅(qū)動程序設(shè)計(jì)驅(qū)動程序設(shè)計(jì)病毒防治技術(shù)現(xiàn)狀病毒防治技術(shù)現(xiàn)狀 防病毒產(chǎn)品的歷史 一對一的防病毒產(chǎn)品 防病毒卡 本身不被感染 但不能清楚磁盤病毒 90年代中期，查殺防合一 90年代末期開場，推出了實(shí)時(shí)防病毒產(chǎn)品 新時(shí)期的防病毒產(chǎn)品趨勢 反黑客技術(shù)與反病毒技術(shù)相

2、結(jié)合 從入口攔截病毒網(wǎng)絡(luò)入口、系統(tǒng)入口 全面處理方案 個(gè)性化定制后期效力 區(qū)域化到國際化病毒防治技術(shù)的幾個(gè)階段第一代反病毒技術(shù)采取單純的病毒特征診斷，但是對加密、變形的新一代病毒無能為力。第二代反病毒技術(shù)采用靜態(tài)廣譜特征掃描技術(shù)，可以檢測變形病毒，但是誤報(bào)率高，殺毒風(fēng)險(xiǎn)大。第三代反病毒技術(shù)將靜態(tài)掃描技術(shù)和動態(tài)仿真跟蹤技術(shù)相結(jié)合。第四代反病毒技術(shù)基于多位CRC校驗(yàn)和掃描機(jī)理、啟發(fā)式智能代碼分析模塊、動態(tài)數(shù)據(jù)復(fù)原模塊能查出隱蔽性極強(qiáng)的緊縮加密文件中的病毒、內(nèi)存解毒模塊、本身免疫模塊等先進(jìn)解毒技術(shù)，可以較好地完成查解毒的義務(wù)。第五代反病毒技術(shù)主要表達(dá)在反蠕蟲病毒、惡意代碼、郵件病毒等技術(shù)。這一代反病

3、毒技術(shù)作為一種整體處理方案出現(xiàn)，構(gòu)成了包括破綻掃描、病毒查殺、實(shí)時(shí)監(jiān)控、數(shù)據(jù)備份、個(gè)人防火墻等技術(shù)的立體病毒防治體系。目前的流行技術(shù)目前的流行技術(shù) 虛擬機(jī)技術(shù)虛擬機(jī)技術(shù) 宏指紋識別技術(shù)宏指紋識別技術(shù) 驅(qū)動程序技術(shù)驅(qū)動程序技術(shù) 計(jì)算機(jī)監(jiān)控技術(shù)計(jì)算機(jī)監(jiān)控技術(shù) 數(shù)字免疫系統(tǒng)數(shù)字免疫系統(tǒng) 網(wǎng)絡(luò)病毒防御技術(shù)網(wǎng)絡(luò)病毒防御技術(shù) 立體防毒技術(shù)立體防毒技術(shù) 虛擬機(jī)技術(shù)虛擬機(jī)技術(shù) 接近于人工分析的過程 原理 用程序代碼虛擬出一個(gè)CPU來，同樣也虛擬CPU的各個(gè)存放器，甚至將硬件端口也虛擬出來，用調(diào)試程序調(diào)入“病毒樣本并將每一個(gè)語句放到虛擬環(huán)境中執(zhí)行，這樣我們就可以經(jīng)過內(nèi)存和存放器以及端口的變化來了解程序的執(zhí)行，從

4、而判別能否中毒。 加密、變形等病毒 主要執(zhí)行過程： 在查殺病毒時(shí)，在機(jī)器虛擬內(nèi)存中模擬出一個(gè)“指令執(zhí)行虛擬機(jī)器； 在虛擬機(jī)環(huán)境中虛擬執(zhí)行不會被實(shí)踐執(zhí)行可疑帶毒文件； 在執(zhí)行過程中，從虛擬機(jī)環(huán)境內(nèi)截獲文件數(shù)據(jù)，假設(shè)含有可疑病毒代碼，那么闡明發(fā)現(xiàn)了病毒。 殺毒過程是在虛擬環(huán)境下摘除可疑代碼，然后將其復(fù)原到原文件中，從而實(shí)現(xiàn)對各類可執(zhí)行文件內(nèi)病毒的殺除。宏指紋識別技術(shù)宏指紋識別技術(shù) 宏指紋識別技術(shù)Macro Finger是基于Office復(fù)合文檔BIFF格式準(zhǔn)確查殺各類宏病毒的技術(shù)。 其特點(diǎn)是： 1、可以查殺Word、Excel、PowerPoint等各類Office文檔中的宏病毒； 2、可以查出W

5、ord、Excel、PowerPoint加密文件中的宏病毒； 3、可以去除文檔中未知名的宏，因此，從實(shí)際上來說可以查殺一切的未知宏病毒； 4、可以修復(fù)部分宏病毒或其他不合格殺毒產(chǎn)品破壞過的Office文檔。驅(qū)動程序技術(shù)驅(qū)動程序技術(shù) DOS設(shè)備驅(qū)動程序 VxD虛擬設(shè)備驅(qū)動是微軟專門為Windows制定的設(shè)備驅(qū)動程序接口規(guī)范。 NT中心驅(qū)動程序 WDMWindows Driver Model是Windows驅(qū)動程序模型的簡稱。 作用：開發(fā)監(jiān)控程序、接近系統(tǒng)內(nèi)核的程序32位內(nèi)核技術(shù)位內(nèi)核技術(shù) 首先，32位較16位大大擴(kuò)展了內(nèi)存尋址空間，這是顯而易見的，但就反病毒技術(shù)而言，這一問題以前并沒有引起我們足

6、夠的注重。 其次，16位運(yùn)用程序無法實(shí)現(xiàn)多義務(wù)、多線程調(diào)度。 系統(tǒng)支持問題。計(jì)算機(jī)監(jiān)控技術(shù)計(jì)算機(jī)監(jiān)控技術(shù) 計(jì)算機(jī)監(jiān)控技術(shù)實(shí)時(shí)監(jiān)控技術(shù)： 注冊表監(jiān)控 腳本監(jiān)控 內(nèi)存監(jiān)控 郵件監(jiān)控 文件監(jiān)控等 優(yōu)點(diǎn)： 處理了用戶對病毒的“未知性，或者說是“不確定性問題。 實(shí)時(shí)監(jiān)控是先前性的，而不是滯后性的。監(jiān)控病毒源技術(shù)監(jiān)控病毒源技術(shù) 郵件跟蹤體系 例如，音訊跟蹤查尋協(xié)議MTQP-Message Tracking Query Protocol 網(wǎng)絡(luò)入口監(jiān)控防病毒體系 例如，TVCS-Trend Virus Control System無縫銜接技術(shù)無縫銜接技術(shù) 嵌入式殺毒技術(shù) 無縫銜接是在充分掌握系統(tǒng)的底層協(xié)議和接

7、口規(guī)范的根底上，開發(fā)出與之完全兼容的產(chǎn)品的技術(shù)。 運(yùn)用實(shí)例 右鍵快捷方式 硬盤格式的支持 Office套件的支持等自動內(nèi)核技術(shù)自動內(nèi)核技術(shù) 在操作系統(tǒng)和網(wǎng)絡(luò)的內(nèi)核中參與反病毒功能，使反病毒成為系統(tǒng)本身的底層模塊，而不是一個(gè)系統(tǒng)外部的運(yùn)用軟件是自動內(nèi)核技術(shù)。 運(yùn)用難度大 開源 非開源 檢查緊縮文件技術(shù)檢查緊縮文件技術(shù) 緊縮文件是病毒的重要藏身地之一。 殺毒思緒： 第一種：緊縮病毒碼 第二種：先解壓后查毒需求虛擬執(zhí)行技術(shù)啟發(fā)式代碼掃描技術(shù)啟發(fā)式代碼掃描技術(shù) 啟發(fā)式指的“自我發(fā)現(xiàn)的才干或“運(yùn)用某種方式或方法去斷定事物的知識和技藝。 一個(gè)運(yùn)用啟發(fā)式掃描技術(shù)的病毒檢測軟件，實(shí)踐上就是以特定方式實(shí)現(xiàn)的動態(tài)

8、跟蹤器或反編譯器，經(jīng)過對有關(guān)指令序列的反編譯逐漸了解和確定其蘊(yùn)藏的真正動機(jī)。 例如，一段程序以如下序列開場： MOV AH, 5 INT 13h 該程序?qū)崿F(xiàn)調(diào)用格式化盤操作的BIOS指令功能，那么這段程序就高度可疑值得引起警惕， 尤其是假設(shè)這段指令之前不存在獲得命令行關(guān)于執(zhí)行的參數(shù)選項(xiàng)，又沒有要求用戶交互地輸入繼續(xù)進(jìn)展的操作指令時(shí)，可以有把握地以為這是一個(gè)病毒或惡意破壞的程序。 可疑的功能： 格式化磁盤類操作 搜索和定位各種可執(zhí)行程序的操作 實(shí)現(xiàn)駐留內(nèi)存的操作 發(fā)現(xiàn)非常的或未公開的系統(tǒng)功能調(diào)用的操作等等。 不同的操作賦予不同的權(quán)值 免疫技術(shù)免疫技術(shù) 免疫的原理免疫的原理 傳染模塊要做傳染條件判

9、別傳染模塊要做傳染條件判別 病毒程序要給被傳染對象加上傳染標(biāo)識病毒程序要給被傳染對象加上傳染標(biāo)識 黑色星期五黑色星期五 在正常對象中自動加上這種標(biāo)識，就可以在正常對象中自動加上這種標(biāo)識，就可以不受病毒的傳染，起到免疫的作用不受病毒的傳染，起到免疫的作用 計(jì)算機(jī)病毒免疫的方法計(jì)算機(jī)病毒免疫的方法 1針對某一種病毒進(jìn)展的計(jì)算機(jī)病毒免疫針對某一種病毒進(jìn)展的計(jì)算機(jī)病毒免疫 把感染標(biāo)志寫入文件和內(nèi)存，防止病毒感染 缺陷: 對于不設(shè)有感染標(biāo)識的病毒不能到達(dá)免疫的目的。 當(dāng)出現(xiàn)這種病毒的變種不再運(yùn)用這個(gè)免疫標(biāo)志時(shí)，或出現(xiàn)新病毒時(shí)，免疫標(biāo)志發(fā)揚(yáng)不了作用。 某些病毒的免疫標(biāo)志不容易仿制，非要加上這種標(biāo)志不可，那

10、么對原來的文件要做大的改動。 不能夠?qū)σ粋€(gè)對象加上各種病毒的免疫標(biāo)識。 這種方法能阻止傳染，卻不能阻止曾經(jīng)感染的病毒的破壞行為。 2基于自我完好性檢查的計(jì)算機(jī)病毒的免疫方法。 為可執(zhí)行程序添加一個(gè)免疫外殼，同時(shí)在免疫外殼中記錄有關(guān)用于恢復(fù)本身的信息。 執(zhí)行具有這種免疫功能的程序時(shí)，免疫外殼首先得到運(yùn)轉(zhuǎn)，檢查本身的程序大小、校驗(yàn)和，生成日期和時(shí)間等情況，沒有發(fā)現(xiàn)異常后，再轉(zhuǎn)去執(zhí)行受維護(hù)的程序。 這種免疫方法可以看作是一種通用的自我完好性檢驗(yàn)方法。 缺陷和缺乏： 1每個(gè)遭到維護(hù)的文件都要添加1KB-3KB，需求額外的存儲空間。 2如今運(yùn)用中的一些校驗(yàn)碼算法不能滿足防病毒的需求，被某些種類的病毒感染

11、的文件不能被檢查出來。 3無法對付覆蓋方式的文件型病毒。 4有些類型的文件不能運(yùn)用外加免疫外殼的防護(hù)方法，這樣將使那些文件不能正常執(zhí)行。 5當(dāng)某些尚不能被病毒檢測軟件檢查出來的病毒感染了一個(gè)文件，而該文件又被免疫外殼包在里面時(shí)，這個(gè)病毒就像穿了“維護(hù)盔甲，使查毒軟件查不到它，而它卻能在得到運(yùn)轉(zhuǎn)時(shí)機(jī)時(shí)跑出來繼續(xù)傳染分散。數(shù)字免疫系統(tǒng)數(shù)字免疫系統(tǒng) 數(shù)字免疫系統(tǒng)主要包括封鎖循環(huán)自動化網(wǎng)絡(luò)防病毒技術(shù)和啟發(fā)式偵測技術(shù)。 前者是一個(gè)后端根底設(shè)備，可以為企業(yè)級用戶提供高級別的病毒維護(hù)。 后者那么可以自動監(jiān)視可疑行為，為網(wǎng)絡(luò)防病毒產(chǎn)品對付未知病毒提供根據(jù)。 數(shù)字免疫系統(tǒng)還可以將病毒處理方案廣泛發(fā)送到被感染的P

12、C機(jī)上。 數(shù)字免疫系統(tǒng)的超流量控制。立體防毒技術(shù)立體防毒技術(shù) 全方位的要挾-立體防病毒體系 立體防毒體系將計(jì)算機(jī)的運(yùn)用過程進(jìn)展逐層分解，對每一層進(jìn)展分別控制和管理，從而到達(dá)病毒整體防護(hù)的效果。 該體系經(jīng)過安裝殺毒、破綻掃描、病毒查殺、實(shí)時(shí)監(jiān)控、數(shù)據(jù)備份、個(gè)人防火墻、游戲維護(hù)等多種病毒防護(hù)手段，將電腦的每一個(gè)平安環(huán)節(jié)都監(jiān)控起來，從而全方位地維護(hù)了用戶電腦的平安。廣譜特征碼廣譜特征碼 是對特征碼法的改動，本質(zhì)上一樣。 在特征碼中參與掩碼等。網(wǎng)絡(luò)病毒防御技術(shù)網(wǎng)絡(luò)病毒防御技術(shù) 網(wǎng)絡(luò)的復(fù)雜性-網(wǎng)絡(luò)病毒防御技術(shù) 用戶桌面、任務(wù)站、效力器、Internet網(wǎng)關(guān)和病毒防火墻等各個(gè)層次進(jìn)展防護(hù)： 用戶桌面的防護(hù)

13、：桌面系統(tǒng)和遠(yuǎn)程PC是主要的病毒感染源。 Internet網(wǎng)關(guān)的防護(hù)。群件和電子郵件是網(wǎng)絡(luò)中重要的通訊聯(lián)絡(luò)線。 防火墻的防護(hù)。在防火墻上過濾多種協(xié)議的病毒。 基于任務(wù)站的防治技術(shù)。任務(wù)站就像是計(jì)算機(jī)網(wǎng)絡(luò)的大門，只需把好這道大門，才干有效防止病毒的侵入。 基于效力器的防治技術(shù)。網(wǎng)絡(luò)效力器是計(jì)基于效力器的防治技術(shù)。網(wǎng)絡(luò)效力器是計(jì)算機(jī)網(wǎng)絡(luò)的中心。算機(jī)網(wǎng)絡(luò)的中心。 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的管理。管理手段，而非加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的管理。管理手段，而非技術(shù)手段。技術(shù)手段。 技術(shù)被動防御，管理上積極自動技術(shù)被動防御，管理上積極自動 硬件設(shè)備及軟件系統(tǒng)的運(yùn)用、維護(hù)、管理、硬件設(shè)備及軟件系統(tǒng)的運(yùn)用、維護(hù)、管理、效力等各個(gè)環(huán)

14、節(jié)制定出嚴(yán)厲的規(guī)章制度效力等各個(gè)環(huán)節(jié)制定出嚴(yán)厲的規(guī)章制度 對管理員及用戶加強(qiáng)法制教育和職業(yè)品德對管理員及用戶加強(qiáng)法制教育和職業(yè)品德教育教育 應(yīng)有專人擔(dān)任詳細(xì)事務(wù)，跟蹤行業(yè)新技術(shù)應(yīng)有專人擔(dān)任詳細(xì)事務(wù)，跟蹤行業(yè)新技術(shù) 先進(jìn)的網(wǎng)絡(luò)多層病毒防護(hù)戰(zhàn)略具有三個(gè)特點(diǎn)： 層次性 在用戶桌面、效力器、Internet網(wǎng)關(guān)以及病毒防火墻安裝適當(dāng)?shù)姆蓝静考?，以網(wǎng)為本、多層次地最大限制地發(fā)揚(yáng)作用。 集成性 一切的維護(hù)措施是一致的和相互配合的，支持遠(yuǎn)程集中式配置和管理。 自動化 系統(tǒng)能自動更新病毒特征碼數(shù)據(jù)庫、殺毒戰(zhàn)略和其它相關(guān)信息。挪動通訊工具和挪動通訊工具和PDA的殺毒技術(shù)的殺毒技術(shù) 全新的領(lǐng)域 目前已有部分公司例

15、如，Trend micro、Mcafee、F-Secure等推出這類產(chǎn)品。病毒防治技術(shù)的缺陷病毒防治技術(shù)的缺陷 技術(shù)反思技術(shù)反思 一次一次的大面積發(fā)生一次一次的大面積發(fā)生 缺陷缺陷 永無盡頭的效力永無盡頭的效力 庫、培訓(xùn)、指點(diǎn)等庫、培訓(xùn)、指點(diǎn)等 未知病毒發(fā)現(xiàn)未知病毒發(fā)現(xiàn) 有限未知有限未知 病毒去除的準(zhǔn)確性病毒去除的準(zhǔn)確性 從恢復(fù)的角度來思索從恢復(fù)的角度來思索數(shù)據(jù)備份與數(shù)據(jù)恢復(fù)數(shù)據(jù)備份與數(shù)據(jù)恢復(fù) a-人為緣由 b-軟件緣由 c-盜竊 d-硬件的毀壞 e-計(jì)算機(jī)病毒 f-硬件缺點(diǎn)數(shù)據(jù)喪失緣由調(diào)查 在病毒去除任務(wù)越來越困難的今天，數(shù)據(jù)備份和恢復(fù)成了計(jì)算機(jī)病毒防治技術(shù)的一個(gè)中心問題數(shù)據(jù)備份數(shù)據(jù)備份-個(gè)

16、人個(gè)人PC備份戰(zhàn)略備份戰(zhàn)略一、備份個(gè)人數(shù)據(jù)所謂個(gè)人數(shù)據(jù)就是用戶個(gè)人勞動的結(jié)果，包括本人制造的各種文檔、編制的各種源代碼、下載或從其他途徑獲取的有用數(shù)據(jù)和程序等等。養(yǎng)成良好存放的習(xí)慣：回絕一切的缺省位置個(gè)人數(shù)據(jù)集中存放經(jīng)常備份這些數(shù)據(jù)養(yǎng)成良好的定期備份習(xí)慣 二、備份系統(tǒng)重要數(shù)據(jù) 磁盤的分區(qū)表、主引導(dǎo)區(qū)、引導(dǎo)區(qū)等重要區(qū)域的數(shù)據(jù)。 三、注冊表的備份 系統(tǒng)把它物理地分為兩個(gè)文件:USER.DAT(用戶設(shè)置)和SYSTEM.DAT(系統(tǒng)設(shè)置)。 備份方式： 系統(tǒng)自動備份 USER.DAT -USER.DAO SYSTEM.DAT -SYSTEM.DAO C:WINDOWSSYSBCKUP目錄中以CAB文

17、件格式備份了最近五天開機(jī)后的系統(tǒng)文件。其備份文件名分別是rb000.cab、rb001.cab、rb002.cab、rb003.cab和rb005.cab。可用Windows自帶的Scanreg.exe命令 手工備份 Cfgback.exe、手工備份兩個(gè)文件、導(dǎo)出注冊表 四、OUTLOOK數(shù)據(jù)的備份 首先，應(yīng)對注冊表的相關(guān)部分備份。Hkey-current-userSoftwareMicrosoftInternet AccountManagerAccounts 然后，還要對目錄文件進(jìn)展備份。 %windows%application datamicrosoftoutlook 最后，通訊簿的備份

18、。 五、Foxmail數(shù)據(jù)的備份 比OutLook簡單 六、即時(shí)音訊數(shù)據(jù)的備份 1.備份MESSAGES(歷史數(shù)據(jù)) 2.備份ADDRESS BOOK(地址數(shù)據(jù)) 七、輸入法自定義詞組的備份 1.中文五筆輸入法中自定義詞組的備份 C:WindowsSystemwbx.emb 2.智能拼音輸入法中自定義詞組的備份 C:WINDOWSSYSTEMtmmr.rem 3.微軟拼音輸入法中自定義詞組的備份 C:WindowspjyyP.UPT 八、IE收藏夾和NN書簽的備份 IE收藏夾 C:WindowsFavorites文件夾 NN書簽 將其save as為一個(gè)html文件 數(shù)據(jù)備份數(shù)據(jù)備份-系統(tǒng)級備

19、份戰(zhàn)略系統(tǒng)級備份戰(zhàn)略一、數(shù)據(jù)備份需求分析一、數(shù)據(jù)備份需求分析 關(guān)鍵效力器的位置越來越重要，需求備份 呵斥系統(tǒng)失效的主要緣由有以下幾個(gè)方面： 硬盤驅(qū)動器損壞，由于一個(gè)系統(tǒng)或電器的物理損壞導(dǎo)致文件、數(shù)據(jù)的喪失； 人為錯(cuò)誤，人為刪除一個(gè)文件或格式化一個(gè)磁盤占數(shù)據(jù)災(zāi)難的80%； 黑客的攻擊，黑客侵入計(jì)算機(jī)系統(tǒng)，破壞計(jì)算機(jī)系統(tǒng)； 病毒，使計(jì)算機(jī)系統(tǒng)感染，甚至損壞計(jì)算機(jī)數(shù)據(jù)； 自然災(zāi)禍，火災(zāi)、洪水或地震也會無情地消滅計(jì)算機(jī)系統(tǒng)； 電源浪涌，一個(gè)瞬間過載電功率損害計(jì)算機(jī)驅(qū)動器上的文件； 磁干擾，生活、任務(wù)中常見的磁場可以破壞磁碟中的文件。 建立完好的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)必需思索以下內(nèi)容： 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)備份的自

20、動化，以減少系統(tǒng)管理員的任務(wù)量； 使數(shù)據(jù)備份任務(wù)制度化、科學(xué)化； 對介質(zhì)管理的有效化，防止讀寫操作的錯(cuò)誤； 對數(shù)據(jù)構(gòu)成分門別類的介質(zhì)存儲,使數(shù)據(jù)的保管更細(xì)致、科學(xué)； 自動介質(zhì)的清洗輪轉(zhuǎn),提高介質(zhì)的平安性和運(yùn)用壽命； 以備份效力器構(gòu)成備份中心，對各種平臺的運(yùn)用系統(tǒng)及其他信息數(shù)據(jù)進(jìn)展集中的備份，系統(tǒng)管理員可以在恣意一臺任務(wù)站上管理、監(jiān)控、配置備份系統(tǒng)，實(shí)現(xiàn)分布處置，集中管理的特點(diǎn)； 維護(hù)人員可以容易地恢復(fù)損壞的整個(gè)文件系統(tǒng)和各類數(shù)據(jù)； 備份系統(tǒng)還應(yīng)思索網(wǎng)絡(luò)帶寬對備份性能的影響，備份效力器的平臺選擇及平安性，備份系統(tǒng)容量的適度冗余，備份系統(tǒng)良好的擴(kuò)展性等要素。二、二、 備份設(shè)備的選擇備份設(shè)備的選擇常

21、用的存儲介質(zhì)類型有：磁盤、磁帶、光盤和MO磁光盤等。1.四種磁帶技術(shù)的比較Dat螺旋掃描、4mm、高強(qiáng)金屬帶、20GBDlt高強(qiáng)金屬帶、 40GBLto開放規(guī)范、100GB8mm螺旋掃描、高速2、數(shù)據(jù)備份的容量計(jì)算網(wǎng)絡(luò)中的總數(shù)據(jù)量，q1；數(shù)據(jù)備份時(shí)間表即增量備份的天數(shù)，假設(shè)用戶每天作一個(gè)增量備份，周末作一個(gè)全備份，d=6天 每日數(shù)據(jù)改動量，即q2 期望無人干涉的時(shí)間，假定為3個(gè)月，m=3 數(shù)據(jù)增長量的估計(jì)，假定每年以20%遞增，i=20% 思索壞帶，不可預(yù)見要素，普通為30%，假定u=30%經(jīng)過以上各要素思索，可以較準(zhǔn)確地推算出備份設(shè)備的大約容量為： c=q1+q2*d*4*m*(1+i)*1

22、+u 三、分析運(yùn)用環(huán)境、選擇備份管理三、分析運(yùn)用環(huán)境、選擇備份管理軟件軟件 大型數(shù)據(jù)庫自動備份功能 缺陷包括： 但它們既不能實(shí)現(xiàn)自動備份，而且只能將數(shù)據(jù)備份到磁帶機(jī)或硬盤上，不能驅(qū)動磁帶庫等自動加載設(shè)備。 現(xiàn)有產(chǎn)品：legato networker、ca arcserve、hp openview omnibackii、ibm adsm及veritas netbackup等 四、存貯藏份戰(zhàn)略四、存貯藏份戰(zhàn)略 備份戰(zhàn)略可以確定需備份的內(nèi)容、備份時(shí)間及備份方式。目前被采用最多的備份戰(zhàn)略主要有以下三種： 1、完全備份full backup 2、增量備份incremental backup 3、差分備份

23、differential backup 差分備份即備份上一次完全備份后產(chǎn)生和更新的一切新的數(shù)據(jù)。 差分備份的恢復(fù)簡單：系統(tǒng)管理員只需求對兩份備份文件進(jìn)展恢復(fù)，即完全備份的文件和災(zāi)難發(fā)生前最近的一次差分備份文件，就可以將系統(tǒng)恢復(fù)。 增量備份恢復(fù)復(fù)雜。 在實(shí)踐運(yùn)用中，備份戰(zhàn)略通常是以上三種的結(jié)合。例如每周一至周六進(jìn)展一次增量備份或差分備份，每周日進(jìn)展全備份，每月底進(jìn)展一次全備份，每年底進(jìn)展一次全備份。五、五、 工程實(shí)施過程應(yīng)留意的問題工程實(shí)施過程應(yīng)留意的問題 1、統(tǒng)計(jì)備份客戶機(jī)信息 了解各臺備份主機(jī)的系統(tǒng)配置、備份數(shù)據(jù)量、備份方式文件、數(shù)據(jù)庫在線、允許的備份時(shí)間窗口，每日數(shù)據(jù)增量等信息。 2、做好

24、培訓(xùn)任務(wù) 3、制定備份戰(zhàn)略 制定備份日程表 制定備份客戶機(jī)分組方案 制定備份卷分組方案 配置各客戶機(jī)選項(xiàng) 其它選項(xiàng)配置：包括管理員設(shè)置，數(shù)據(jù)遠(yuǎn)程恢復(fù)權(quán)限設(shè)置，設(shè)備并行流設(shè)置，設(shè)備自動管理選項(xiàng)，數(shù)據(jù)緊縮選項(xiàng)等 4、日常維護(hù)有關(guān)問題 硬件磁帶磁頭等、軟件維護(hù)數(shù)據(jù)恢復(fù)數(shù)據(jù)恢復(fù) 數(shù)據(jù)恢復(fù) 正常數(shù)據(jù)恢復(fù) 災(zāi)難數(shù)據(jù)恢復(fù) 所謂災(zāi)難數(shù)據(jù)恢復(fù)是指由于各種緣由導(dǎo)致數(shù)據(jù)損失時(shí)把保管在介質(zhì)上的數(shù)據(jù)重新恢復(fù)的過程。即使數(shù)據(jù)被刪除或硬盤出現(xiàn)缺點(diǎn)，只需在介質(zhì)沒有嚴(yán)重受損的情況下,數(shù)據(jù)就有能夠被完好無損地恢復(fù)。 重要性一、災(zāi)難數(shù)據(jù)恢復(fù)的分類一、災(zāi)難數(shù)據(jù)恢復(fù)的分類 軟件恢復(fù) 由病毒感染、誤分區(qū)、誤格式化等呵斥的數(shù)據(jù)喪失，依然有

25、能夠運(yùn)用第三方軟件來恢復(fù) 硬件恢復(fù) 至于硬件恢復(fù)，如修復(fù)盤面劃傷、磁組撞毀、芯片以及其他元器件燒壞等都成為硬件恢復(fù)二、數(shù)據(jù)可恢復(fù)的前提二、數(shù)據(jù)可恢復(fù)的前提 假設(shè)被刪除的文件曾經(jīng)被其他文件取代，或者文件數(shù)據(jù)占用的空間曾經(jīng)分配給其他文件，那么該文件就不能夠再恢復(fù)了。電子碎紙機(jī)就是利用這種原理來設(shè)計(jì)的。 假設(shè)硬件或介質(zhì)損壞嚴(yán)重，也是不能夠恢復(fù)的。三、出現(xiàn)數(shù)據(jù)災(zāi)難時(shí)如何處置三、出現(xiàn)數(shù)據(jù)災(zāi)難時(shí)如何處置 假設(shè)是由病毒感染、誤分區(qū)、誤格式化等緣由呵斥的數(shù)據(jù)喪失，這將關(guān)系到整塊硬盤數(shù)據(jù)的存亡，千萬不要再用該硬盤進(jìn)展任何操作，更不能繼續(xù)往上面寫任何數(shù)據(jù)，而應(yīng)馬上找專業(yè)人員來處置； 假設(shè)是由硬件緣由呵斥的數(shù)據(jù)喪失

26、如硬盤遭到猛烈振動而損壞，那么要留意事故發(fā)生后的維護(hù)任務(wù)，不應(yīng)繼續(xù)對該存儲器反復(fù)進(jìn)展測試，否那么，將呵斥永久性的損壞！ 四、低難度數(shù)據(jù)恢復(fù)四、低難度數(shù)據(jù)恢復(fù) 1. 假設(shè)疑心硬盤有缺點(diǎn)，先檢查信號線和電源能否插好，或?qū)⒂脖P掛接到另一臺正常機(jī)器上，用BIOS檢測，假設(shè)還是無法檢測到硬盤，就是硬件缺點(diǎn)。 2. 假設(shè)疑心分區(qū)損壞，可用Win98的Fdisk命令察看，如無任何分區(qū)顯示即表示已被破壞。 3. 假設(shè)疑心硬盤電路板有缺點(diǎn)， 可以找一個(gè)一樣型號的好硬盤改換電路板。 4. 假設(shè)是硬盤分區(qū)損壞、誤格式化或誤刪除，可以將該硬盤掛接到另一臺正常機(jī)器上作為第二個(gè)硬盤，用Easyrecovery或 Fina

27、ldata 數(shù)據(jù)恢復(fù)軟件搶救數(shù)據(jù)。五、高難度數(shù)據(jù)恢復(fù)五、高難度數(shù)據(jù)恢復(fù) 第一，分區(qū)表破壞 緣由： 1.個(gè)人誤操作刪除分區(qū)，只需沒有進(jìn)展其它的操作完全可以恢復(fù)。 2.安裝多系統(tǒng)引導(dǎo)軟件或者采用第三方分區(qū)工具，有恢復(fù)的能夠性。 3.病毒破壞，可以部分或者全部恢復(fù)。 4.利用Ghost克隆分區(qū)/硬盤破壞，只可以部分恢復(fù)或者不能恢復(fù)。 牢記以下兩點(diǎn): 1.在硬盤數(shù)據(jù)出現(xiàn)喪失后，請立刻關(guān)機(jī)，不要再對硬盤進(jìn)展任何寫操作，那樣會增大修復(fù)的難度，也影響到修復(fù)的勝利率. 2.他的每一步操作都應(yīng)該是可逆的就像Norton Disk Doctor中的Undo功能或者對缺點(diǎn)硬盤是只讀的大名大名鼎鼎的EasyRecovery和Lost&Found都是這種任務(wù)原理。 第二，硬盤壞扇區(qū) 邏輯壞道軟件恢復(fù) 物理壞道標(biāo)志壞道 運(yùn)用硬盤的本卷須知： 1.硬盤在任務(wù)時(shí)不能忽然關(guān)機(jī) 2.防止灰塵進(jìn)入