C盘根目录下文件揭秘

C盘根目录下文件大揭秘
经常见到一些网友，跟U盘病毒作斗争久了，养成了看到磁盘根目录的隐藏文件就删的“职业习惯”，结果当自己买来新电脑的时候，一下子看到C盘下有那么多“病毒”，就全部删了，结果……下次开机的时候系统就起不来了，汗……
4 M/ E! {% Q! _0 d5 k
所以，我感觉有必要跟大家讲一讲C盘下这些系统文件的作用，以及简要介绍一下系统的启动过程。下面，就请我为大家一一道来：

. j. l4 N7 P# R  H( ~6 j5 y( g: m5 |CONFIG.SYS

  V9 w1 ]  g- r, PCONFIG.SYS是包含在DOS（磁盘操作系统，Disk Operating System）中的一个文本文件命令，它告诉操作系统计算机如何初始化。多数情况下，CONFIG.SYS命令制定内存设备驱动和程序，以控制硬件设备；开启或进制系统特征；以及限制系统资源。CONFIG.SYS在autoexec.bat（自动批处理程序）文件执行前载入。
0 Y) a/ I! w) _: D% f) n" L1 e8 w" c) i
AUTOEXEC.BAT
1 s3 l2 K+ S0 |' `& C: C: [* }
DOS在启动会自动运行autoexec.bat这个文件，一般我们在里面装载每次必用的程序，如: path(设置路径)、smartdrv(磁盘加速)、 mouse(鼠标启动)、mscdex(光驱连接)、 doskey(键盘管理)、set(设置环境变量)等。

IO.SYS

8 ^# B  H, ~/ O3 `. r1 ~IO.SYS提供标准硬件的输入/输出接口和DOS的中断调用，在电脑启动过程中，此文件会根据用户通过输入设备的信号执行相应的操作。大家常挂在嘴边的“开机按F8进入安全模式”就是来自于这个文件的作用

" A, @# L( c8 w/ cboot.ini

9 I! q. T9 O" e7 g/ ~当我们在电脑中安装了多系统（如Windows 2000和Windows XP）之后，每次启动计算机时都会出现一个系统引导菜单，在此选择需要进入的系统后回车即可。这个引导程序就是Boot.ini，在安装Windows 2000（XP）时程序自动被安装，使用它我们可以轻松对电脑中的多系统进行引导，还可以通过该引导文件，设置个性化的启动菜单。
1 d- c2 A& l& n9 a
系统主要依赖Boot.ini文件来确定计算机在重启（引导）过程中显示的可供选取的操作系统类别。Boot.ini在缺省状态下被设定为隐含和系统文件属性, 并且被标识为只读文件。
9 h4 n6 n* D/ [7 }# l$ \
. u: l' K* v$ u5 f" l$ y9 y4 q; j双击boot.ini，我们通常能看到如下的内容

& ^: H  z) c1 P$ j$ g[boot loader]
/ n( |/ |5 g. {+ c0 \8 w
  Y. X* r: T$ z6 gtimeout=30

default=scsi(0)disk(0)rdisk(0)partition(1)\WINDOWS

$ V) A9 F/ j# Y  M3 y[operating systems]
. K5 q1 z0 O" P! g  `; [$ G
5 ^% e0 F% X- V' Y6 C1 F. jscsi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
( C: E  c! x% U+ J, L
对其分析，主要有以下功能

“timeout”指定在选择默认的操作系统之前 Windows等待的时间。

) a, f% h& a/ D) K“default”指定默认的操作系统。
5 Q2 i3 z' O  e# }8 D3 S6 m
2 n7 g1 G0 Y+ Z  `! [“scsi(0)”表示主控制器（通常也是唯一的控制器）负责此设备。如果有两个 SCSI 控制器并且磁盘与第二个控制器相关联，则第二个控制器称为“scsi(1)”。

6 a& a; R/ \+ g; a# ^8 W如果系统使用 IDE、增强的 IDE (EIDE) 或增强的小型设备接口 (ESDI) 驱动器，或者如果系统使用没有内置 BIOS 的 SCSI 适配器，请将“scsi”替换为“multi”。
6 [% E# K7 H( k& F. l9 r
“disk(0)”指要使用的 SCSI 逻辑单元 (LUN)。它可以是独立的磁盘，但是大多数 SCSI 设置对每个 SCSI ID 只有一个 LUN。
' c: e3 i: e  P5 K- d: H. j, N( c
. ^0 ~3 ~  n- M“rdisk(0)”指物理磁盘1。

“partition(1)”是计算机中第一个驱动器上的第一分区。如果有两个分区（C 和 D），则分区 C 为 partition(1)，分区 D 为 partition(2)。
( C+ E: E" h- y# ~& }* T
“/noexecute=optin /fastdetect”指定快速监视并调试信息，启动时不检查串行口和并行口。

bootfont.bin
6 w# f2 @- Y# s, G0 P" A* w
1 A, g7 y' }! C- Q& eBOOTFONT.BIN是用来汉化引导菜单的，删除后引导菜单会变成英文
7 }6 G2 O% `% l2 {
MSDOS.SYS
8 ^+ p7 }8 v7 {* u0 t
MSDOS.SYS是DOS的核心文件之一。

MSDOS.SYS 在微软非NT内核的操作系统中经常可以看到它。MSDOS.SYS可以修改，但改坏了可能会导致系统无法启动，可以用记事本打开，内面是一些启动参数，如：开机时显示菜单、开机时进行磁盘扫描、开机时显示LOGO等等。
' M* Y% _) |$ C
/ X2 R- A; e( m" h: L2 tNTDETECT.COM

Ntdetect.com会收集如下类型的硬件信息：

系统固件信息，例如时间和日期等

% Q5 s0 C: l/ k总线适配器的类型

显卡适配器的类型

键盘
" Z, w" N* ]: w! `
通信端口
. ^, Y5 k6 a3 z) V, A1 O3 k
存储设备

其它输入设备，例如鼠标等

并口

; y: J& A" y  \4 t安装在ISA槽中的ISA设备
6 Y, A2 F$ D' Z- T! V/ N6 K" o
) r  M9 q$ H& p0 x完成信息的检测之后，系统就会在屏幕上显示那个Windows图标，并出现一个滚动条，告诉用户Windows 的启动进程
6 N# X; c3 j6 }/ V! [; {% d! k# Y
. A) `2 D) O3 x" H3 T" d; W* Fntldr
, U: I& ]& V0 Z5 v+ u. P
( w% ]  C/ }- ?# n2 Z1 xNTLDR全称是NT Loader，是系统加载程序，用来装载操作系统。

NTLDR文件是系统的引导文件，当此文件丢失时启动系统会提示"NTLDR is missing..."并要求按任意键重新启动，不能正确进入系统。
$ k. @: B7 |0 }/ q. ~- X
下面简要介绍系统的启动过程：

1、电源BIOS自检程序开始运行

" c" L$ a! i. r4 l: B( e2、主引导记录被装入内存，并且程序开始执行

3、活动分区的引导扇区被装入内存

4、NTLDR从引导扇区被装入并初始化
( N& T' [1 R, W$ O. n
. m$ W" D/ z, k3 y2 F5、将处理器的实模式改为32位平滑内存模式
0 C( {3 z8 G, s. R9 J6 E6 O2 ~
6、NTLDR开始运行适当的小文件系统驱动程序（小文件系统驱动程序是建立在NTLDR内部的，它能读FAT或NTFS）

; `* ?" j0 E2 J! [, Z3 V) r1 ]4 ?- H7、NTLDR读boot.ini文件

! V5 W: C) R1 W% }8、NTLDR装载所选操作系统

/ ^& |$ c' ^# l8 a2 J% s9、Ntdetect.com 搜索计算机硬件并将列表传送给NTLDR，以便将这些信息写进HKE Y_LOCAL_MACHINE/HARDWARE中。
" l3 G* i% f) C! g& b. [, ]  ~
: O: ~. h8 a2 ?/ l1 \1 c  {% u/ q10、然后NTLDR装载Ntoskrnl.exe，Hal.dll和系统信息集合。

11、Ntldr搜索系统信息集合，并装载设备驱动配置以便设备在启动时开始工作
2 K( K/ @* C/ ~
12、Ntldr把控制权交给Ntoskrnl.exe，这时,启动程序结束,装载阶段开始
3 e+ H1 f) U# r( E1 W

/ {- {; [; r* o# N9 U. K6 v
另外，有的电脑系统盘根目录下还会有下面的两个文件，虽然跟系统启动没有关系，在此也一并介绍吧

, |" y* i' y0 N5 H; R( R- ypagefile.sys

' e3 X1 Y+ C. `% L( }* c简单说说吧，其实这就是传说中的虚拟内存啦，可以用这个文件的空间做内存，从而弥补RAM空间的缺乏。虚拟内存管理器会选择最近没有用过的、低优先级的内存部分写到这个文件上去

hiberfil.sys

" e/ r& v% r- ^这个文件只在启用了系统休眠的电脑上可见，而且其大小与电脑的内存大小一致。
. Y% T/ M5 F0 ?& e+ K
当电脑进入休眠状态时，内存会把自身的内容完全拷贝到这个文件里，当下一次电脑启动，内存被加电唤醒的时候，又会从这个文件里把内容调回来

1 x5 L1 S" r6 p+ S如何才能显示上面的这些文件？

打开“我的电脑”——工具——文件夹选项——查看

" E6 x7 E/ Q! ]! ]勾选“显示系统文件夹的内容”
" ~4 [" w# I6 t1 z3 n6 J) \( A
取消勾选“隐藏受保护的操作系统文件”
) ?6 U; |$ N& F: a
' s" x/ O" d3 R/ {" E6 l9 Z选择“显示所有文件和文件夹”

如果误删了这些文件，该如何修复呢？
3 C5 g# v! |1 G' o/ Q: O
* x' P, \0 m0 I3 I1 d2 V; q最简单的方法，就是找另一台电脑，把那些文件完全拷贝过来
+ e2 Y6 z! m$ G- H: o: r% X
如果已经关机了，无法启动，先用工具光盘引导启动，然后执行上面的步骤就ok了！