为重要文件保驾护航

Windows 2000/XP包含一个“备份”组件,可能大家平时只是用它来简单地备份和还原文件,其实结合“任务计划”和批处理脚本,我们可以把它打造成监控文件变化的可靠“监工”。运行ntbackup即可打开“备份”,详细的命令参数可以参考使用“ntbackup /?”命令获得,在此不赘述。

为重要文件“保驾护航”

大家电脑里肯定有一些重要文件需要特殊照顾,比如笔者保存在G:\mydocument下的产品报表文件,按公司的要求每天制作完后要备份一份到移动硬盘,近来由于工作繁忙经常没有及时备份,有时加班的同事还会误删报表文件。现在利用Ntbackup命令来轻松解决上述烦恼。

1.备份文件夹
点击“开始→程序→附件→系统工具→备份”,单击“高级模式”(如果是Windows 2000则无需选择),按提示选择g:\mydocument,备份类型选择“正常”,将该文件夹备份到“f:\mydocument.bkf”。

2.自动备份当日报表文件
(1)建立自动备份脚本
打开“记事本”输入下面内容并保存为批处理文件beifen.bat,放置在f:\。
@echo off
@ntbackup.exe backup g:\mydocunment /a /v:no /r:no /rs:no /hc:off /m daily /l:s /f "F:\mydocument.bkf"
命令的作用是通过backup.exe备份G:\mydocument下的所有当天生成的文件,同时附加到F:\mydocument.bkf中,/a表示执行附加操作,/m表示备份类型,其他参数使用备份的默认值。
(2)实现关机自动备份
运行gpedit.msc打开“组策略编辑器”,依次展开“计算机配置→Windows设置/脚本(启动/关机)”,在右侧窗格双击“关机”,在弹出的窗口单击“添加”按钮,在“脚本名”中输入“f:\beifen.bat”(见图1)。这样每次关机时系统都会自动将当天的报表文件附加到f:\mydocument.bkf。


3.妙手回春还原文件
现在如果忘记备份前两天的报表文件,打开备份高级模式,单击“还原和管理媒体”,选择mydocument.bkf,在右侧窗格选中每日备份下的文件(日期为昨天和前天),然后将它还原到移动硬盘即可(还原位置选择“单个文件夹”,移动硬盘上的文件夹),同样可以在此还原被同事误删除的文件(见图2)。

“追杀”病毒文件
很多小网站和不知名的软件中都有可能捆绑木马或病毒,经常在网上搜罗新软就很难不中招,相信这已经成了很多网虫心中永远的痛。加壳、修改病毒特征码等诸多方法都可以绕过杀毒软件的追捕,对于此类情况就要通过手动方法来杀毒。但如何在文件“海洋”里找到病毒文件?系统的system32目录是病毒最乐于藏身之处,下面介绍利用Ntbackup备份system32的方法来追查这些病毒文件。

1.建立备份脚本
同上法先启动“备份”,备份项目依次选择“我的电脑”下的“System State”(系统状态数据)和“c:\windows\system32”,备份模式为“正常”,将项目分别备份到“d:\system.bkf”和“d:\system32.bkf”。将下列代码保存为脚本文件system32mr.bat,放置在f:\。
@echo off
@ntbackup.exe backup c:\windows\system32 /a /v:no /r:no /rs:no /hc:off /m daily /l:s /f "d:\system32.bkf"
将下列代码制作为system32zl.bat,放置在f:\。
@echo off
@ntbackup.exe backup c:\windows\system32 /a /v:no /r:no /rs:no /hc:off /m Incremental /l:s /f "d:\system32.bkf"
上述两个命令的作用是在每次关机时对system32实行每日备份和增量备份,并将文件附加到d:\system32.bkf,这样每天“跑”入system32的病毒(创建日期为当天)和新增的文件都会被ntbackup捕获,然后用上文的方法将两个批处理文件都放置到组策略的关机脚本中。

小提示
设置关机脚本后,默认每次关机都会执行备份操作,如果要跳过脚本运行,要关机时打开任务管理器,按住Ctrl键然后单击“关闭”,选择“关机”或“重启”即可。

本例病毒是在c:\windows\ system32下,如果病毒文件在system32的子文件夹中,可以将每日和增量备份都还原到单个文件夹如g:\a(“高级”选项中不要勾选“保留现有卷的载入点”,见图3),然后打开g:\a就可以找到所有新增文件,在这里依次排查即可,文件具体路径可以用系统的搜索功能查找,或者用“dir /s g:\a >g:\1.txt”命令(此时还原选项要勾选“保留现有卷的载入点”),然后打开1.txt查找即可。


2.查杀病毒
如果怀疑自己中招了,那么通过相应的备份文件就能轻易找出病毒。笔者在一次上网后就中了修改版的冰河木马病毒,下面用Ntbackup来查毒。
(1)从目录里揪出病毒:重启电脑,运行“备份”组件,在“还原和管理媒体”选择system32.bkf,在右侧窗格选中每日和增量备份项目,依次展开c:\windows\system32就可以看到新增的文件了,这其中的“kernel32.exe”就是病毒文件。因为木马病毒一般是可执行文件(EXE或COM),而文件名中一般会包含“system”、“kernel”等貌似系统组件的关键字,只要在新增备份里查找此类文件即可。
(2)恢复系统:因为冰河会在注册表添加自启动项和修改TXT文件打开方式,同上在“还原和管理媒体”选中system.bkf,将系统状态数据还原到原位置,按提示重启后进入“安全模式”将kernel32.exe删除,这样就顺利删除病毒并恢复系统。虽然笔者这里只是以冰河为例,但是多数恶意程序的特征都和它类似(藏身于system32/修改注册表),利用上述方法可以快速发现并查杀大多数病毒。
注意:系统状态的还原工作是还原系统所有状态数据(包括整个注册表、系统启动文件等),还原前最好关闭所有不必要的程序,以保证整个还原操作全部完成(不可人为终止)。

小提示
平时的操作不会向system32目录写入很多文件,但在安装系统补丁或大型软件时,增量备份的文件会很多(关机时间也会很长),不利于查找病毒,所以在执行此类操作后最好重新制作一个system32的完整备份,然后再执行增量备份,或者在发现病毒时手动执行system32.bat。另外,系统状态备份文件比较大且不容易发生变化,建议每周执行一次完整备份即可。