Windows XP Windows 7 Windows 2003 Windows Vista Windows教程綜合 Linux 系統教程
Windows 10 Windows 8 Windows 2008 Windows NT Windows Server 電腦軟件教程
 Windows教程網 >> Windows XP系統教程 >> 關於XP系統教程 >> 提取感染exe程序的病毒木馬系統文件

提取感染exe程序的病毒木馬系統文件

日期:2017/1/23 17:08:12      編輯:關於XP系統教程

 現在感染exe程序的病毒木馬都喜歡修改系統文件,通常的殺毒軟件都不能將中毒的系統文件恢復回原狀,那麼除了重裝和從其他機器拷貝外還有別的方法嗎?

  還可以從安裝盤提取最原始、最保險的“原裝”文件!但是安裝盤中的文件可不是直接復制/粘貼就能弄出來的,而且XP和Vista/2008的提取方法還不同,因為它們使用了不同的安裝方式。

  一、提取XP安裝盤的文件

  仔細觀察XP安裝盤的文件,可以看到i386目錄中絕大部分文件都是“EXPLORER.EX_”這類的文件名,其實它是經過壓縮後的文件,文件名和解壓出來的文件名一樣,但是擴展名和文件大小不同,所以直接改後綴是不能使用的。

  有兩種方法可以把文件解壓出來:
  
  方法一:使用壓縮軟件例如7-zip直接將這個文件解壓。之所以提到7-zip,除了它免費之外還因為它默認會將“7-zip”菜單集成到所有文件(或文件夾)右鍵菜單中,用起來很方便。當然使用WinRAR也是可以解壓的。
  
  方法二:在窗口命令行狀態下使用XP自帶的Expand命令解壓文件。用法如:expand D:\i386\EXPLORER.EX_ C:\explorer.exe,(如圖1);含義為將D盤i386目錄下的EXPLORER.EX_文件解壓到C盤根目錄下面,並命名為explorer.exe。i386目錄就是XP安裝盤中安裝文件所在的目錄。這條命令常用於恢復控制台下面修復系統。

圖1 使用expand提取文件

  二、提取Vista/2008安裝盤中的文件

  Vista/2008使用了新的安裝技術,所有安裝文件都保存在sources\install.wim文件中;這個文件無法用一般的軟件打開,只能用微軟提供的imagex.exe程序打開。這個程序沒有圖形操作界面,現以Vista下使用為例子介紹用法:

  第一步:以管理員身份運行命令提示符,並使用CD命令(例如:“CD i386”命令就是進入當前目錄的i386子目錄)進入imagex.exe所在的文件夾。
  
  第二步:使用imagex/info h:\sources\install.wim命令查看當前安裝光盤包含的系統版本。例如Vista安裝盤中就有Home Basic、Home Premium、Business、Ultimate等版本。當看到
  
  Windows Vista ULTIMATE

  這個段落就說明索引號4的鏡像為Vista ULTIMATE安裝文件所在。

  第三步:使用命令如imagex /mount g:\sources\install.wim 4 d:\msdn將G盤安裝文件中索引號為4的安裝鏡像映射到d:\msdn文件夾。這時打開d:\msdn就能像進入普通文件夾一樣提取原始文件了,不需要解壓哦。

圖2 使用imagex提取文件

  第四步:用完後需要卸載鏡像,對應如上操作的命令如下:imagex /unmount d:\msdn。

  小提示:

  1、如果無法使用imagex.exe,進入控制面板→添加新硬件,手動安裝WIMFLTR.INF。

  2、imagex映射到的文件夾必須真實存在。如果原文件夾有文件,那麼映射後文件並不會消失,只是被Vista的安裝文件“偽裝”起來了。

Copyright © Windows教程網 All Rights Reserved