微軟操作系統(tǒng)中的系統(tǒng)文件不管是操作系統(tǒng)安裝時(shí)的必需文件，而且還包括一些驅(qū)動(dòng)程序。微軟操作系統(tǒng)對(duì)硬件的支持力度要比Linux等開源操作系統(tǒng)強(qiáng)的多。

　　眾所周知，微軟操作系統(tǒng)文件是經(jīng)常被木馬、病毒等程序所關(guān)注的對(duì)象。有時(shí)候用戶也不會(huì)在不經(jīng)意的情況下破壞系統(tǒng)文件。系統(tǒng)不穩(wěn)定大部分情況下都是由于系統(tǒng)文件遭受到破壞所引起的。在Windows7中這個(gè)系統(tǒng)文件的穩(wěn)定性有了不少的改善。

　　在談這個(gè)話題之前，首先系統(tǒng)管理員需要明白一點(diǎn)，就是微軟操作系統(tǒng)中的系統(tǒng)文件不管是操作系統(tǒng)安裝時(shí)的必需文件，而且還包括一些驅(qū)動(dòng)程序。微軟操作系統(tǒng)對(duì) 硬件的支持力度要比Linux等開源操作系統(tǒng)強(qiáng)的多。在Windows7操作系統(tǒng)中，一進(jìn)攻可以檢測(cè)大多數(shù)的硬件，并且在安裝過程中會(huì)自動(dòng)查找并安裝相應(yīng) 的驅(qū)動(dòng)程序。這主要是因?yàn)槲④浽谝粋€(gè)新版本操作系統(tǒng)出來之前，都會(huì)對(duì)當(dāng)前主流的硬件設(shè)備進(jìn)行測(cè)試。如果測(cè)試通過的話會(huì)將這個(gè)硬件的驅(qū)動(dòng)程序加入到操作系統(tǒng) 中。所以在Windows7系統(tǒng)安裝成果后不用手工安裝驅(qū)動(dòng)程序就可以識(shí)別大部分的硬件。而這些驅(qū)動(dòng)程序也就構(gòu)成了微軟操作系統(tǒng)中的系統(tǒng)文件。以下對(duì)于系 統(tǒng)文件穩(wěn)定性的一些保護(hù)措施，對(duì)于這些驅(qū)動(dòng)程序文件同樣有效。

　　一、利用文件簽名來驗(yàn)證系統(tǒng)文件是否被修改

　　在Windows 7操 作系統(tǒng)中，所有的系統(tǒng)文件(包括微軟認(rèn)可的驅(qū)動(dòng)程序文件)都會(huì)帶有微軟的簽名。在這個(gè)簽名信息中包含了系統(tǒng)文件名、存儲(chǔ)路徑、文件創(chuàng)建的日期以及版本號(hào)等 信息。如果系統(tǒng)管理員在Windows7系統(tǒng)部署完畢后，收集相關(guān)的信息。然后當(dāng)操作系統(tǒng)出現(xiàn)不穩(wěn)定的情況，系統(tǒng)管理員懷疑是系統(tǒng)文件遭受破壞所引起的， 就可以將系統(tǒng)文件的簽名與原始簽名進(jìn)行對(duì)比，就可以判斷系統(tǒng)文件是否在管理員不知情的情況下被更改了。從而可以采取相關(guān)的措施來修復(fù)系統(tǒng)文件來恢復(fù)操作系 統(tǒng)的穩(wěn)定性。

　　在微軟操作系統(tǒng)中，現(xiàn)在不需要手工來收集這些信息。在系統(tǒng)中提供了一個(gè)圖形化文件簽名工具，可以幫助系統(tǒng)管理員來做這項(xiàng)工作。在命令行模式下，輸入sigverif命令就會(huì)簽名對(duì)話框。

　　這個(gè)文件簽名工具是微軟操作系統(tǒng)提供的一個(gè)基于圖形化管理的工具。當(dāng)安裝了某個(gè)應(yīng)用程序或者硬件設(shè)別時(shí)，如果系統(tǒng)管理員懷疑原始的、被保護(hù)的、經(jīng)過數(shù)字簽 名的系統(tǒng)文件或者啟動(dòng)程序被非法修改或者替換，則就可以利用這個(gè)工具來檢查是否有這種情況的存在。雖然這個(gè)工具在以前版本的操作系統(tǒng)中已經(jīng)存在，但是以前 一直被大家所忽視。在Windows7中對(duì)這個(gè)工具做了不少的改善，特別是在性能上。經(jīng)過筆者的測(cè)試，在Windows7操作系統(tǒng)中，這個(gè)工具的運(yùn)行速度 要比以前版本的操作系統(tǒng)快好幾倍。另外這個(gè)工具在功能上也有所改進(jìn)。如在以前的操作系統(tǒng)中只檢測(cè)系統(tǒng)文件，而不會(huì)檢測(cè)驅(qū)動(dòng)程序。而現(xiàn)在的話，這個(gè)工具會(huì)同 時(shí)檢測(cè)系統(tǒng)文件以及驅(qū)動(dòng)程序文件，以確保所有的文件都具有微軟的數(shù)字簽名。當(dāng)工具檢測(cè)到?jīng)]有經(jīng)過簽名或者不準(zhǔn)確的文件版本時(shí)，就會(huì)將相關(guān)的信息文件名、修 改時(shí)間、版本號(hào)等內(nèi)容告訴給管理員。也會(huì)在系統(tǒng)相關(guān)日志中保留這些信息，以便系統(tǒng)管理員后續(xù)查詢。

　　不過筆者使用后覺得還有一個(gè)不方便的地方，就是無法將這寫信息直接導(dǎo)入到文本文件或者直接進(jìn)行復(fù)制。如現(xiàn)在這個(gè)工具查詢到某個(gè)文件有問題，如 tcpip.sys這個(gè)文件有問題。現(xiàn)在系統(tǒng)管理員可能需要在互聯(lián)網(wǎng)上查找這個(gè)文件的具體用途，以及以前是否有人也遇到過這種問題。但是讓筆者氣餒的是竟 然不能夠直接復(fù)制這個(gè)文件名字。現(xiàn)在筆者要向他人請(qǐng)教這個(gè)文件的用途時(shí)，不得不手工進(jìn)行輸入，而不能夠通過復(fù)制粘貼來實(shí)現(xiàn)。筆者建議微軟的設(shè)計(jì)專家們，在 這方面可以更加人性化一點(diǎn)。最后能夠把這些信息在這個(gè)窗口中直接導(dǎo)出為文本文件或者可以直接進(jìn)行復(fù)制粘貼操作。而不是要打開日志文件來進(jìn)行這些行為。

　　另外需要注意的是，這個(gè)工具不會(huì)對(duì)有問題的文件盡心自我修復(fù)。所以運(yùn)行這個(gè)工具并不要求有管理員的權(quán)限。也就是說，普通用戶也可以運(yùn)行這個(gè)程序來檢查系統(tǒng)文件是否被受到惡意更改。

　　二、利用sfc命令自動(dòng)修復(fù)有問題的系統(tǒng)文件

　　如果通過以上的這個(gè)工具發(fā)現(xiàn)有問題的系統(tǒng)文件該如何處理呢?除了通過系統(tǒng)安裝盤來修復(fù)系統(tǒng)文件或者手工對(duì)文件進(jìn)行修復(fù)外，在操作系統(tǒng)中還提供了另外一個(gè)有 用的工具，即sfc命令。這個(gè)命令的功能跟文件簽名認(rèn)證工具的功能類似，會(huì)對(duì)系統(tǒng)文件以及驅(qū)動(dòng)程序的簽名合法性進(jìn)行驗(yàn)證。不過兩個(gè)工具還是有很大的差異。
(責(zé)任編輯：武林網(wǎng))