还原精灵与还原卡的工作原理.pdf下载

还原精灵的工作原理 :它修改了引导区，引导区又被称为 MBR，它位于硬盘的 0 头 0 柱 1扇区，在扩展 int 13 中没有头、柱、扇区这个概念，它只有逻辑扇区，在扩展的 int 13 中MBR 位于是 0 扇区，如果 BIOS中设置的是硬盘启动的话， 系统会首先载入这个扇区到内存，然后运行这个代码， 还原精灵就是用的是自己的引导代码， 这个方法与引导型病毒一样， 病毒的目的是破坏， 而它的目的是保护， 就如武器在坏人手里有破坏力一样， 这个代码接管了INT13 中断，每当我们向硬盘写入数据时，其实还是写入到硬盘中，可是没有真正修改硬盘中的 FAT。由于 INT13 被接管，当还原精灵发现是写操作，如果没有激活管理身份 ,便将原先数据目的地址重新指向它自己定义的一段连续的空磁盘空间， 并将先前背份的第二份 FAT中被修改的相关数据指向这片空间。 当我们读取数据时， 和写操作相反。 所以还原精灵要被保护的磁盘上有较大的空闲空间 ,它就需要利用这段空间