C盤根目錄下文件揭秘

C盤根目錄下文件大揭秘
# r: w8 q- W& h( ^3 J7 ?1 J7 j經(jīng)常見到一些網(wǎng)友，跟U盤病毒作斗爭久了，養(yǎng)成了看到磁盤根目錄的隱藏文件就刪的“職業(yè)習(xí)慣”，結(jié)果當(dāng)自己買來新電腦的時(shí)候，一下子看到C盤下有那么多“病毒”，就全部刪了，結(jié)果……下次開機(jī)的時(shí)候系統(tǒng)就起不來了，汗……
9 S1 S+ D: z4 a) c% K
9 A+ W! l- k) Z2 m$ c所以，我感覺有必要跟大家講一講C盤下這些系統(tǒng)文件的作用，以及簡要介紹一下系統(tǒng)的啟動(dòng)過程。下面，就請我為大家一一道來：
# m. J- h; C$ h% g+ i, K% W4 J% C( m
CONFIG.SYS
6 Z! g9 v6 R- N$ G; q0 `. h
4 U3 t/ J6 m; h/ Q; W5 ~CONFIG.SYS是包含在DOS（磁盤操作系統(tǒng)，Disk Operating System）中的一個(gè)文本文件命令，它告訴操作系統(tǒng)計(jì)算機(jī)如何初始化。多數(shù)情況下，CONFIG.SYS命令制定內(nèi)存設(shè)備驅(qū)動(dòng)和程序，以控制硬件設(shè)備；開啟或進(jìn)制系統(tǒng)特征；以及限制系統(tǒng)資源。CONFIG.SYS在autoexec.bat（自動(dòng)批處理程序）文件執(zhí)行前載入。

% Y. g) h9 m& ?! D* T1 u1 {AUTOEXEC.BAT

DOS在啟動(dòng)會(huì)自動(dòng)運(yùn)行autoexec.bat這個(gè)文件，一般我們在里面裝載每次必用的程序，如: path(設(shè)置路徑)、smartdrv(磁盤加速)、 mouse(鼠標(biāo)啟動(dòng))、mscdex(光驅(qū)連接)、 doskey(鍵盤管理)、set(設(shè)置環(huán)境變量)等。

1 a1 i/ G& M+ K/ J0 @IO.SYS
6 x3 }" Y7 B( v
IO.SYS提供標(biāo)準(zhǔn)硬件的輸入/輸出接口和DOS的中斷調(diào)用，在電腦啟動(dòng)過程中，此文件會(huì)根據(jù)用戶通過輸入設(shè)備的信號(hào)執(zhí)行相應(yīng)的操作。大家常掛在嘴邊的“開機(jī)按F8進(jìn)入安全模式”就是來自于這個(gè)文件的作用
$ n. c- P. j9 [+ n3 @( Y: A
7 \/ N/ t" D' Q# g5 h; Q5 B0 Qboot.ini
! F8 [0 ]3 S. F$ K" ~  k
% |" o8 o; t+ a' _, r) e" }/ j' Q當(dāng)我們在電腦中安裝了多系統(tǒng)（如Windows 2000和Windows XP）之后，每次啟動(dòng)計(jì)算機(jī)時(shí)都會(huì)出現(xiàn)一個(gè)系統(tǒng)引導(dǎo)菜單，在此選擇需要進(jìn)入的系統(tǒng)后回車即可。這個(gè)引導(dǎo)程序就是Boot.ini，在安裝Windows 2000（XP）時(shí)程序自動(dòng)被安裝，使用它我們可以輕松對電腦中的多系統(tǒng)進(jìn)行引導(dǎo)，還可以通過該引導(dǎo)文件，設(shè)置個(gè)性化的啟動(dòng)菜單。

系統(tǒng)主要依賴Boot.ini文件來確定計(jì)算機(jī)在重啟（引導(dǎo)）過程中顯示的可供選取的操作系統(tǒng)類別。Boot.ini在缺省狀態(tài)下被設(shè)定為隱含和系統(tǒng)文件屬性, 并且被標(biāo)識(shí)為只讀文件。

雙擊boot.ini，我們通常能看到如下的內(nèi)容
3 c7 v* [& n- Z7 d' [' L
[boot loader]

timeout=30

) Q1 h/ G6 \8 u- [/ i( gdefault=scsi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

scsi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

對其分析，主要有以下功能
% X  R" V, o5 K* g4 V
“timeout”指定在選擇默認(rèn)的操作系統(tǒng)之前 Windows等待的時(shí)間。

“default”指定默認(rèn)的操作系統(tǒng)。

“scsi(0)”表示主控制器（通常也是唯一的控制器）負(fù)責(zé)此設(shè)備。如果有兩個(gè) SCSI 控制器并且磁盤與第二個(gè)控制器相關(guān)聯(lián)，則第二個(gè)控制器稱為“scsi(1)”。

- p# X- i2 k5 W, ^5 ^9 ~2 u* D, _如果系統(tǒng)使用 IDE、增強(qiáng)的 IDE (EIDE) 或增強(qiáng)的小型設(shè)備接口 (ESDI) 驅(qū)動(dòng)器，或者如果系統(tǒng)使用沒有內(nèi)置 BIOS 的 SCSI 適配器，請將“scsi”替換為“multi”。

  P5 p( _) {% E1 [“disk(0)”指要使用的 SCSI 邏輯單元 (LUN)。它可以是獨(dú)立的磁盤，但是大多數(shù) SCSI 設(shè)置對每個(gè) SCSI ID 只有一個(gè) LUN。
* v' D$ Q& n1 T' h
; p5 ?- }+ m& g# C  _, o“rdisk(0)”指物理磁盤1。

. q$ x6 Q" {4 m9 _- q“partition(1)”是計(jì)算機(jī)中第一個(gè)驅(qū)動(dòng)器上的第一分區(qū)。如果有兩個(gè)分區(qū)（C 和 D），則分區(qū) C 為 partition(1)，分區(qū) D 為 partition(2)。

“/noexecute=optin /fastdetect”指定快速監(jiān)視并調(diào)試信息，啟動(dòng)時(shí)不檢查串行口和并行口。

9 J' w' r' q" [/ A* Dbootfont.bin
( O5 p6 p& K; r7 C. w9 a
- q* o) N4 h: L% DBOOTFONT.BIN是用來漢化引導(dǎo)菜單的，刪除后引導(dǎo)菜單會(huì)變成英文
6 X2 U0 J! v0 X' \7 U
MSDOS.SYS
+ L1 {; a1 Q+ d8 T( e; D( c
MSDOS.SYS是DOS的核心文件之一。
4 d. {% `; T! N7 ~' @
; `5 @+ k- j' zMSDOS.SYS 在微軟非NT內(nèi)核的操作系統(tǒng)中經(jīng)?？梢钥吹剿?。MSDOS.SYS可以修改，但改壞了可能會(huì)導(dǎo)致系統(tǒng)無法啟動(dòng)，可以用記事本打開，內(nèi)面是一些啟動(dòng)參數(shù)，如：開機(jī)時(shí)顯示菜單、開機(jī)時(shí)進(jìn)行磁盤掃描、開機(jī)時(shí)顯示LOGO等等。

, ^; C5 i# k: r& INTDETECT.COM
4 m" p9 ?' M+ R9 P2 O3 E& @
Ntdetect.com會(huì)收集如下類型的硬件信息：

9 m$ D( Z2 t  D" Z- v系統(tǒng)固件信息，例如時(shí)間和日期等
" S+ H$ U2 O, `+ j4 I' B" p$ T
2 A2 [9 ]0 b% n: J4 B) a0 \總線適配器的類型

, W' M* T# F1 W/ z! R( |) d$ R. R顯卡適配器的類型
; J" V  U+ b3 K' U1 b7 v  G
$ n2 f2 Z* A$ J" p; H/ B  z3 V鍵盤
* @0 ~! l$ b# s' H) o
通信端口

/ i7 Z! V3 N/ T3 a. y存儲(chǔ)設(shè)備

; j8 N. Q. K2 [  [6 Q+ ]4 `2 W1 `其它輸入設(shè)備，例如鼠標(biāo)等
, g5 f, w9 g% w6 o4 _( C1 `5 \
. k, s! q+ S* O9 k, [3 X并口

安裝在ISA槽中的ISA設(shè)備
0 D9 z4 R1 Y* c1 O  S% R
完成信息的檢測之后，系統(tǒng)就會(huì)在屏幕上顯示那個(gè)Windows圖標(biāo)，并出現(xiàn)一個(gè)滾動(dòng)條，告訴用戶Windows 的啟動(dòng)進(jìn)程

9 |# b9 H# w; {1 V3 Cntldr
8 k2 M6 d8 E4 h
NTLDR全稱是NT Loader，是系統(tǒng)加載程序，用來裝載操作系統(tǒng)。
$ h: s1 @- J5 Y, c# W( L
/ D, q4 Y: m& e7 e& \* FNTLDR文件是系統(tǒng)的引導(dǎo)文件，當(dāng)此文件丟失時(shí)啟動(dòng)系統(tǒng)會(huì)提示"NTLDR is missing..."并要求按任意鍵重新啟動(dòng)，不能正確進(jìn)入系統(tǒng)。
- [' ]! S& A) U9 k; ?6 t" v
# A: d( i! S0 u3 S+ h下面簡要介紹系統(tǒng)的啟動(dòng)過程：

1、電源BIOS自檢程序開始運(yùn)行

2、主引導(dǎo)記錄被裝入內(nèi)存，并且程序開始執(zhí)行

' H% ^' U1 o) z, K3、活動(dòng)分區(qū)的引導(dǎo)扇區(qū)被裝入內(nèi)存

4、NTLDR從引導(dǎo)扇區(qū)被裝入并初始化
+ o1 ~# }$ x- {# |' e* s* R
5、將處理器的實(shí)模式改為32位平滑內(nèi)存模式

6、NTLDR開始運(yùn)行適當(dāng)?shù)男∥募到y(tǒng)驅(qū)動(dòng)程序（小文件系統(tǒng)驅(qū)動(dòng)程序是建立在NTLDR內(nèi)部的，它能讀FAT或NTFS）

$ H6 p0 e/ ^, s' Q* b4 H7、NTLDR讀boot.ini文件
; d3 ?6 t4 |( @/ X
8、NTLDR裝載所選操作系統(tǒng)

( [# l  q& j* K0 b9、Ntdetect.com 搜索計(jì)算機(jī)硬件并將列表傳送給NTLDR，以便將這些信息寫進(jìn)HKE Y_LOCAL_MACHINE/HARDWARE中。

10、然后NTLDR裝載Ntoskrnl.exe，Hal.dll和系統(tǒng)信息集合。

2 i+ i7 J& g- F; y% [11、Ntldr搜索系統(tǒng)信息集合，并裝載設(shè)備驅(qū)動(dòng)配置以便設(shè)備在啟動(dòng)時(shí)開始工作

12、Ntldr把控制權(quán)交給Ntoskrnl.exe，這時(shí),啟動(dòng)程序結(jié)束,裝載階段開始
' n: W3 M1 b; t9 j


另外，有的電腦系統(tǒng)盤根目錄下還會(huì)有下面的兩個(gè)文件，雖然跟系統(tǒng)啟動(dòng)沒有關(guān)系，在此也一并介紹吧
/ O5 `$ }) O5 t5 ?, g+ Y+ f( K
pagefile.sys
; u9 s5 }  c* r; p* H. M
) s: x2 k  n' a& K2 H簡單說說吧，其實(shí)這就是傳說中的虛擬內(nèi)存啦，可以用這個(gè)文件的空間做內(nèi)存，從而彌補(bǔ)RAM空間的缺乏。虛擬內(nèi)存管理器會(huì)選擇最近沒有用過的、低優(yōu)先級(jí)的內(nèi)存部分寫到這個(gè)文件上去
: |) G& [5 Z" w
) T& G6 d; @  Y4 Q: P7 F. Hhiberfil.sys
6 S2 ]& d% D6 r' B
這個(gè)文件只在啟用了系統(tǒng)休眠的電腦上可見，而且其大小與電腦的內(nèi)存大小一致。
% X1 H0 M- h0 s/ K1 m
- L1 e6 j5 `. q3 J3 g9 X, O5 E當(dāng)電腦進(jìn)入休眠狀態(tài)時(shí)，內(nèi)存會(huì)把自身的內(nèi)容完全拷貝到這個(gè)文件里，當(dāng)下一次電腦啟動(dòng)，內(nèi)存被加電喚醒的時(shí)候，又會(huì)從這個(gè)文件里把內(nèi)容調(diào)回來
8 m0 `+ ]6 @# W; t, d
如何才能顯示上面的這些文件？
7 d# @+ g3 Z& a: d0 w
打開“我的電腦”——工具——文件夾選項(xiàng)——查看

5 }# h3 O3 \1 g" Y! ?! E/ \勾選“顯示系統(tǒng)文件夾的內(nèi)容”

取消勾選“隱藏受保護(hù)的操作系統(tǒng)文件”
3 u( y- R* j1 k; A/ L# h" h0 Z
/ i8 O9 `$ d- n) S9 a9 d' ]* K# h選擇“顯示所有文件和文件夾”
* h) N9 _! |$ E0 _) C) |( `6 H2 K
* g8 d7 N8 Q. a* ?! r如果誤刪了這些文件，該如何修復(fù)呢？

; K, N& ]0 p2 `8 @2 T* O9 j最簡單的方法，就是找另一臺(tái)電腦，把那些文件完全拷貝過來
0 u+ G9 Q2 n) X, O
如果已經(jīng)關(guān)機(jī)了，無法啟動(dòng)，先用工具光盤引導(dǎo)啟動(dòng)，然后執(zhí)行上面的步驟就ok了！