計(jì)算機(jī)病毒防治技術(shù).ppt

計(jì)算機(jī)病毒防治技術(shù),本章的學(xué)習(xí)目標(biāo),了解計(jì)算機(jī)病毒防治的現(xiàn)狀 掌握常用病毒防治技術(shù) 了解病毒防治技術(shù)的缺陷 掌握典型病毒防治方法,防治技術(shù)概括成四個(gè)方面： 檢測(cè) 清除 預(yù)防 被動(dòng)防治 免疫 主動(dòng)防治,本章內(nèi)容,病毒防治技術(shù)現(xiàn)狀 目前的流行技術(shù) 病毒防治技術(shù)的缺陷 數(shù)據(jù)備份與數(shù)據(jù)恢復(fù) 驅(qū)動(dòng)程序設(shè)計(jì),病毒防治技術(shù)現(xiàn)狀,防病毒產(chǎn)品的歷史 一對(duì)一的防病毒產(chǎn)品 防病毒卡 自身不被感染 但不能清楚磁盤(pán)病毒 90年代中期，查殺防合一 90年代末期開(kāi)始，推出了實(shí)時(shí)防病毒產(chǎn)品,新時(shí)期的防病毒產(chǎn)品趨勢(shì) 反黑客技術(shù)與反病毒技術(shù)相結(jié)合 從入口攔截病毒（網(wǎng)絡(luò)入口、系統(tǒng)入口） 全面解決方案 個(gè)性化定制（后期服務(wù)） 區(qū)域化到國(guó)際化,病毒防治技術(shù)的幾個(gè)階段,第一代反病毒技術(shù)采取單純的病毒特征診斷，但是對(duì)加密、變形的新一代病毒無(wú)能為力。 第二代反病毒技術(shù)采用靜態(tài)廣譜特征掃描技術(shù)，可以檢測(cè)變形病毒，但是誤報(bào)率高，殺毒風(fēng)險(xiǎn)大。 第三代反病毒技術(shù)將靜態(tài)掃描技術(shù)和動(dòng)態(tài)仿真跟蹤技術(shù)相結(jié)合。 第四代反病毒技術(shù)基于多位CRC校驗(yàn)和掃描機(jī)理、啟發(fā)式智能代碼分析模塊、動(dòng)態(tài)數(shù)據(jù)還原模塊（能查出隱蔽性極強(qiáng)的壓縮加密文件中的病毒）、內(nèi)存解毒模塊、自身免疫模塊等先進(jìn)解毒技術(shù)，能夠較好地完成查解毒的任務(wù)。 第五代反病毒技術(shù)主要體現(xiàn)在反蠕蟲(chóng)病毒、惡意代碼、郵件病毒等技術(shù)。這一代反病毒技術(shù)作為一種整體解決方案出現(xiàn)，形成了包括漏洞掃描、病毒查殺、實(shí)時(shí)監(jiān)控、數(shù)據(jù)備份、個(gè)人防火墻等技術(shù)的立體病毒防治體系。,目前的流行技術(shù),虛擬機(jī)技術(shù) 宏指紋識(shí)別技術(shù) 驅(qū)動(dòng)程序技術(shù) 計(jì)算機(jī)監(jiān)控技術(shù) 數(shù)字免疫系統(tǒng) 網(wǎng)絡(luò)病毒防御技術(shù) 立體防毒技術(shù) ,虛擬機(jī)技術(shù),接近于人工分析的過(guò)程 原理 用程序代碼虛擬出一個(gè)CPU來(lái)，同樣也虛擬CPU的各個(gè)寄存器，甚至將硬件端口也虛擬出來(lái)，用調(diào)試程序調(diào)入“病毒樣本”并將每一個(gè)語(yǔ)句放到虛擬環(huán)境中執(zhí)行，這樣我們就可以通過(guò)內(nèi)存和寄存器以及端口的變化來(lái)了解程序的執(zhí)行，從而判斷是否中毒。 加密、變形等病毒,主要執(zhí)行過(guò)程： 在查殺病毒時(shí)，在機(jī)器虛擬內(nèi)存中模擬出一個(gè)“指令執(zhí)行虛擬機(jī)器”； 在虛擬機(jī)環(huán)境中虛擬執(zhí)行（不會(huì)被實(shí)際執(zhí)行）可疑帶毒文件； 在執(zhí)行過(guò)程中，從虛擬機(jī)環(huán)境內(nèi)截獲文件數(shù)據(jù)，如果含有可疑病毒代碼，則說(shuō)明發(fā)現(xiàn)了病毒。 殺毒過(guò)程是在虛擬環(huán)境下摘除可疑代碼，然后將其還原到原文件中，從而實(shí)現(xiàn)對(duì)各類(lèi)可執(zhí)行文件內(nèi)病毒的殺除。,宏指紋識(shí)別技術(shù),宏指紋識(shí)別技術(shù)（Macro Finger）是基于Office復(fù)合文檔BIFF格式精確查殺各類(lèi)宏病毒的技術(shù)。 其特點(diǎn)是： 1、能夠查殺Word、Excel、PowerPoint等各類(lèi)Office文檔中的宏病毒； 2、能夠查出Word、Excel、PowerPoint加密文件中的宏病毒； 3、能夠清除文檔中未知名的宏，因此，從理論上來(lái)說(shuō)可以查殺所有的未知宏病毒； 4、可以修復(fù)部分宏病毒或其他不合格殺毒產(chǎn)品破壞過(guò)的Office文檔。,驅(qū)動(dòng)程序技術(shù),DOS設(shè)備驅(qū)動(dòng)程序 VxD（虛擬設(shè)備驅(qū)動(dòng)）是微軟專(zhuān)門(mén)為Windows制定的設(shè)備驅(qū)動(dòng)程序接口規(guī)范。 NT核心驅(qū)動(dòng)程序 WDM（Windows Driver Model）是Windows驅(qū)動(dòng)程序模型的簡(jiǎn)稱(chēng)。 作用：開(kāi)發(fā)監(jiān)控程序、接近系統(tǒng)內(nèi)核的程序,32位內(nèi)核技術(shù),首先，32位較16位大大擴(kuò)展了內(nèi)存尋址空間，這是顯而易見(jiàn)的，但就反病毒技術(shù)而言，這一問(wèn)題以前并沒(méi)有引起我們足夠的重視。 其次，16位應(yīng)用程序無(wú)法實(shí)現(xiàn)多任務(wù)、多線程調(diào)度。 系統(tǒng)支持問(wèn)題。,計(jì)算機(jī)監(jiān)控技術(shù),計(jì)算機(jī)監(jiān)控技術(shù)（實(shí)時(shí)監(jiān)控技術(shù)）： 注冊(cè)表監(jiān)控 腳本監(jiān)控 內(nèi)存監(jiān)控 郵件監(jiān)控 文件監(jiān)控等 優(yōu)點(diǎn)： 解決了用戶對(duì)病毒的“未知性”，或者說(shuō)是“不確定性”問(wèn)題。 實(shí)時(shí)監(jiān)控是先前性的，而不是滯后性的。,監(jiān)控病毒源技術(shù),郵件跟蹤體系 例如，消息跟蹤查尋協(xié)議（MTQP-Message Tracking Query Protocol） 網(wǎng)絡(luò)入口監(jiān)控防病毒體系 例如，TVCS-Trend Virus Control System,無(wú)縫連接技術(shù),嵌入式殺毒技術(shù) 無(wú)縫連接是在充分掌握系統(tǒng)的底層協(xié)議和接口規(guī)范的基礎(chǔ)上，開(kāi)發(fā)出與之完全兼容的產(chǎn)品的技術(shù)。 應(yīng)用實(shí)例 右鍵快捷方式 硬盤(pán)格式的支持 Office套件的支持等,主動(dòng)內(nèi)核技術(shù),在操作系統(tǒng)和網(wǎng)絡(luò)的內(nèi)核中加入反病毒功能，使反病毒成為系統(tǒng)本身的底層模塊，而不是一個(gè)系統(tǒng)外部的應(yīng)用軟件是主動(dòng)內(nèi)核技術(shù)。 應(yīng)用難度大 開(kāi)源 非開(kāi)源,檢查壓縮文件技術(shù),壓縮文件是病毒的重要藏身地之一。 殺毒思路： 第一種：壓縮病毒碼 第二種：先解壓后查毒（需要虛擬執(zhí)行技術(shù)）,啟發(fā)式代碼掃描技術(shù),啟發(fā)式指的“自我發(fā)現(xiàn)的能力”或“運(yùn)用某種方式或方法去判定事物的知識(shí)和技能。” 一個(gè)運(yùn)用啟發(fā)式掃描技術(shù)的病毒檢測(cè)軟件，實(shí)際上就是以特定方式實(shí)現(xiàn)的動(dòng)態(tài)跟蹤器或反編譯器，通過(guò)對(duì)有關(guān)指令序列的反編譯逐步理解和確定其蘊(yùn)藏的真正動(dòng)機(jī)。,例如，一段程序以如下序列開(kāi)始： MOV AH, 5 INT 13h 該程序?qū)崿F(xiàn)調(diào)用格式化盤(pán)操作的BIOS指令功能，那么這段程序就高度可疑值得引起警覺(jué)， 尤其是假如這段指令之前不存在取得命令行關(guān)于執(zhí)行的參數(shù)選項(xiàng)，又沒(méi)有要求用戶交互地輸入繼續(xù)進(jìn)行的操作指令時(shí)，可以有把握地認(rèn)為這是一個(gè)病毒或惡意破壞的程序。,可疑的功能： 格式化磁盤(pán)類(lèi)操作 搜索和定位各種可執(zhí)行程序的操作 實(shí)現(xiàn)駐留內(nèi)存的操作 發(fā)現(xiàn)非常的或未公開(kāi)的系統(tǒng)功能調(diào)用的操作等等。 不同的操作賦予不同的權(quán)值,免疫技術(shù),免疫的原理 傳染模塊要做傳染條件判斷 病毒程序要給被傳染對(duì)象加上傳染標(biāo)識(shí) 黑色星期五 在正常對(duì)象中自動(dòng)加上這種標(biāo)識(shí)，就可以不受病毒的傳染，起到免疫的作用 計(jì)算機(jī)病毒免疫的方法 1針對(duì)某一種病毒進(jìn)行的計(jì)算機(jī)病毒免疫,把感染標(biāo)記寫(xiě)入文件和內(nèi)存，防止病毒感染 缺點(diǎn): 對(duì)于不設(shè)有感染標(biāo)識(shí)的病毒不能達(dá)到免疫的目的。 當(dāng)出現(xiàn)這種病毒的變種不再使用這個(gè)免疫標(biāo)志時(shí)，或出現(xiàn)新病毒時(shí)，免疫標(biāo)志發(fā)揮不了作用。 某些病毒的免疫標(biāo)志不容易仿制，非要加上這種標(biāo)志不可，則對(duì)原來(lái)的文件要做大的改動(dòng)。 不可能對(duì)一個(gè)對(duì)象加上各種病毒的免疫標(biāo)識(shí)。 這種方法能阻止傳染，卻不能阻止已經(jīng)感染的病毒的破壞行為。,2基于自我完整性檢查的計(jì)算機(jī)病毒的免疫方法。 為可執(zhí)行程序增加一個(gè)免疫外殼，同時(shí)在免疫外殼中記錄有關(guān)用于恢復(fù)自身的信息。 執(zhí)行具有這種免疫功能的程序時(shí)，免疫外殼首先得到運(yùn)行，檢查自身的程序大小、校驗(yàn)和，生成日期和時(shí)間等情況，沒(méi)有發(fā)現(xiàn)異常后，再轉(zhuǎn)去執(zhí)行受保護(hù)的程序。 這種免疫方法可以看作是一種通用的自我完整性檢驗(yàn)方法。 缺點(diǎn)和不足：,（1）每個(gè)受到保護(hù)的文件都要增加1KB-3KB，需要額外的存儲(chǔ)空間。 （2）現(xiàn)在使用中的一些校驗(yàn)碼算法不能滿足防病毒的需要，被某些種類(lèi)的病毒感染的文件不能被檢查出來(lái)。 （3）無(wú)法對(duì)付覆蓋方式的文件型病毒。 （4）有些類(lèi)型的文件不能使用外加免疫外殼的防護(hù)方法，這樣將使那些文件不能正常執(zhí)行。 （5）當(dāng)某些尚不能被病毒檢測(cè)軟件檢查出來(lái)的病毒感染了一個(gè)文件，而該文件又被免疫外殼包在里面時(shí)，這個(gè)病毒就像穿了“保護(hù)盔甲”，使查毒軟件查不到它，而它卻能在得到運(yùn)行機(jī)會(huì)時(shí)跑出來(lái)繼續(xù)傳染擴(kuò)散。,數(shù)字免疫系統(tǒng),數(shù)字免疫系統(tǒng)主要包括封閉循環(huán)自動(dòng)化網(wǎng)絡(luò)防病毒技術(shù)和啟發(fā)式偵測(cè)技術(shù)。 前者是一個(gè)后端基礎(chǔ)設(shè)施，可以為企業(yè)級(jí)用戶提供高級(jí)別的病毒保護(hù)。 后者則可以自動(dòng)監(jiān)視可疑行為，為網(wǎng)絡(luò)防病毒產(chǎn)品對(duì)付未知病毒提供依據(jù)。 數(shù)字免疫系統(tǒng)還可以將病毒解決方案廣泛發(fā)送到被感染的PC機(jī)上。 數(shù)字免疫系統(tǒng)的超流量控制。,立體防毒技術(shù),全方位的威脅-立體防病毒體系 立體防毒體系將計(jì)算機(jī)的使用過(guò)程進(jìn)行逐層分解，對(duì)每一層進(jìn)行分別控制和管理，從而達(dá)到病毒整體防護(hù)的效果。 該體系通過(guò)安裝殺毒、漏洞掃描、病毒查殺、實(shí)時(shí)監(jiān)控、數(shù)據(jù)備份、個(gè)人防火墻、游戲保護(hù)等多種病毒防護(hù)手段，將電腦的每一個(gè)安全環(huán)節(jié)都監(jiān)控起來(lái)，從而全方位地保護(hù)了用戶電腦的安全。,廣譜特征碼,是對(duì)特征碼法的改變，本質(zhì)上一樣。 在特征碼中加入掩碼等。,網(wǎng)絡(luò)病毒防御技術(shù),網(wǎng)絡(luò)的復(fù)雜性-網(wǎng)絡(luò)病毒防御技術(shù) 用戶桌面、工作站、服務(wù)器、Internet網(wǎng)關(guān)和病毒防火墻等各個(gè)層次進(jìn)行防護(hù)： 用戶桌面的防護(hù)：桌面系統(tǒng)和遠(yuǎn)程PC是主要的病毒感染源。 Internet網(wǎng)關(guān)的防護(hù)。群件和電子郵件是網(wǎng)絡(luò)中重要的通信聯(lián)絡(luò)線。 防火墻的防護(hù)。在防火墻上過(guò)濾多種協(xié)議的病毒。 基于工作站的防治技術(shù)。工作站就像是計(jì)算機(jī)網(wǎng)絡(luò)的大門(mén)，只有把好這道大門(mén)，才能有效防止病毒的侵入。,基于服務(wù)器的防治技術(shù)。網(wǎng)絡(luò)服務(wù)器是計(jì)算機(jī)網(wǎng)絡(luò)的中心。 加強(qiáng)計(jì)算機(jī)網(wǎng)絡(luò)的管理。管理手段，而非技術(shù)手段。 技術(shù)被動(dòng)防御，管理上積極主動(dòng) 硬件設(shè)備及軟件系統(tǒng)的使用、維護(hù)、管理、服務(wù)等各個(gè)環(huán)節(jié)制定出嚴(yán)格的規(guī)章制度 對(duì)管理員及用戶加強(qiáng)法制教育和職業(yè)道德教育 應(yīng)有專(zhuān)人負(fù)責(zé)具體事務(wù)，跟蹤行業(yè)新技術(shù),先進(jìn)的網(wǎng)絡(luò)多層病毒防護(hù)策略具有三個(gè)特點(diǎn)： 層次性 在用戶桌面、服務(wù)器、Internet網(wǎng)關(guān)以及病毒防火墻安裝適當(dāng)?shù)姆蓝静考跃W(wǎng)為本、多層次地最大限度地發(fā)揮作用。 集成性 所有的保護(hù)措施是統(tǒng)一的和相互配合的，支持遠(yuǎn)程集中式配置和管理。 自動(dòng)化 系統(tǒng)能自動(dòng)更新病毒特征碼數(shù)據(jù)庫(kù)、殺毒策略和其它相關(guān)信息。,移動(dòng)通訊工具和PDA的殺毒技術(shù),全新的領(lǐng)域 目前已有部分公司（例如，Trend micro、Mcafee、F-Secure等）推出這類(lèi)產(chǎn)品。,病毒防治技術(shù)的缺陷,技術(shù)反思 一次一次的大面積發(fā)生 缺陷 永無(wú)止境的服務(wù) 庫(kù)、培訓(xùn)、指導(dǎo)等 未知病毒發(fā)現(xiàn) 有限未知 病毒清除的準(zhǔn)確性 從恢復(fù)的角度來(lái)考慮,數(shù)據(jù)備份與數(shù)據(jù)恢復(fù),a-人為原因 b-軟件原因 c-盜竊 d-硬件的毀壞 e-計(jì)算機(jī)病毒 f-硬件故障,數(shù)據(jù)丟失原因調(diào)查,在病毒清除工作越來(lái)越困難的今天， 數(shù)據(jù)備份和恢復(fù)成了計(jì)算機(jī)病毒防治技術(shù)的一個(gè)核心問(wèn)題,數(shù)據(jù)備份-個(gè)人PC備份策略,一、備份個(gè)人數(shù)據(jù) 所謂個(gè)人數(shù)據(jù)就是用戶個(gè)人勞動(dòng)的結(jié)果，包括自己制作的各種文檔、編制的各種源代碼、下載或從其他途徑獲取的有用數(shù)據(jù)和程序等等。 養(yǎng)成良好存放的習(xí)慣： 拒絕所有的缺省位置 個(gè)人數(shù)據(jù)集中存放 經(jīng)常備份這些數(shù)據(jù) 養(yǎng)成良好的定期備份習(xí)慣,二、備份系統(tǒng)重要數(shù)據(jù) 磁盤(pán)的分區(qū)表、主引導(dǎo)區(qū)、引導(dǎo)區(qū)等重要區(qū)域的數(shù)據(jù)。 三、注冊(cè)表的備份 系統(tǒng)把它物理地分為兩個(gè)文件:USER.DAT(用戶設(shè)置)和SYSTEM.DAT(系統(tǒng)設(shè)置)。 備份方式： 系統(tǒng)自動(dòng)備份 USER.DAT -USER.DAO SYSTEM.DAT -SYSTEM.DAO C:WINDOWSSYSBCKUP目錄中以CAB文件格式備份了最近五天開(kāi)機(jī)后的系統(tǒng)文件。其備份文件名分別是rb000.cab、rb001.cab、rb002.cab、rb003.cab和rb005.cab。（可用Windows自帶的Scanreg.exe命令 ） 手工備份 Cfgback.exe、手工備份兩個(gè)文件、導(dǎo)出注冊(cè)表,四、OUTLOOK數(shù)據(jù)的備份 首先，應(yīng)對(duì)注冊(cè)表的相關(guān)部分備份。Hkey-current-userSoftwareMicrosoftInternet AccountManagerAccounts 然后，還要對(duì)目錄文件進(jìn)行備份。 %windows%application datamicrosoftoutlook 最后，通訊簿的備份。 五、Foxmail數(shù)據(jù)的備份 比OutLook簡(jiǎn)單,六、即時(shí)消息數(shù)據(jù)的備份 1.備份MESSAGES(歷史數(shù)據(jù)) 2.備份ADDRESS BOOK(地址數(shù)據(jù)) 七、輸入法自定義詞組的備份 1.中文五筆輸入法中自定義詞組的備份 C:WindowsSystemwbx.emb 2.智能拼音輸入法中自定義詞組的備份 C:WINDOWSSYSTEMtmmr.rem 3.微軟拼音輸入法中自定義詞組的備份 C:WindowspjyyP.UPT,八、IE收藏夾和NN書(shū)簽的備份 IE收藏夾 C:WindowsFavorites文件夾 NN書(shū)簽 將其save as為一個(gè)html文件,數(shù)據(jù)備份-系統(tǒng)級(jí)備份策略 一、數(shù)據(jù)備份需求分析,關(guān)鍵服務(wù)器的地位越來(lái)越重要，需要備份 造成系統(tǒng)失效的主要原因有以下幾個(gè)方面： 硬盤(pán)驅(qū)動(dòng)器損壞，由于一個(gè)系統(tǒng)或電器的物理?yè)p壞導(dǎo)致文件、數(shù)據(jù)的丟失； 人為錯(cuò)誤，人為刪除一個(gè)文件或格式化一個(gè)磁盤(pán)（占數(shù)據(jù)災(zāi)難的80%）； 黑客的攻擊，黑客侵入計(jì)算機(jī)系統(tǒng)，破壞計(jì)算機(jī)系統(tǒng)； 病毒，使計(jì)算機(jī)系統(tǒng)感染，甚至損壞計(jì)算機(jī)數(shù)據(jù)； 自然災(zāi)害，火災(zāi)、洪水或地震也會(huì)無(wú)情地毀滅計(jì)算機(jī)系統(tǒng)； 電源浪涌，一個(gè)瞬間過(guò)載電功率損害計(jì)算機(jī)驅(qū)動(dòng)器上的文件； 磁干擾，生活、工作中常見(jiàn)的磁場(chǎng)可以破壞磁碟中的文件。,建立完整的網(wǎng)絡(luò)數(shù)據(jù)備份系統(tǒng)必須考慮以下內(nèi)容： 計(jì)算機(jī)網(wǎng)絡(luò)數(shù)據(jù)備份的自動(dòng)化，以減少系統(tǒng)管理員的工作量； 使數(shù)據(jù)備份工作制度化、科學(xué)化； 對(duì)介質(zhì)管理的有效化，防止讀寫(xiě)操作的錯(cuò)誤； 對(duì)數(shù)據(jù)形成分門(mén)別類(lèi)的介質(zhì)存儲(chǔ),使數(shù)據(jù)的保存更細(xì)致、科學(xué)； 自動(dòng)介質(zhì)的清洗輪轉(zhuǎn),提高介質(zhì)的安全性和使用壽命； 以備份服務(wù)器形成備份中心，對(duì)各種平臺(tái)的應(yīng)用系統(tǒng)及其他信息數(shù)據(jù)進(jìn)行集中的備份，系統(tǒng)管理員可以在任意一臺(tái)工作站上管理、監(jiān)控、配置備份系統(tǒng)，實(shí)現(xiàn)分布處理，集中管理的特點(diǎn)； 維護(hù)人員可以容易地恢復(fù)損壞的整個(gè)文件系統(tǒng)和各類(lèi)數(shù)據(jù)； 備份系統(tǒng)還應(yīng)考慮網(wǎng)絡(luò)帶寬對(duì)備份性能的影響，備份服務(wù)器的平臺(tái)選擇及安全性，備份系統(tǒng)容量的適度冗余，備份系統(tǒng)良好的擴(kuò)展性等因素。,二、 備份設(shè)備的選擇,常用的存儲(chǔ)介質(zhì)類(lèi)型有：磁盤(pán)、磁帶、光盤(pán)和MO（磁光盤(pán)）等。 1.四種磁帶技術(shù)的比較 Dat 螺旋掃描、4mm、高強(qiáng)金屬帶、20GB Dlt 高強(qiáng)金屬帶、 40GB Lto 開(kāi)放標(biāo)準(zhǔn)、100GB 8mm 螺旋掃描、高速,2、數(shù)據(jù)備份的容量計(jì)算 網(wǎng)絡(luò)中的總數(shù)據(jù)量，q1； 數(shù)據(jù)備份時(shí)間表（即增量備份的天數(shù)），假設(shè)用戶每天作一個(gè)增量備份，周末作一個(gè)全備份，d=6天 每日數(shù)據(jù)改變量，即q2 期望無(wú)人干涉的時(shí)間，假定為3個(gè)月，m=3 數(shù)據(jù)增長(zhǎng)量的估計(jì)，假定每年以20%遞增，i=20% 考慮壞帶，不可預(yù)見(jiàn)因素，一般為30%，假定u=30% 通過(guò)以上各因素考慮，可以較準(zhǔn)確地推算出備份設(shè)備的大概容量為： c=（q1+q2*d）*4*m*(1+i)*（1+u）,三、分析應(yīng)用環(huán)境、選擇備份管理軟件,大型數(shù)據(jù)庫(kù)自動(dòng)備份功能 缺陷包括： 但它們既不能實(shí)現(xiàn)自動(dòng)備份，而且只能將數(shù)據(jù)備份到磁帶機(jī)或硬盤(pán)上，不能驅(qū)動(dòng)磁帶庫(kù)等自動(dòng)加載設(shè)備。 現(xiàn)有產(chǎn)品：legato networker、ca arcserve、hp openview omnibackii、ibm adsm及veritas netbackup等,四、存儲(chǔ)備份策略,備份策略可以確定需備份的內(nèi)容、備份時(shí)間及備份方式。目前被采用最多的備份策略主要有以下三種： 1、完全備份（full backup） 2、增量備份（incremental backup） 3、差分備份（differential backup） 差分備份即備份上一次完全備份后產(chǎn)生和更新的所有新的數(shù)據(jù)。,差分備份的恢復(fù)簡(jiǎn)單：系統(tǒng)管理員只需要對(duì)兩份備份文件進(jìn)行恢復(fù)，即完全備份的文件和災(zāi)難發(fā)生前最近的一次差分備份文件，就可以將系統(tǒng)恢復(fù)。 增量備份恢復(fù)復(fù)雜。 在實(shí)際應(yīng)用中，備份策略通常是以上三種的結(jié)合。例如每周一至周六進(jìn)行一次增量備份或差分備份，每周日進(jìn)行全備份，每月底進(jìn)行一次全備份，每年底進(jìn)行一次全備份。,五、 項(xiàng)目實(shí)施過(guò)程應(yīng)注意的問(wèn)題,1、統(tǒng)計(jì)備份客戶機(jī)信息 了解各臺(tái)備份主機(jī)的系統(tǒng)配置、備份數(shù)據(jù)量、備份方式（文件、數(shù)據(jù)庫(kù)在線）、允許的備份時(shí)間窗口，每日數(shù)據(jù)增量等信息。 2、做好培訓(xùn)工作 3、制定備份策略 制定備份日程表 制定備份客戶機(jī)分組方案 制定備份卷分組方案,配置各客戶機(jī)選項(xiàng) 其它選項(xiàng)配置：包括管理員設(shè)置，數(shù)據(jù)遠(yuǎn)程恢復(fù)權(quán)限設(shè)置，設(shè)備并行流設(shè)置，設(shè)備自動(dòng)管理選項(xiàng)，數(shù)據(jù)壓縮選項(xiàng)等 4、日常維護(hù)有關(guān)問(wèn)題 硬件（磁帶磁頭等）、軟件維護(hù),數(shù)據(jù)恢復(fù),數(shù)據(jù)恢復(fù) 正常數(shù)據(jù)恢復(fù) 災(zāi)難數(shù)據(jù)恢復(fù) 所謂災(zāi)難數(shù)據(jù)恢復(fù)是指由于各種原因?qū)е聰?shù)據(jù)損失時(shí)把保留在介質(zhì)上的數(shù)據(jù)重新恢復(fù)的過(guò)程。即使數(shù)據(jù)被刪除或硬盤(pán)出現(xiàn)故障，只要在介質(zhì)沒(méi)有嚴(yán)重受損的情況下,數(shù)據(jù)就有可能被完好無(wú)損地恢復(fù)。 重要性,一、災(zāi)難數(shù)據(jù)恢復(fù)的分類(lèi),軟件恢復(fù) 由病毒感染、誤分區(qū)、誤格式化等造成的數(shù)據(jù)丟失，仍然有可能使用第三方軟件來(lái)恢復(fù) 硬件恢復(fù) 至于硬件恢復(fù)，如修復(fù)盤(pán)面劃傷、磁組撞毀、芯片以及其他元器件燒壞等都成為硬件恢復(fù),二、數(shù)據(jù)可恢復(fù)的前提,如果被刪除的文件已經(jīng)被其他文件取代，或者文件數(shù)據(jù)占用的空間已經(jīng)分配給其他文件，那么該文件就不可能再恢復(fù)了。電子碎紙機(jī)就是利用這種原理來(lái)設(shè)計(jì)的。 如果硬件或介質(zhì)損壞嚴(yán)重，也是不可能恢復(fù)的。,三、出現(xiàn)數(shù)據(jù)災(zāi)難時(shí)如何處理,如果是由病毒感染、誤分區(qū)、誤格式化等原因造成的數(shù)據(jù)丟失，這將關(guān)系到整塊硬盤(pán)數(shù)據(jù)的存亡，千萬(wàn)不要再用該硬盤(pán)進(jìn)行任何操作，更不能繼續(xù)往上面寫(xiě)任何數(shù)據(jù)，而應(yīng)馬上找專(zhuān)業(yè)人員來(lái)處理； 如果是由硬件原因造成的數(shù)據(jù)丟失（如硬盤(pán)受到激烈振動(dòng)而損壞），則要注意事故發(fā)生后的保護(hù)工作，不應(yīng)繼續(xù)對(duì)該存儲(chǔ)器反復(fù)進(jìn)行測(cè)試，否則，將造成永久性的損壞！,四、低難度數(shù)據(jù)恢復(fù),1. 如果懷疑硬盤(pán)有故障，先檢查信號(hào)線和電源是否插好，或?qū)⒂脖P(pán)掛接到另一臺(tái)正常機(jī)器上，用BIOS檢測(cè)，如果還是無(wú)法檢測(cè)到硬盤(pán)，就是硬件故障。 2. 如果懷疑分區(qū)損壞，可用Win98的Fdisk命令觀察，如無(wú)任何分區(qū)顯示即表示已被破壞。 3. 如果懷疑硬盤(pán)電路板有故障， 可以找一個(gè)相同型號(hào)的好硬盤(pán)更換電路板。 4. 如果是硬盤(pán)分區(qū)損壞、誤格式化或誤刪除，可以將該硬盤(pán)掛接到另一臺(tái)正常機(jī)器上作為第二個(gè)硬盤(pán)，用Easyrecovery或 Finaldata 數(shù)據(jù)恢復(fù)軟件搶救數(shù)據(jù)。,五、高難度數(shù)據(jù)恢復(fù),第一，分區(qū)表破壞 原因： 1.個(gè)人誤操作刪除分區(qū)，只要沒(méi)有進(jìn)行其它的操作完全可以恢復(fù)。 2.安裝多系統(tǒng)引導(dǎo)軟件或者采用第三方分區(qū)工具，有恢復(fù)的可能性。 3.病毒破壞，可以部分或者全部恢復(fù)。 4.利用Ghost克隆分區(qū)/硬盤(pán)破壞，只可以部分恢復(fù)或者不能恢復(fù)。 牢記以下兩點(diǎn): 1.在硬盤(pán)數(shù)據(jù)出現(xiàn)丟失后，請(qǐng)立即關(guān)機(jī)，不要再對(duì)硬盤(pán)進(jìn)行任何寫(xiě)操作，那樣會(huì)增大修復(fù)的難度，也影響到修復(fù)的成功率. 2.你的每一步操作都應(yīng)該是可逆的（就像Norton Disk Doctor中的Undo功能）或者對(duì)故障硬盤(pán)是只讀的（大名大名鼎鼎的EasyRecovery和Lost&Found都是這種工作原理）。,第二，硬盤(pán)壞扇區(qū),邏輯壞道軟件恢復(fù) 物理壞道標(biāo)記壞道 使用硬盤(pán)的注意事項(xiàng)： 1.硬盤(pán)在工作時(shí)不能突然關(guān)機(jī) 2.防止灰塵進(jìn)入 3.要防止溫度過(guò)高 4.要定期整理硬盤(pán)上的信息 5.要定期對(duì)硬盤(pán)進(jìn)行殺毒,6.用手拿硬盤(pán)時(shí)要小心 7.盡量不要使用硬盤(pán)壓縮技術(shù)