还原精灵原理及破解(转载)还原精灵实战一、软件系统的保护与还原长期以来，学校机房、网吧等人员流动大，机器很多的场所，系统管理员的工作都非常烦琐，经常要重新安装系统、查杀病毒等。如何对硬盘中现有的操作系统和软件进行保护和还原就成了一个课题。系统的保护和还原的方法从原理上来说主要分三类，一是保护，二是还原，三称为虚拟还原。1.系统保护系统保护，就是防止硬盘的重要信息被破坏，防止注册表改写和文件I/O操作等。用户被置于一个预先设置好的环境中，只能干此软件系统允许你干的事情。相对而言，这种方法对用户的约束太多，局限很大，对操作系统进程的干预也比较多，运行效率有一定影响。基于这种思路的软件代表有：美萍、网管大师、方竹等等。另外，通过手工修改注册表隐藏一些系统功能也属于这种方法。系统保护，好比筑堤抗洪，“千里之堤，毁于蚁穴”，系统漏洞可谓防不胜防，事实上水平高点的用户都有办法饶过它的防护。另外，操作系统升级带来系统内部一些功能变化，这些软件也必须做相应修改，很被动。总的来说，这类软件从思路来说是一种被动防御的姿态，效果不会太理想。系统保护只是对一些操作进行了限制，硬盘上的数据是动态变化的，它不能根据需要恢复到某一个时点的系统内容。2.系统还原系统还原，就是预先将系统内容做好全部或部分备份，当系统崩溃或者混乱需要重新安装的时候，将原来的备份进行恢复，将系统内容还原到备份那个时点的内容。这种方法不干预用户的操作，不干扰系统进程。基于还原最简单也最原始的方法是用一个同样大的硬盘一比一地将系统克隆或拷贝下来。更好一点的方法是将系统分区（一般是C盘）用GHOST或WINIMAGE等做个镜像，保存到另外的硬盘或分区上。系统还原比较于系统保护，虽然有诸多优点，但它的缺点也很明显：需要占用很大硬盘空间，需要大量的还原时间。这些缺点实际上阻碍了它在实际工作中的应用范围，除了家庭用户和一些重要部门对重要数据用这个方法以外，学校和网吧等极少采用这种“笨”办法。系统还原的特点是可以根据需要将系统还原到备份那个时点的内容。3.虚拟还原虚拟还原的工作原理实际上是基于系统保护的，但它的保护做在系统的最底层，先于操作系统，类似于引导型病毒（A型病毒）。它对系统进程有一定干扰，但是这个干扰几乎可以不被察觉。它不干预用户的任何操作，对普通用户来说，可以当它是透明的——根本不存在。虚拟还原的工作方式又类似于系统还原，可以在需要的时候将系统进行“备份”，这个备份的速度非常快，最多十几秒就可以完成。它需要占用少量硬盘空间，占用率低于数据量的千分之一。同时它的还原速度也是惊人的，同样最多需要十几秒种。正由于虚拟还原同时具有系统保护和系统还原的优点，又尽可能避免了它们的一些重要缺点，所以基于虚拟还原方式的软件越来越受到用户青睐。这些软件的代表有：还原精灵，虚拟还原，硬盘还原卡（其实是做在硬件上的软件，主要为了防止盗版）等。虚拟还原的保护看上去相当神奇，如果按系统还原的工作原理来理解，从硬盘占用到还原速度绝对不可思议。它的保护原理在下一节里面再和大家一起分析。二、虚拟还原的工作原理探讨由于本人不认识这些虚拟还原的软件作者，没有机会跟他们请教，所以以下关于其工作原理的探讨都是基于雨人的猜想和臆测，你如果对原理不感兴趣，完全可以跳过这个部分。1.文件存储分配原理我们知道，硬盘上最重要的数据区除了BOOT（引导区）外，是ROOT（根目录）和FAT（文件分配表），ROOT里面记录的是文件或子目录的属性、尺寸、日期以及它的起始簇（软盘里面是扇区）。FAT表里面记录的是每个簇的使用分配情况。正常情况下，当我们向硬盘里面添加一个新文件，OS（操作系统）首先在ROOT里面将文件属性等填进去，在FAT表里面按一定算法找到一个空簇，将它标记为被该文件占用后，在ROOT里面将这个簇做为起始簇记录进去，然后将文件内容写入这个簇。如果文件没有写完，系统再在FAT里找一个空簇，将其标记为占用，然后在前一个簇的最后做一个指针向这个新的簇，形成一个单链表，接着再在这个新的簇里面继续写内容。如此重复直到文件内容完全记录完毕...