一.名詞解釋(以下解釋大多來自windows幫助和支持中心)
*1.基本磁盤:基本磁盤可包含多達四個主磁盤分區,或三個主磁盤分區加一個具有多個邏輯驅動器的擴展磁盤分區.如果要創建跨越多個磁盤的分區,必須首先利用"磁盤管理"或 Diskpart.exe 命令行工具將基本磁盤轉換為動態磁盤.

2.磁盤分區:有時也叫邏輯分區,是物理磁盤的一部分,不太準確的講一個盤就是一個分區,如C盤.準確地講是物理上獨立的磁盤那樣工作的物理磁盤部分.創建分區后,將數據存儲在該分區之前必須將其格式化并指派驅動器號.在基本磁盤上,分區被稱為基本卷,它包含主要分區和邏輯驅動器.在動態磁盤上,分區被稱為動態卷,它包含簡單卷,帶區卷,跨區卷,鏡像卷和RAID-5卷.

3.主分區:全稱主磁盤分區,可以在基本磁盤上創建的分區的類型.主磁盤分區是象物理上獨立的磁盤那樣工作的物理磁盤的部分.在基本主啟動記錄 (MBR) 磁盤上,在每個基本磁盤最多可以創建四個主磁盤分區,或者三個主磁盤分區和一個有多個邏輯驅動器的擴展磁盤分區.在基本 GPT 磁盤上,最多可以創建 128 個主磁盤分區.主磁盤分區也被稱為卷.

4.擴展分區:一種只可以在基本主啟動記錄 (MBR) 磁盤上創建的分區類型.如果想在基本 MBR 磁盤上創建四個以上的卷,擴展磁盤分區將非常有用.與主磁盤分區不同的是,不要用文件系統格式化擴展磁盤分區,然后給它指派一個驅動器號.相反,您可以在擴展磁盤分區中創建一個或多個邏輯驅動器.創建邏輯驅動器之后,可以將其格式化并指派一個驅動器號.一個 MBR 磁盤可以包含最多四個主磁盤分區,或三個主磁盤分區,一個擴展磁盤分區和多個邏輯驅動器.

5.文件系統:在操作系統中,在其中命名,存儲,組織文件的綜合結構.NTFS,FAT 和 FAT32 都是文件系統的類型.也叫分區格式.

6.FAT32:一種文件系統,FAT32 比 FAT 支持更小的簇和更大的卷,這就使得 FAT32 卷的空間分配更有效率.

7.NTFS:一種文件系統,提供性能,安全性,可靠性和在所有 FAT 版本中都沒有的高級功能的高級文件系統.例如,NTFS 通過使用標準的事務處理記錄和還原技術來保證卷的一致性.如果系統出現故障,NTFS 將使用日志文件和檢查點信息來恢復文件系統的一致性.在XP以上系統中,NTFS 還可以提供諸如文件和文件夾權限,加密,磁盤配額和壓縮這樣的高級功能.

8.驅動器號:IBM 及其兼容計算機的磁盤驅動器的命名約定.驅動器用字母命名,從 A 開始,后跟冒號.

9.權限:與對象關聯的規則,用來控制誰可以訪問對象及訪問的方式如何.權限由對象的所有者授予或拒絕.在NTFS卷上,權限可自定義設置.可以通過選擇個別組的權限標準設置來自定義文件和目錄上的權限.

10.簇:文件存儲的最小單位.如果一個簇大小為4KB,那么一個文件即使只有一個1字節的內容保存時也在占用4KB的磁盤空間.因此簇越小,越節省空間.但是簇大的好處是存儲或讀取的速度比較快.

*11.分區表:位于硬盤主引導扇區(0柱面0磁頭1扇區)后從1BE字節開始,共64個字節,包含四個分區表項.(每個16字節,大部分用戶此處后兩個表項內容應該均為0),這就是為什么最多只能有四個主分區的原因.擴展分區占用了主分區表的一個表項,擴展分區起始位置所指示的扇區(即該分區的第一個扇區)中,包含有第一個邏輯分區表,同樣從1BEH字節開始,每個分區表項占用16個字節.邏輯分區表一般包含兩個分區表項,一個指向某邏輯分區,另一個則指向下一個邏輯分區或擴展分區.下一個擴展分區的首扇區又包含了一個邏輯分區表,這樣以此類推,擴展分區中就可以包含多個邏輯分區.

二.實踐
1.查看磁盤分區格式
打開我的電腦,右擊某個盤,屬性,如圖,我這里的是FAT32.

*2.磁盤分區的情況.
右擊我的電腦,管理,磁盤管理,如圖,我的是兩個主分區,又在第二個主分區(擴展分區)上分了三個邏輯分區.如果沒有劃分擴展分區,則整個磁盤就只有一個分區.

下面看一下我以前的磁盤劃分(不懂請跳過),當時裝有linux系統,現在搬到windows下了,圖中三個未知分區合并為現在的X盤,E盤轉化為NTFS格式.(未指派部分比較特殊,與聯想一鍵恢復有關,這里就不扯了)

擴展分區也算是一個主分區,有了擴展分區,你可以劃分邏輯分區,在windows下這個確實挺亂的,我們看到的是C盤,D盤,E盤等,好像他們都是一樣的,其實不是的.....安裝過linux系統的話就應該會很清楚點
上面這個圖的解釋:
_________________________________________________________________________
/hda1 第一個主分區 ,FAT32格式,裝有windows XP　　　(C盤) 6.82G
/hda2 第二個主分區  (擴展分區,具體劃分看下面)       大小為下面幾個數加起來
　　/hda5　　　D盤,NTFS格式的　　軟件都安裝在這了  9.77G
       /hda6　　　E盤　FAT32格式的  放資料用的             8.30G
       /hda7          /boot區,ext3格式                                     102MB
       /had8　　　linux根分區,ext3格式                               9.73G
　　/hda9　　　交換分區                                             478MB
__________________________________________________________________________
圖中因windows無法識別linux的分區格式,所以顯示為未知分區.
下面一個圖是關于分區表的.(不懂可跳過,以后講數據恢復時再詳細講解.)

3,徹底刪除System Volume Information文件夾
一般情況下,每個分區下都會有這么這個文件夾,而且可能無法刪除,如圖: 也打不開

這個文件夾的作用是保存了系統的還原點,如果這個文件夾能被輕易刪除,那么系統還原將得不到保證.一般我們并不用系統自帶的還原.很多人甚至關閉了系統還原(如何關閉:我的電腦,屬性,系統還原,在所有驅動器上關閉系統還原).
對于FAT32格式的分區,可以直接刪除.對于NTFS的分區,你需要先取得權限.方法如下:
文件夾選項,查看,使用簡單文件共享前面的勾去掉.
右擊System Volume Information,屬性,安全,高級,所有者,選擇你的用戶名,替換子容器及對象的所有者前打勾,確定,是.如圖:

現在可以打開看到里面的內容了.而且也可以刪除了.但是過會兒又會出現.
下面我們來徹底干掉這個文件,方法如下:
Win+R,輸入services.msc,確定.找到名為System Restore Service的服務,雙擊它,點擊停止,再將啟動類型改為禁用,確定.然后按上面的方法取得所有權,最后刪除即可.

4,回收站文件夾Recycled/RECYCLER
Recycled存在于FAT32格式的分區中,可以刪除,但系統會重建.刪除的結果類似于清空了部分回收站,為什么不是全部呢?比如我刪除了C盤中的Recycled,則打開桌面上的回收站后將看不到以前在C盤刪除的文件或文件夾,因為這部分內容已經被清空了.
RECYCLER存在于NTFS格式的分區中,打開它,可以看到一個或一個以上的回收站圖標,并且文件名很長很怪,如S-1-5-21-73586283-308236825-725345543-500,刪除的后果與上面的類似.
除此之外,我們還可以設定回收站的大小.
右擊回收站圖標,屬性,全局,在這里還可以進行很多設置,如刪除時不將文件移入回收站,而是徹底刪除,刪除時是否顯示刪除確認對話框等.

5.徹底刪除Thumbs.db
看看你電腦中有多少個名為Thumbs.db的文件.
搜索我的電腦,文件名填Thumbs.db,更多高級選項,搜索系統文件,搜索隱藏的文件和文件夾,搜索子文件夾前全部打勾.然后點擊搜索.應該可以發現一大堆吧.如圖:

我的還算少得呢,大家千萬不要以為中毒了,可以刪除的,大家可以試下,如果提示是系統文件什么的也沒事,放心刪除好了.我全部刪除了.
不知大家發現什么規律了沒?為什么有些文件夾下面會有,有些沒有.
請打開這些文件夾看看吧,發現了吧,凡是剛才存在Thumbs.db這個文件的目錄中都有圖片文件.
看到奇怪之處了沒?剛才不是全部刪除了嗎,怎么又有這個文件了.
這個文件的作用是緩存圖片縮略圖的.只要一打開有圖片的目錄,這個文件就自動生成了.
如果你不想看到這個文件,請按如下方式操作:
文件夾選項,查看,不緩存縮略圖前打勾,確定,重新搜索,刪除這些文件.

6.desktop.ini文件
先搜索下,又是一大堆.這些文件只存在于一些特殊文件夾中,如圖片收藏,我的音樂,收藏夾等.刪除后問題也不會很大,但是少了很多趣味,聽我慢慢道來.
用記事本打開其中一個看看內容吧,我打開了C:\Documents and Settings\dream\My Documents\My Pictures\Desktop.ini(我的文檔\圖片收藏),內容如下:
復制內容到剪貼板
代碼:
[DeleteOnCopy]
Owner=dream
Personalized=39
PersonalizedName=My Pictures
[.ShellClassInfo]
InfoTip=@Shell32.dll,-12688
IconFile=%SystemRoot%\system32\mydocs.dll
IconIndex=-101
擴展名為ini的文件基本都是配制文件.一個配制文件的基本結構如下:
復制內容到剪貼板
代碼:
[字段名]
關鍵字=值
因此,上面的[DeleteOnCopy]和[.ShellClassInfo]都是字段名,這兩個是由系統定義的,不要隨便改.
Owner是當前文件夾的所有者名
Personalized是個性化私人標識,具體含義我也不明白,微軟未完全公開
PersonalizedName是當前文件夾的名字
InfoTip當鼠標指向這個文件夾時出現的提示文字,后面的@Shell32.dll,-12688是什么意思,大家知道么?忘了的話請復習第4課,有詳細說明.這里我把它改成"雷特反病毒教學第5課".看效果:
  

IconFile指定圖標,后面為圖標的路徑.可以是ico圖標文件的路徑,也可以是包含圖標資源exe,dll文件的路徑.
IconIndex圖標在資源文件中的索引號
我把上面兩項分分別作如下修改:
IconFile=E:\edu\antivirus\anti\anti2.exe
IconIndex=0
這個exe文件就是我們第4課附件中的那個anti2.exe.刷新下看效果:

文件夾的名稱也顯原形了,這個偶也不清楚,有待研究,知道的回復下,謝謝.
另外desktop.ini文件還可以定義文件夾的背景等.舉個例子:
我新建個文本文檔,重命名為desktop.ini,路徑為C:\Documents and Settings\dream\My Documents\desktop.ini
內容如下:
復制內容到剪貼板
代碼:
[ExtShellFolderViews]
{BE098140-A513-11D0-A3A4-00C04FD706EC}={BE098140-A513-11D0-A3A4-00C04FD706EC}
[{BE098140-A513-11D0-A3A4-00C04FD706EC}]
IconArea_Text=0x000000FF
IconArea_Image=C:\WINDOWS\Web\Wallpaper\Ascent.jpg
IconArea_Text文件名的顏色,這里是紅色.
IconArea_Image背景圖片路徑,我電腦中沒什么好看的圖片,就用了系統自帶的一個.
最終效果如圖:

關于這個文件的內容還有好多好多,不一一細說了.大家動手操作一遍吧.很多人可能會將它誤認為病毒相關文件,其實不是,但有時可能是,你用記事本打開這個文件看下內容就什么都清楚了.

特殊文件還有好多,以后再講,特別是一些和病毒加載有關或容易被誤認為病毒的文件.本來還想講autorun.inf文件的,下次吧,這個文件常被病毒利用的,類似的能被病毒利用的文件還有不少.