WINDOWS文件被替换问题
发布网友
发布时间:2022-04-24 09:14
我来回答
共5个回答
热心网友
时间:2022-06-18 10:58
首先,如果被替换的文件不是关键性的系统文件(即系统文件被替换后仍然不影响系统的运行),而你又不喜欢它那个提示对话框,这时候你就可以把它的提示关闭.
--------------------------
关闭方法是:
[点击开始菜单]→[运行]→[输入命令:cmd]→[然后在弹出的窗口里面直接输入命令:sfc /cancel]
呵呵,这样提示应该就会没了
__________________________
还有一种方法就是:当它在弹出窗口的时候,你插入系统安装盘,然后根据提示修复被替换的文件.
.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>
.>详细的你可以参考一下Windows文件保护是如何工作的.>
.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>.>
当你安装一个应用程序却不料引起Windows崩溃的时候,很有可能是因为应用程序改写了关键的Windows系统文件,导致系统崩溃。在文件被修改后,结果往往不可预知。系统可能正常运行,或者出一些错误,或者完全崩溃。幸运的是,Windows 2000, XP,和Server 2003应用了一个称作Windows文件保护(Windows File Protection, WFP)机制,它可以防止关键的系统文件被改写。在这篇文章中,我将解释何谓WFP和它是如何工作的。我还要告诉你如何修改或忽略WFP的行为。(注释:尽管在Windows 2000, XP,和Server 2003上,WFP的运行没什么区别,但这篇文章中的信息,包括注册表相关条目和SFC语法,是针对XP的。)
Windows文件保护是如何工作的
WFP被设计用来保护Windows文件夹的内容。WFP保护特定的文件类型,比如SYS、EXE、DLL、OCX、FON和TTF,而不是阻止对整个文件夹的任何修改。注册表键值决定WFP保护的文件类型。
当一个应用程序试图替换一个受保护的文件,WFP检查替换文件的数字签名,以确定此文件是否是来自微软和是否是正确的版本。如果这两个条件都符合,则允许替换。正常情况下,允许替换系统文件的文件种类包括Windows的服务包,补丁和操作系统升级程序。系统文件还可以由Windows更新程序或Windows设备管理器/类安装程序替换。
如果这两个条件没有同时满足,受保护文件将被新文件替换,但将很快被正确的文件替换回来。当这种情况发生时,Windows会从Windows安装CD或者计算机的DLLCache文件夹中复制正确版本的文件。
Windows文件保护并不仅仅通过拒绝修改来保护文件,它还可以拒绝删除。来看看WFP的做法,打开WINDOWSSYSTEM32文件夹并将CALC.EXE文件重命名为CALC.OLD。当你这样做时,一个消息将提示你如果改变这个文件的扩展名可能会导致这个文件不可用。点击Yes按钮确认这个警告。现在,等几分钟后按F5键以刷新文件系统的视图,完成替换可能要花些时间。当文件最终被替换后,Windows会在事件日志中做相应的记录。
关于WFP值得关注的一点是它和Windows安装程序结合的很紧密。无论何时,如果Windows安装程序需要安装一个受保护的文件,它就把这个文件交给WFP,而不是自己试图去安装这个文件。然后由WFP判断是否允许安装。
系统文件检查
虽然自动文件替换会节省时间,但也存在需要手动干预的情况。例如,你可能不愿意空等着WFP去判断受保护的文件是否已经被替换。幸运的是,你可以用一个名为系统文件检查(SFC)的工具手动控制WFP。
SFC是一个命令行工具,需要在命令提示符窗口下运行。它的语法像这样:
SFC [/SCANNOW] [/SCANONCE] [/SCANBOOT] [/REVERT] [/PURGECACHE] [/CACHESIZE=x]
/SCANNOW选项通知SFC立即扫描所有受保护的系统文件。如果在扫描过程中发现一个错误的文件版本,这个错误的版本将被替换为微软正确的版本。当然,这意味着你可能必须有Windows安装CD,最新的服务包或者升级补丁。
/SCANONCE参数通知WFP在系统下次启动的时候扫描受保护的系统文件。在扫描过程中,任何错误的文件将被正确的版本替换。正如这个参数名的意思,这个扫描只进行一次。之后的系统启动将恢复正常,SFC不再运行。
/SCANBOOT参数和/SCANONCE选项类似。区别在于SCANONCE只在Windows下次启动时扫描受保护的文件,而SCANBOOT参数则在Windows每次启动时都扫描系统文件。如果需要,这两个参数将替换错误的系统文件,这可能需要你提供正确文件版本的拷贝。
/REVERT选项用来关闭SFC,例如,假设你使用SCANBOOT选项在每次系统启动的时候扫描所以保护的文件。正如你所能想到的,这确实会增加计算机启动的总时间。最后,你可能厌倦了漫长的启动时间,想关闭SFC。只需要简单的使用SFC /REVERT,就可以在启动的时候关闭SFC。
对/PURGECACHE选项就需要谨慎些。在这之前,我解释说Windows使用一个缓存文件夹来保存各类系统文件正确版本的备份。如果你运行SFC /PURGECACHE命令,那么这个文件缓存将被清空,那些备份文件将被删除。这个命令还会导致Windows开始扫描各类受保护文件,并在扫描的同时重建这个文件缓存。当然,这可能意味着你必须向Windows提供Windows安装CD或系统文件升级的拷贝。
最后一个SFC命令选项是/CACHESIZE=x。对于文件缓存的缺省大小确实存在很多自相矛盾的信息,在写这篇文章的时候,我发现三篇不同的微软知识库文章中指定的文件缓存的缺省大小都不一样。一篇文章中建议文件缓存的大小为50 MB,而另一篇建议的大小却是300 MB。更有甚者,第三篇指出这个大小应该是无限的。其实缺省值的大小并不重要,因为你可以根据你的需要,使用CACHESIZE选项来改变这个文件缓存的大小。
在使用CACHESIZE选项时,你必须键入命令SFC /CACHESIZE=x,这个x是指你想分配给文件缓存的兆字节数。在指定了新的文件缓存大小后,你必须重启系统并运行SFC /PURGECACHE命令。
通过注册表控制WFP和SFC
在这之前,我解释说注册表控制WFP的一般行为。你可以修改几个不同的注册表键值以控制WFP的行为。你可以在每次运行SFC直接操作这些键的一部分,其他一些有更低级别的功能。比如指定文件缓存或者安装文件的位置。
修改注册表可能是危险的。如果你做了一个错误的修改,可能会导致Windows的崩溃或者破坏你的应用程序,所以我强烈建议在尝试这一节中描述的任何技术之前,先对注册表做一个完整的备份。
为了访问SFC的注册表键,在Run命令中键入REFEDIT命令。这将打开注册表编辑器,现在浏览注册表树找到下面这个键:
HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinLogon
通常地,注册表中WinLogon键一般用来控制各种不同的启动选项。虽然许多SFC的选项都可控制SFC是否在启动的的时候运行,但微软已经将SFC相关的注册表键放在这个部分。
SFCDisabled
这个注册表键控制SFC是激活的还是无效的。实际上你只需通过改变DWORD的值,就可以得到四个不同的选项。缺省的DWORD值是0。这个设置激活SFC。通常你不需要改变这个值。然而,你可以在0到4之间修改这个值使得激活SFC但不让它弹出。
如果将内核调试器挂起,你最好关闭SFC。如果正在使用一个内核调试器,你可以将注册表键的DWORD值修改为1,这会关闭SFC并且会在以后的每次启动时都提示你是否再次激活SFC。
你也可以通过将DWORD值设为2来关闭SFC。这个选项只是在下次启动时关闭SFC。没有再激活SFC的选项,因为SFC将在这之后启动时自动激活。
SFCScan
在这之前,我解释了SFC的SCANONCE, SCANBOOT,和REVERT选项。只要你使用这些选项,实际上SFC是在修改SFCScan注册表键。你可以通过改变它的DWORD赋值来修改这个键。
默认的值是0。这个值的意思是不需要在启动时扫描受保护文件。这个设置相当于运行SFC /REVERT命令。
改变DWORD值为1,意思是在每次启动时都扫描受保护文件。设置SFCScan的值为1相当于运行SFC /SCANBOOT命令。
最后,设DWORD值为2就是告诉SFC在下次启动时扫描受保护文件,但并非以后的所有启动。这相当于运行SFC /SCANONCE命令。
SFCQuota
SFCQuota注册表键用来控制SFC文件缓存的大小。或许你会记得,之前在我谈到SFC /CACHESIZE=x 命令时,我提到关于文件缓存的默认大小,存在许多不一致的信息。然而在我的系统上,注册表键SFCQuota的DWORD值默认为0xffffffff。根据微软知识库,这个值对应文件缓存的大小为300 MB。同一篇知识库的文章指出通过修改这个值为FFFFFFFF,你可以缓冲存储所有受保护的系统文件。
SFCDllCacheDir
在这之前,我解释说Windows将DLLCACHE文件夹作为存储系统文件备份的地方。通常的,这个文件夹位于WINDOWSSYSTEM32目录下。不过通过修改SFCDllCacheDir注册表键,你可以修改文件缓存的位置。
文件缓存文件夹一般位于DLLCACHE目录下,但通过修改这个注册表键,你可以修改这个文件夹的位置。唯一需要注意的一点是你必须指定一个已经存在于本地硬盘驱动器上的地址。在Windows 2000里,你可以指定一个网络共享作为DLLCACHE的路径,但在Windows XP中没有这个选项。
SFCShowProgress
另一个与SFC相关的注册表键是SFCShowProgress键。这个注册表键允许你设置它的DWORD值为0,或1。缺省值是0,它将禁止显示SFC的进程情况。设值为1就可以让SFC显示进展情况。
源文件地址
在这之前,我解释了WFP和SFC是如何工作的,我指出在某些条件下你可能必须提供Windows安装CD或者有效源文件的拷贝。然而通过修改注册表,向Windows指明一个源文件目录是完全可能的,而无需Windows再向你询问这些文件。
这个注册表键在注册表的另一部分。你必须找到下面这个键:
HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionSetup
一旦你找到了这个位置,通过使用一个驱动器符号或者路径或者一个UNC,你可以指定Windows系统文件的位置。
使用这个命令的前提是你必须将文件放在名为I386的目录中。例如,如果你的Windows系统文件位于一个名为C:I386的目录中,那么你只需在注册表中指定路径为C:,因为Windows假定I386这个目录是存在的。同样的,如果你打算使用一个UNC共享,I386文件夹必须存在于共享目录下。例如,如果你打算共享的目录名为FILES,你需要将I386文件夹放在FILES目录下。然后你可以告诉Windows在\server_nameFILES目录下寻找共享文件。Windows将在\server_nameFILESI386目录中寻找系统文件
热心网友
时间:2022-06-18 10:58
windows文件被替换了怎么办:
用同样的文件替换回来了。
1、既然被替换了,机器里肯定有了病毒或木马程序,需要彻底杀毒。2、安全模式能替换部分文件3、用第三启动工具替换。PE光盘、优盘都可以启动,替换相应的文件即可。
windows文件被替换了怎么操作:
开始菜单-->运行-->输入gpedit.msc命令,回车执行,打开组策略编辑器-->计算机配置-->管理模板-->系统-->Windows 文件保护-->在右边的设置列表中,双击“设置Windows文件保护扫描”-->点选“已禁用”,确定保存。 然后,在桌面或者任意位置,新建一个文本文档,内容如下:Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"SFCDisable"=dword:ffffff9d 然后保存成扩展名为.reg的注册表文件,如1.reg。双击该注册表文件,将键值导入注册表,最后重启电脑即可。
热心网友
时间:2022-06-18 10:59
不能.只能将操作系统重新安装一次.另外,如果嫌安装操作系统费时的话,您可能在电脑安装完操作系统及其它常用软件后,利用GHOST将您电脑中的C盘克隆成镜像文件(即备份当前C盘的所有文件,这同复制不同),将镜像文件保存在C备以外的盘,当操作系统出现故障,可以通过GHOST将原先克隆的镜像文件恢复到C盘即可,恢复一个操作系统只需十来分钟(当然时间根据操作系统安装的软件多少和您电脑的性能而有所不同).但有一点要注意的是:通过镜像文件恢复时,应该确认C盘无重要文件,因为恢复后,C盘的文件将会全部恢复到备份时的状态.镜像文件一定要保存在C盘以外,否则无法通过它恢复.本人建议重要的文件不要保存在C盘,以免恢复备份时出现麻烦.
热心网友
时间:2022-06-18 10:59
的确是病毒。
你的文件已经被更改,而且你还装着还原精灵。
办法就是:
用低格软件将硬盘低格一下(如果不低格,还原精灵是会来捣乱的),然后再重装系统。
提示:如果有重要数据文件一定要先备份出来哟。
把旗子插在俺这里吧……
热心网友
时间:2022-06-18 11:00
这种情况多为中了病毒引起。常见于WINXP,如果数据不多,可以重做下系统。
如果数据多,可以用360或QQ管家修复下系统文件。
建议重装。