trojan安装教程

关于TROJAN

trojanx苹果怎么下载，n。

trojan 是较新的代理软件，trojan官网是 https://trojan-gfw.github.io/trojan/。与强调加密流量的SS/SSR等工具不同，trojan重点在将流量伪装成互联网最常见的https流量，从而规避防火墙的探测和干扰，相当于配置了流量伪装的精简版V2ray。在敏感时期，基本上只有 trojan 和 V2ray流量伪装 能提供稳如狗的服务。

trojan的缺点在于关注度不够，官方客户端都比较简陋。trojan安装和使用请参考：trojan教程，服务端一键部署请参考：trojan一键脚本 或 trojan-go一键脚本。

本站提供最新版trojan Windows客户端、trojan安卓客户端、trojan mac客户端、trojan苹果客户端和trojan Linux客户端高速下载，下载客户端后 需添加trojan节点 才能上外网。

trojan/startpage.pe 是个什么样的病毒呀？

检测和删除系统中的木马教程

一、木马（Trojan Horse）介绍 。

木马全称为特洛伊木马（Trojan Horse，英文则简称为Trojan）。此词语来源于古希腊的神话故事，传说希腊人围攻特洛伊城，久久不能得手。后来想出了一个木马计，让士兵藏匿于巨大的木马中。大部队假装撤退而将木马摈弃于特洛伊城下，让敌人将其作为战利品拖入城内。木马内的士兵则乘夜晚敌人庆祝胜利、放松警惕的时候从木马中爬出来，与城外的部队里应外合而攻下了特洛伊城。

在计算机安全学中，特洛伊木马是指一种计算机程序，表面上或实际上有某种有用的功能，而含有隐藏的可以控制用户计算机系统、危害系统安全的功能，可能造成用户资料的泄漏、破坏或整个系统的崩溃。在一定程度上，木马也可以称为是计算机病毒。

由于很多用户对计算机安全问题了解不多，所以并不知道自己的计算机是否中了木马或者如何删除木马。虽然现在市面上有很多新版杀毒软件都称可以自动清除木马病毒，但它们并不能防范新出现的木马病毒（哪怕宣传上称有查杀未知病毒的功能）。而且实际的使用效果也并不理想。比如用某些杀毒软件卸载木马后，系统不能正常工作，或根本发现不了经过特殊处理的木马程序。本人就测试过一些经编程人员改装过的著名木马程序，新的查杀毒软件是连检查都检测不到，更不用说要删除它了（哪怕是使用的是的病毒库）。因此最关键的还是要知道特洛伊木马的工作原理，由其原理着手自己来检测木马和删除木马。用手工的方法极易发现系统中藏匿的特洛伊木马，再根据其藏匿的方式对其进行删除。

二、木马工作的原理

在Windows系统中，木马一般作为一个网络服务程序在种了木马的机器后台运行，监听本机一些特定端口，这个端口号多数比较大（5000以上，但也有部分是5000以下的）。当该木马相应的客户端程序在此端口上请求连接时，它会与客户程序建立一TCP连接，从而被客户端远程控制。

既然是木马，当然不会那么容易让你看出破绽，对于程序设计人员来说，要隐藏自己所设计的窗口程序，主要途径有：在任务栏中将窗口隐藏，这个只要把 Form的Visible属性调整为False，ShowInTaskBar也设为False。那么程序运行时就不会出现在任务栏中了。如果要在任务管理器中隐身，只要将程序调整为系统服务程序就可以了。

好了，现在我们对木马的运行有了大体了解。让我们从其运行原理着手来看看它藏在哪。既然要作为后台的网络服务器运行，那么它就要乘计算机刚开机的时候得到运行，进而常驻内存中。想一想，Windows系统刚启动的时候会通过什么项目装入而运行一些程序呢？你可能会想到“开始->程序->启动”中的项目！没错，这是Windows启动时要运行的东西，但要是木马服务器程序明显地放在这就不叫木马了。

木马基本上采用了Windows系统启动时自动加载应用程序的方法，包括有win.ini、system.ini和注册表等。

在win.ini文件中，[WINDOWS]下面，“run=”和“load=”行是Windows启动时要自动加载运行的程序项目，木马可能会在这现出原形。必须要仔细观察它们，一般情况下，它们的等号后面什么都没有，如果发现后面跟有路径与文件名不是你熟悉的或以前没有见到过的启动文件项目，那么你的计算机就可能中上木马了。当然你也得看清楚，因为好多木马还通过其容易混淆的文件名来愚弄用户。如AOL Trojan，它把自身伪装成command.exe文件，如果不注意可能不会发现它，而误认它为正常的系统启动文件项。

在system.ini文件中，[BOOT]下面有个“shell=Explorer.exe”项。正确的表述方法就是这样。如果等号后面不仅仅是 explorer.exe，而是“shell=Explorer.exe 程序名”，那么后面跟着的那个程序就是木马程序，明摆着你已经中了木马。现在有些木马还将explorer.exe文件与其进行绑定成为一个文件，这样的话，这里看起来还是正常的，无法瞧出破绽。

隐蔽性强的木马都在注册表中作文章，因为注册表本身就非常庞大、众多的启动项目及易掩人耳目。

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 。

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 。

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx 。

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 。

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 。

上面这些主键下面的启动项目都可以成为木马的容身之处。如果是Windows NT，那还得注意HKEY-LOCAL-MACHINE\Software\SAM下的东西，通过regedit等注册表编辑工具查看SAM主键，里面下应该是空的。

木马驻留计算机以后，还得要有客户端程序来控制才可以进行相应的“黑箱”操作。要客户端要与木马服务器端进行通信就必须得建立一连接（一般为TCP连接），通过相应的程序或工具都可以检测到这些非法网络连接的存在。具体如何检测，在第三部分有详细介绍。

三、检测木马的存在

知道木马启动运行、工作的原理，我们就可以着手来看看自己的计算机有没有木马存在了。

首先，查看system.ini、win.ini、启动组中的启动项目。由“开始->运行”，输入msconfig，运行Windows自带的“系统配置实用程序”。

1、查看system.ini文件 。

选中“System.ini”标签，展开[boot]目录，查看“shell=”这行，正常为“shell=Explorer.exe”

，如果不是这样，就可能中了木马了。下图所示为正常时的情况：

2、查看win.ini文件

选中win.ini标签，展开[windows]目录项，查看“run=”和“load=”行，等号后面正常应该为空 。

3、查看启动组

再看看启动标签中的启动项目，有没有什么非正常项目？要是有象netbus、netspy、bo等关键词，

极有可能就是木马了。本人一般都将启动组中的项目保持在比较精简的状态，不需要或无大用途的项目都 。

屏蔽掉了

4、查看注册表

由“开始-运行”，输入regedit，确定就可以运行注册表编辑器。再展开至：

“HKEY-LOCAL-MACHINESoftwareMicrosoftWindowsCurrentVersionRun”目录下，查看键值中有没有自己 。

不熟悉的自动启动文件项目，比如netbus、netspy、netserver等的单词。注意，有的木马程序生成的 。

服务器程序文件很像系统自身的文件，想由此伪装蒙混过关。比如Acid Battery木马，它会在注册表项 。

“HKEY-LOCAL-MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun”下加入 。

Explorer=“CWINDOWSexpiorer.exe”，木马服务器程序与系统自身的真正的Explorer之间只有一个字母 。

的差别！

通过类似的方法对下列各个主键下面的键值进行检查：

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce 。

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnceEx 。

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServices 。

HKEY-LOCAL-MACHINE\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce 。

如果操作系统是Windows NT，还得注意HKEY-LOCAL-MACHINE\Software\SAM下面的内容，如果有项目，那极有可能就是木马了。正常情况下，该主键下面是空的。

当然在注册表中还有很多地方都可以隐藏木马程序，上面这些主键是木马比较常用的隐身之处。除此之外，象HKEY-CURRENT-USER\ Software\Microsoft\Windows\CurrentVersion\Run、HKEY-USERS\****\Software\ Microsoft\Windows\CurrentVersion\Run的目录下都有可能成为木马的藏身之处。最好的办法就是在HKEY-LOCAL -MACHINE\Software\Microsoft\Windows\CurrentVersion\Run或其它主键下面找到木马程序的文件名，再通过其文件名对整个注册表进行全面搜索就知道它有几个藏身的地方了。

如果有留意，注册表各个主键下都会有个叫“（默认）”名称的注册项，而且数据显示为“（未设置键值）”，也就是空的。这是正常现象。如果发现这个默认项被替换了，那么替换它的就是木马了。

4、其它方法

上网过程中，在进行一些计算机正常使用操作时，发现计算机速度明显起了变化、硬盘在不停的读写、鼠标不听使唤、键盘无效、自己的一些窗口在未得到自己允许的情况下被关闭、新的窗口被莫名其妙地打开.....这一切的不正常现象都可以怀疑是木马客户端在远程控制你的计算机。

如果怀疑你现在正在被木马控制，那么不要慌张地去拔了网线或抽了Modem上的电话线。有可能的话，最好可以逮到“黑”你的那个家伙。下面就介绍一下相应的方法：

由“开始->运行”，输入command，确定，开一个MS-DOS窗口。或者由“开始->程序->MS-DOS”来打开它。在MS-DOS窗口的命令行键入“netstat”查看目前已与本计算机建立的连接。如下图所示：

显示出来的结果表示为四列，其意思分别为Proto：协议，Local Address：本地地址，Foreign Address 。

：远程地址，State：状态。在地址栏中冒号的后面就是端口号。如果发现端口号码异常（比如大于5000 。

），而Foreign Address中的地址又不为正常网络浏览的地址，那么可以判断你的机器正被 。

Foreign Address中表示的远程计算机所窥视着。在对应行的Foreign Address中显示的IP地址就是目前非 。

法连接你计算机的木马客户端。

当网络处于非活动状态，也就是目前没什么活动网络连接时，在MS-DOS窗口中用netstat命令将看不 。

到什么东西。此时可以使用“netstat -a”,加了常数“-a”表示显示计算机中目前处于监听状态的端口 。

。对于Windows98来说，正常情况下，会出现如下的一些处于监听状态的端口（安装有NETBEUI协议）：

如果出现有不明端口处于监听（LISTENING）状态，而目前又没有进行任何网络服务操作，那么在监听该 。

端口的就是特洛伊木马了！如下图所示的23456和23457端口都处于监听状态，很明显是木马造成的。

注意，使用此方法查询处于监听状态的端口，一定要保证在短时间内（最好5分钟以上）没有运行任何 。

网络冲浪软件，也没有进行过任何网络操作，比如浏览网页，收、发信等。不然容易混淆对结果的判断。

四、删除木马

好了，用上面的一些方法发现自己的计算机中了木马，那怎么办？当然要将木马删除了，难道还要保留它！首先要将网络断开，以排除来自网络的影响，再选择相应的方法来删除它。

1、由木马的客户端程序

由先前在win.ini、system.ini和注册表中查找到的可疑文件名判断木马的名字和版本。比如“netbus”、“netspy”等，很显然对应的木马就是NETBUS和NETSPY。从网上找到其相应的客户端程序，下载并运行该程序，在客户程序对应位置填入本地计算机地址： 127.0.0.1和端口号，就可以与木马程序建立连接。再由客户端的卸除木马服务器的功能来卸除木马。端口号可由“netstat -a”命令查出来。

这是最容易，相对来说也比较彻底载除木马的方法。不过也存在一些弊端，如果木马文件名给另外改了名字，就无法通过这些特征来判断到底是什么木马。如果木马被设置了密码，既使客户端程序可以连接的上，没有密码也登陆不进本地计算机。当然要是你知道该木马的通用密码，那就另当别论了。还有，要是该木马的客户端程序没有提供卸载木马的功能，那么该方法就没什么用了。当然，现在多数木马客户端程序都是有这个功能的。

2、手工

不知道中的是什么木马、无登陆的密码、找不到其相应的客户端程序、......，那我们就手工慢慢来删除这该死的木马吧。

用msconfig打开系统配置实用程序，对win.ini、system.ini和启动项目进行编辑。屏蔽掉非法启动项。如在win.ini文件中，将将[WINDOWS]下面的“run=xxx”或“load=xxx”更改为“run=”和“load=”；编辑system.ini文件，将 [BOOT]下面的“shell=xxx”，更改为：“shell=Explorer.exe”。

转贴于 华夏黑客同盟 http://www.77169.org 。

用regedit打开注册表编辑器，对注册表进行编辑。先由上面的方法找到木马的程序名，再在整个注册表中搜索，并删除所有木马项目。由查找到的木马程序注册项，分析木马文件在硬盘中的位置（多在C:\WINDOWS和C:\WINDOWS\COMMAND目录下）。启动到纯MS-DOS状态（而不是在Windows环境中开个MS-DOS窗口），用del命令将木马文件删除。如果木马文件是系统、隐藏或只读文件，还得通过“attrib -s -h -r”将对应文件的属性改变，才可以删除。

为保险起见，重新启动以后再由上面各种检测木马的方法对系统进行检查，以确保木马的确被删除了。

目前也有一些木马是将自身的程序与Windows的系统程序进行了绑定（也就是感染了系统文件）。比如常用到的Explorer.exe，只要 Explorer.exe一得到运行，木马也就启动了。这种木马可以感染可执行文件，那就更象病毒了。由手工删除文件的方法处理木马后，一运行 Explorer.exe，木马又得以复生！这时要删除木马就得连Explorer.exe文件也给删除掉，再从别人相同操作系统版本的计算机中将该文件 Copy过来就可以了。

五、结束语

Internet上每天都有新的木马冒出来，所采取的隐蔽措施也是五花八门。在信息社会里，计算机用户对自己的资料进行保密、防止泄漏也变得越来越重要。防范木马袭击也只是提高计算机安全性的一个方面。技术的发展，本文所讲述的检测、删除木马方法也总有一天会失效，最主要还是要靠用户提高警惕，防范所有的不安全事件于未然。

典型案例一：

我的机器已中了木马病毒Trojan.TRC.mIRC.f 。

是在c:\WINNT\system32\sy5tem文件中，我想要把文件删掉，可是提示为：源文件正在被使用，瑞星杀毒软件又不能杀掉，我的系统是win2oooprofessinal,并不能运行msconfig命令，请教：该怎么办？

回复：

从Windows XP中剥离的Msconfig程序完全可以在Windows 2000中使用。顺便提供 pchome下载点。

把它COPY 到Win2000的WinntSystem目录下，然后直接运行。

程序首先会弹出一个出错的消息框，提示找不到以下几个系统文件：Config.sys、Autoexec.bat、System.ini 及Win.ini，“忽略”它，点击“确定”之后就会看到 Msconfig 程序窗口。

参考文献：http://www.enet.com.cn/article。

木马Trojan怎么杀?

Trojan/StartPage.pe是“初始页”变种pe是一个木马，大小为22523字节，经VB编写。“初始页”变种bt运行后，修改IE浏览器主页为http://www.qiooo.com/（也可能是其它的），并能够通过QQ将网址自动发送给用户好友。变种也可能有其它的症状，不过这都没关系。

还是用软件杀 要是会在DOS下杀的话做好 如果不会就在开电脑的时候按F8进入安全模式 不要带网络连接的安全模式 然后查杀一遍。（建议用江民2006，生级到最新）

我中了trojan该怎么办???

集成汉化中文版安装程序：

1、利用卡巴斯基 英文版进行汉化 。

2、安装界面也已经汉化成中文（除官方之外，国内只有卡巴技术论坛能够做到）

3、集成了激活文件，安装完成后，设置向导过程中自动激活。

4、破解了关于操作系统和小内存的限制（即可以安装在windows2003+sp1系统中,sp2未测试）

5、替换了杀猪声为温柔女声。

转载请注明出处：卡巴技术论坛 http://www.kpchina.net 江南混混作品。

如果出现子系统故障,请升级后重起电脑即可解决.。

特别信息:混混的激活码给封杀了，请填入1GUFS-ZE4X6-3T2MX-FA61X选择试用...然后以后去装360安全卫士，获得最新的激活码。

AVGAnti-Spyware--极致安全完美防护.针对因特网上传播的新一代安全威胁的有效解决方案.确保您的数据安全,保护您的隐私,抵御间谍软件,广告软件,木马,拨号程序,键盘记录程序和蠕虫的威胁.在易于使用的界面之下,我们为您提供了高级的扫描和探测方式以及时下最尖端的技术.反病毒程序只能提供针对危急爆发的威胁如木马,蠕虫,拨号程序,劫持程序,间谍软件和键盘记录程序的有限的保护.而这正是AVGAnti-Spyware保护的出发点,它能补充现有的安全应用程序从而创建一个完整的安全系统 -- 因为只有完整的安全系统才能有效地工作.。

先来3个高速代理，目前长久有效！

类型：HTTP 主机：221.208.173.84 端口：3128 。

类型：socks4 主机：83.100.217.21 端口：1080。

类型: HTTP 主机: 85.10.237.8 端口: 80。

本版本:

绿色版实时防护方法运行目录下的install.bat安装、uninstall.bat卸载、加右键扫描方法运行目录下的右键设置.bat、右键解除.bat。

特别信息:AVG Anti-Spyware 7.5.0.47 最新许可码（经本人验证，可用到09年4月）

75SP-TH1VD1-P09-C01-S30MUE-NNK-I1X8。

http://www.xdowns.com/soft/8/21/2006/Soft_33508.html。

解决trojan-downloader.win32.agent.cix

trojan不是什么特定的东西，而是和病毒一样的一个统称，中文叫特洛伊，一般后面还加个木马俩字（开个玩笑），源自古希腊史诗，《木马屠城》看过吧。

ghost教程详解 Ghost是最著名的硬盘复制备份工具，因为它可以将一个硬盘中的数据完全相同地复制到另一个硬盘中，因此大家就将Ghost这个软件称为硬盘“克?gt;>惫ぞ摺J导噬希珿host不但有 。

硬盘到硬盘的克隆功能，还附带有硬盘分区、硬盘备份、系统安装、网络安装、升级系统等功能。1998年6月，出品Ghost的Binary公司被著名的Symantec公司购并，因此该软件的 。

后续版本就改称为Norton Ghost，成为Nordon系列工具软件中的一员。1999年2月，Symantec公司发布了Norton Ghost的5.1C版本，该版本包含了多个硬盘工具，并且在功能上作了 。

较大的改进，使之成为了一个真正的商业软件。

安装

>>>>此软件不需安装，复制即可使用。

Ghost硬盘克隆

>>>>Ghost就是克隆硬盘的程序，该程序在DOS下、Windows9.X下都可执行，所以要进行硬盘的克隆，请先进入到Ghost子目录，运行Ghost.exe程序，需要注意的是，如果是在DOS下 。

运行该程序时，在运行该程序前最好启动DOS的鼠标驱动程序，因为Ghost的操作画面是仿窗口画面，使用鼠标点击来选择会方便一些——虽然也可以用键盘来操作。另外在备份或 。

克隆硬盘前最好清理一下硬盘——删除不用文件、清空回收站、碎片整理等。

>>>>1.分区备份 。

>>>>使用Ghost复制备份，有整个硬盘(Disk)和分区硬盘(Partition)两种备份方式。在菜单中点击“Local”(本地)项，在右面弹出的菜单中有三个子项，其中“Disk”表示整个硬 。

盘备份(也就是克隆)，“Partition”表示单个分区硬盘备份以及硬盘检查“Check”。“Check”项的功能是检查硬盘或备份的文件，看是否可能因分区、硬盘被破坏等造成备份或 。

还原失败。而分区备份作为个人用户来保存系统数据，特别是在恢复和复制系统分区具有实用价值。

>>>>?gt;>癓ocal/Partition/To Image”菜单，弹出硬盘选择窗口，开始分区备份操作。点击该窗口中白色的硬盘信息条，选择硬盘，进入窗口，选择要操作的分区(用鼠标点击)。

>>>>然后在弹出的窗口中选择备份储存的目录路径并输入备份文件名称，注意备份文件的名称带有GHO的后缀名。

>>>>接下来，程序会询问是否压缩备份数据，并给出三个选择。“No”表示不压缩，“Fast”表示小比例压缩而备份执行速度较快，“High”就是高比例压缩但备份执行速度较慢 。

。最后，选择“Yes”按钮即开始进行分区硬盘的备份。Ghost备份的速度相当快，不用久等就可以完成备份，备份的文件以GHO后缀名储存在设定的目录中。

>>>>2.分区备份的还原 。

>>>>如果硬盘中备份的分区数据受到损坏，用一般磁盘数据修复方法不能修复，以及系统被破坏后不能启动，都可以用备份的数据进行完全的复原，无须重新安装程序或系统。当 。

然，也可以将备份还原到另一个硬盘上。

>>>>要恢复备份的分区，就在界面中选择菜单“Local/Partition/From Image”，在弹出窗口中选择还原的备份文件，再选择还原的硬盘和分区，点击“Yes”按钮即可。

>>>>恢复还原时要注意的是，硬盘分区的备份还原是要将原来的分区一成不变地还原出来，包括分区的类型、数据的空间排列等。

>>>>3.硬盘的克隆 。

>>>>硬盘的克隆就是对整个硬盘的备份和还原，选择菜单“Local/Disk/To Disk”，在弹出的窗口中选择源硬盘(第一个硬盘)，然后选择要复制到的目的硬盘(第二个硬盘)。注意 。

，可以设置目的硬盘各个分区的大小，Ghost可以自动对目的硬盘按设定的分区数值进行分区和格式化。选择“Yes”开始执行。

>>>>Ghost能将目的硬盘复制得与源硬盘几乎完全一样，并实现分区、格式化、复制系统和文件一步完成。只是要注意目的硬盘不能太小，必须能将源硬盘的内容装下。

>>>>Ghost还提供了一项硬盘备份功能，就是将整个硬盘的数据备份成一个文件保存在硬盘上(菜单“Local/Disk/To Image”)，然后就可以随时还原到其它硬盘或原硬盘上。这对 。

要安装多个系统硬盘很方便。使用方法与分区备份相似。要注意的是，备份成的文件不能大于2GB。

注意事项

Ghost使用注意事项使用过电脑的人都知道，最快速恢复系统的软方法就是利用Norton Ghost，那么你知道在使用Ghost的时候要注意哪些方法吗？如何才能避免Ghost的系统没有 。

缺陷？

一.用Ghost制作IMG文件时的注意事项：

1.1 制作C盘镜像文件时的注意事项 。

首先必须对C盘进行大扫除，清理所有临时文件和不必要的文件。

a) 清理IE的临时文件

■ Cookies:为了彻底清除所有Cookies，就必须利用到DOS，在DOS方式下进入C:\Windows\Cookies文件夹，使用删除命令deltree /y *.*就可以全部清空。这样做最为干净 。

、彻底。

■历史纪录：为了彻底清除所有历史纪录，还是需要进入DOS，在DOS方式下进入C:\Windows\History文件夹，使用删除命令deltree /y *.*就可以全部清空。

■ IE临时文件：为了彻底清除所有临时文件，也需要进入DOS，在DOS方式下进入C:\WINDOWS\Temporary Internet Files文件夹，使用删除命令deltree /y *.*就可以全部 。

清空。注意：由于文件很多，使用前最好加载smartdrv.exe以加快处理速度。

■ 清理Windows临时文件 。

TEMP文件夹：这个文件夹位于C:\Windows里面，是Windows的默认临时文件夹，也是众多软件的默认临时文件夹，如果不清理这个文件夹会造成很大的空间浪费。清理方法：

直接进入这个文件夹删除全部文件就可以了。

■ Recent文件夹：这个文件夹位于C:\Windows里面，是Windows用来察看最近文件的。清理方法：直接进入这个文件夹删除全部文件就可以了。

■ 清除开始--文档里面的快捷方式：在任务栏上右键，选择属性--开始菜单程序--按下清除按钮就可以清除了 。

b)清理注册表中的

>>>>>>>>>>对C盘进行磁盘扫描，修复损坏的簇，避免Ghost失败。 对C盘进行磁盘碎片整理程序：这里推荐使用Windows自带的，虽然速度很慢，但是效果比用VoptME好。 在对c盘 。

进行镜像制作/还原的时候千万注意：务必使用DOS启动盘引导系统，因为系统在C盘，如果用硬盘启动容易造成Ghost不成功或者是镜像文件损坏。

Ghost详细使用方法 在帮你添点 。

-CLONE：克?gt;>?br>-IA：对所有分区中的扇区进行映象。

-ID：对整个磁盘（包括未分区空间）进行复制。

-IR：和ID一样，但不将分区调整为扇区界限。

-IB：只复制磁盘的启动扇区。

-IAL：对LINUX分区进行整个复制，对其它分区则用正常方法。

-OR：覆盖空间并进行完整性检查。

-NOLILO：复制后不要试图去修正LILO启动调入器。

-BOOTCD：当使用-SURE直接制作CD-R映象时，期望找到可启动软盘。

-FDSZ：清除目标磁盘上的标志性字节。

-FDSP：保留目标磁盘上的标志性字节。（优先级高于-FSSZ）

-LPM：LPT主并行连接模式。

-LPS：LPT从并行连接模式。

-TCPM：TCP/IP主连接模式。

-TCPS：TCP/IP从连接模式。

-USBM：自动进入USB主模式。

-USBS：自动进入USB从模式。

-JL：记录多点传送会话诊断消息到文件。

-JS：设置最大的多点传送值。

-JA：设置多点传送会话的名称。

-AUTO：不要提示输入文件名，使用默认值。

-CHKIMG：检查映象文件的完整性。

-PWD：指定密码。

-SKIP：指定需要跳过的FAT文件系统中的文件或目录。

-PMBR：当进行任何磁盘复制操作时，保留目标磁盘中的主引导记录。

-SPAN：允许存取多个卷。

-SPLIT：当创建映象时将映象分成数块。

-Z：压缩映象文件。

-F64：当调入旧映象文件时允许64K的簇大?gt;>?br>-FATLIMIT：防止FAT分区大小超过2兆。

-F32：将FAT16转换为FAT32。

-NTD：允许NTFS内部诊断检查。

-NTC-：禁止NTFS连续簇分配。

-NTCHKDSK：强制CHKDSK在下一个NTFS卷启动。

-NTIC：忽略NTFS卷上的CHKDSK位。

-NTIL：忽略非空的NTFS日志文件检查位。

-NTIID：忽略分区系统标识符的复制。

-TAPEBUFFERED：默认的磁带模式。

-TAPESAFE：当使用旧的或不可的磁带时有用。

-TAPESPEED：允许控置磁带速度。

-TAPEUNBUFFERED：强制非缓冲的磁带输入输出。

-TAPEEJECT：强制磁带操作完后弹出。

-TAPEBSIZE：磁带块大?gt;>?br>-RB：强制复制完成后自动重新启动。

-FX：当完成复制后退出程序。

-QUIET：安静模式。

-SURE：和-CLONE选项一起使用来避免提问。

-BATCH：批处理模式，一切操作由程序自动完成。

-NOFILE：禁止文件询问。

-SCRIPT：自动按照脚本文件中的命令来运行程序。

-DL：指定存在的硬盘号。

-FIS：使用检测出的硬盘最大值。

-FNX：禁止扩展13号中断支持。

-FFX：使用扩展13号中断。

-FNI：禁止直接IDE硬盘存取支持。

-FFI：使用直接IDE硬盘存?gt;>?br>-FNS：禁止直接ASPI/SCSI硬盘存取支持。

-FFS：使用直接ASPI/SCSI硬盘存?gt;>?br>-NOSCSI：禁止使用ASPI存取SCSI设备。

-BFC：处理坏的FAT簇。

-VDM：写入前使用使用磁盘校验命令来检查磁盘上的每个扇区。

-FRO：强制即使有坏的簇也继续复制。

-CRC32：使用CRC32校验。

-CRCIGNORE：尽量忽略映象文件中的错误。

-FCR：当建立文件时创建校验文件。

-AFILE：使用指定的中止记录文件。

-DI：显示诊断。

-MEMCHECK：诊断内存。

-DD：记录磁盘信息到GHSTSTAT.TXT 。

-DFILE：使用指定的信息日志文件。

-FINGER：显示详细的指纹信息。

-VER：显示程序版本号。

-------------------------------------------------------------------------------- 。

二.进行DISK to DISK时的注意事项 。

2.1 两个硬盘必须完全一样，否则最好不用这个方法 。

2.2 这种方法容易导致分区表出错，请谨慎用之。一旦分区表出错，恢复方法有：手工修改、重新分区、低级格式化 。

三.特别注意事项

3.1 Ghost只能用于自身的Ghost，不能把Ghost想做万能工具，要知道，在不同硬件环境下使用一个Ghost的IMG文件轻则导致系统受损，重则导致硬件受损。Ghost的IMG文件只能用 。

于本机，不能到处流传。现在D盘上的许多Ghost大全是不能使用的。

3.2 新机子最好先用98的安装程序安装，让系统在安装中检查有没有错误，不推荐在新机子上用Ghost。

3.3 在恢复C盘备份的时候，必须对C盘进行格式化操作，否则容易导致恢复失败。

1、硬盘间的复制：

>>>>有些朋友可能遇到这种情况，比如有两个容量一致的硬盘，其中一个有可以正常运行的操作系统，另一个则为空盘，那么你无需在第二块硬盘上安装WIN98，只需要使用GHOST 。

在很短的时间内就可以完成这项工作。

>>>>首先将两块硬盘安装在同一个机器上，设好主从状态，在DOS状态下（有些时候，GHOST也可以WIN98下运行，但为了防止意味的情况发生，建议你运行在DOS环境下）运行GHOST 。

，然后选择LOCAL、DISK、TO DISK，此时GHOST就会显示有两个磁盘的情况，然后点击第一个磁盘（原盘），按GHOST提示进行确认，然后再点击第二个磁盘（目标盘），再进行确 。

认之后GHOST就开始复制的工作。屏幕上方将有蓝色进度条显示其进行的状态，一般1G左右的数据在10分钟左右就可以完成。

>>>>操作此功能，注意的是选择原盘和目标盘时千万不要搞错，如果你选择反了，等到复制完之后你就只能得到两个空盘了。

>>>>对于不同容量的两个硬盘，这个方法只能使用在从小硬盘复制到大硬盘之上，反之则不行。进行复制后的大硬盘，你还可以通过分区软件来将剩余的空间找出来（因为GHOST为 。

将剩余的空间做为空闲处理）。

>>>>对于其中有坏道的硬盘来说，这种复制操作后，系统运行会变得不稳定，所以要注意。

2、从硬盘到镜像：

>>>>有的朋友手中可能有闲置的硬盘，这样就可以使用他来备份你使用中的硬盘的数据。这样，你就可以使用到这个功能。

>>>>安装两个硬盘在一台机器上，运行GHOST，选择LOCAL、DISK、TO IMAGE。此时GHOST就会显示两个磁盘的情况，然后选定要备份的硬盘，再选定镜像文件放置在什么位置（往往 。

是第二块硬盘的某一个目录中，目录要事先建立好的！）然后在屏幕下端的提示栏中输入一个名字，比如DISKIMG，再按回车，就可以进行备份的工作了，同样有一个进度条演示进 。

度过程。

3、从镜像恢复到硬盘：

>>>>经过了上一步骤的备份之后，也许你有一天硬盘就坏掉了，不要紧，咋不是有GHOST吗！赶快拿出来备份的硬盘，安装在同一机器上，使用系统盘启动（软盘也可），运行GHOS 。

T，然后选择LOCAL、DISK、FROM IMAGE，再选择你所备份的镜像文件存放在位置，上例中是DISKIMG，然后指定要向哪一块硬盘恢复。确认之后，恢复工具就开始了。庞大的系统将 。

会在十几分钟内就搞定了。是不是很方便！

4、从分区到分区：

>>>>你可能有这种要求，两个不同的硬盘，只想有相同的系统和工具软件，但其它的分区不同。这样的工作也可以通过GHOST来完成。

>>>>首先将两块硬盘安装在同一机器上（同一硬盘复制分区的意义好像不大吧！），运行GHOST。选择LOCAL，PARTITION，TO PARTITION。然后选择原分区（因为是安装了两个硬盘 。

，所以分区可能会非常多，所以在此处一定要弄清你两块硬盘的分区排列顺序，是交错的还是顺序的，不可搞混），确认后再选择目标分区（第二块硬盘的第一个分区）。确认之 。

后，GHOST就开始工作了，进度条可以展示进度的进程。待完毕之后，你就有两块都可以启动的硬盘了。

>>>>因为是分区的复制，所以此处要求两个硬盘进行复制的分区必须大小一致，如果不一致，目标盘其它分区将被删除！请注意。

5、从分区到镜像：

>>>>这个功能可以说是我们最可能用到的功能了。也就是备份操作系统WIN98的操作。如今的朋友硬盘都比较大的吧！这样就会有多个分区，又因为习惯上的原因，C盘往往都安装 。

着WIN98系统和一些常用的工具！对于天生脆弱的WIN98来说，备份整个系统的意义是非常重要的。所以这个功能无需第二块硬盘，只要将镜像放在其它分区中就可以了。

>>>>执行GHOST．EXE，屏幕上就可以出现GHOST的主界面。选择LOCAL、PARTIION、TO IMAGE，然后选定硬盘、分区，确认之后，输入一个备份的名字，例如WIN98BAK，然后按回车 。

。这时屏幕会提示三个选择项，分别是NO，FAST和HIGH。这三种的意思是：NO：备份时不进行压缩处理，所以速度最快，FAST：备份中进行一定的压缩处理，速度比较快。HIGH：

备份时压缩，压缩后体积小，但进行速度较慢。这三个选择项可以根据你的爱好来选择。最后确认即可，GHOST就开始了备份的工作。>>>> 。

>>>> 。

6、从镜像恢复分区：

>>>>如果你的WIN98坏掉了，乱了，文件错误了，则再也不用费劲的重新安装WIN98了，只要有GHOST一切好办了。

>>>>运行GHOST，选择LOCAL、PARTITION、FROM IMAGE，选定你备份文件的存放位置（GHOST的扩展名为GHO）。然后选定你要恢复的分区（这往往是你硬盘的第一个分区！）确定后 。

，GHOST就开始恢复工作了，就是这么简单。只需几分钟，你的系统就恢复了。

>>>>因为GHOST备份时使用的是原有系统，所以建议你备份之前一定要保证系统的完整性、所使用的软件全都完整，清理好回收站，安装好各个设备的驱动程序，再进行备份。另外 。

在恢复备份之前也别忘了备份你近一段时间的重要数据，因为GHOST的镜像中可不包括这些。>> 。

7、检查功能：

>>>>GHOST还具有检查功能，以检查你的镜像文件及磁盘的工作状态是否良好，这些功能应用的场合不太多，所以老安也就不多介绍了。

8、LPT传输功能：

>>>>GHOST还可以支持LPT并口的数据传输功能，可以通过并口线方便的连接笔记本电脑和台式机，进行数据的交换！因为条件所限，老安没有使用此功能方面的经验，其中的奥秘 。

还是等你自己去探索吧！

>>>>GHOST的确够COOL的，用他来复制及备份你的数据，我想一定会得心应手的！

原文地址：http://www.qianchusai.com/trojan%E5%AE%89%E8%A3%85%E6%95%99%E7%A8%8B.html