一种计算机系统恢复方法、装置、设备及可读存储介质与流程

该发明涉及计算机安全领域，特别涉及一种计算机系统恢复方法、装置、设备及计算机可读存储介质。

背景技术：

文件夹病毒也被称为文件夹蠕虫，是一种利用文件夹图标迷惑用户双击打开进而进行复制的病毒，其传播能力强，家族种类繁多。

文件夹病毒通常会通过u盘或文件共享等渠道传播，在学校、医院等地点的计算机中十分常见。计算机感染了文件夹病毒后，文件夹病毒会将所有的文件夹设置为隐藏属性，自身伪装成原文件夹，并修改计算机注册表的部分注册表项。而且会复制自身到u盘等移动存储设备的根目录下，并更名为根目录下文件夹的名称。同时修改该文件夹的非隐藏属性为隐藏属性，使用户在使用移动存储设备打开其文件夹时运行病毒，以达到复制传播的目的。现有的安全软件，例如各种杀毒软件，虽然能够查杀文件夹病毒，但是无法使计算机系统功能恢复正常，在查杀文件夹病毒后，计算机系统功能仍受到限制。

因此，如何解决因感染文件夹病毒而导致的计算机系统功能受到限制的问题，是本领域技术人员需要解决的技术问题。

技术实现要素：

有鉴于此，该发明的目的在于提供一种计算机系统恢复方法、装置、设备及计算机可读存储介质，解决了因感染文件夹病毒而导致的计算机系统功能受到限制的问题。

为解决上述技术问题，该发明提供了一种计算机系统恢复方法，包括：

获取查杀文件夹病毒后的磁盘根目录中各个子目录的属性信息；

修改所述属性信息中的隐藏属性为非隐藏属性；

删除注册表中含有恶意信息的注册表项，得到简化注册表；

将所述简化注册表内各个目标注册表项的值设置为预设合法值，以恢复计算机系统功能。

可选的，查杀文件夹病毒的过程，包括：

获取预设病毒库中的病毒信息；

利用所述病毒信息和预设匹配规则对磁盘进行检测，得到文件夹病毒母体，并获取所述文件夹病毒的完整路径；

获取进程列表中具有所述完整路径的进程树，结束所述进程树并删除所述文件夹病毒母体；

删除所述文件夹病毒母体生成的病毒文件。

可选的，所述删除注册表中含有恶意信息的注册表项，得到简化注册表，包括：

删除所述注册表中含有恶意信息的所述注册表项，得到第一注册表；

删除所述第一注册表中含有与所述病毒信息对应的特殊注册表项，得到所述简化注册表。

可选的，删除所述注册表中含有恶意信息的所述注册表项，得到第一注册表，包括：

删除所述注册表中含有禁止打开文件夹选项信息或禁止调用系统运行命令信息的注册表项，得到所述第一注册表。

可选的，利用所述病毒信息和预设匹配规则对所述磁盘进行检测，得到文件夹病毒母体，并获取文件夹病毒的完整路径，包括：

利用固定路径匹配规则进行病毒母体路径匹配，判断是否存在与病毒母体路径相同的文件；

若存在与所述病毒母体路径相同的所述文件，则利用验证匹配规则对所述文件进行验证匹配；

当验证匹配成功时，确定所述病毒母体路径对应的所述文件为所述文件夹病毒母体，确定所述完整路径为所述病毒母体路径；

若不存在与所述病毒母体路径相同的所述文件，则利用所述验证匹配规则对所述磁盘中的目标文件进行验证匹配；

当验证匹配成功时，确定所述目标文件为所述文件夹病毒母体，确定所述目标文件的路径为所述完整路径。

可选的，所述利用验证匹配规则对所述文件进行验证匹配，包括：

利用yara验证匹配规则对所述文件进行yara验证匹配，利用哈希验证匹配规则对所述文件进行哈希验证匹配。

可选的，修改所述属性信息中的隐藏属性为非隐藏属性，包括：

利用bat命令将所述属性信息中的隐藏属性修改为非隐藏属性。

该发明还提供了一种计算机系统恢复装置，包括：

属性信息获取模块，用于获取查杀文件夹病毒后的磁盘根目录中各个子目录的属性信息；

属性信息修改模块，用于修改所述属性信息中的隐藏属性为非隐藏属性；

简化注册表获取模块，用于删除注册表中含有恶意信息的注册表项，得到简化注册表；

恢复模块，用于将所述简化注册表内各个目标注册表项的值设置为预设合法值，以恢复计算机系统功能。

该发明还提供了一种计算机系统恢复设备，包括存储器和处理器，其中：

所述存储器，用于存储计算机程序；

所述处理器，用于执行所述计算机程序，以实现上述的计算机系统恢复方法。

该发明还提供了一种计算机可读存储介质，用于保存计算机程序，其中，所述计算机程序被处理器执行时实现上述的计算机系统恢复方法。

可见，该方法在查杀文件夹病毒后，获取各个子文件夹的文件夹属性，并将隐藏属性修改为非隐藏属性使得文件夹属性恢复正常；同时删除含有恶意信息的注册表项，修复被文件夹病毒修改的注册表项，使计算机的注册表恢复正常。在文件夹属性和注册表恢复正常后，就可以恢复因感染文件夹病毒而受到限制的计算机系统功能，即解决了因感染文件夹病毒而导致的计算机系统功能受到限制的问题。

此外，该发明还提供了一种计算机系统恢复装置、设备及计算机可读存储介质，同样具有上述有益效果。

附图说明

为了更清楚地说明该发明实施例或现有技术中的技术方案，下面将对实施例或现有技术描述中所需要使用的附图作简单地介绍，显而易见地，下面描述中的附图仅仅是该发明的实施例，对于本领域普通技术人员来讲，在不付出创造性劳动的前提下，还可以根据提供的附图获得其他的附图。

图1为该发明实施例提供的一种计算机系统恢复方法流程图；

图2为该发明实施例提供的另一种计算机系统恢复方法流程图；

图3为该发明实施例提供的一种文件夹病毒工作原理示意图；

图4为该发明实施例提供的另一种计算机系统恢复方法流程图；

图5为该发明实施例提供的一种计算机系统恢复装置的结构示意图；

图6为该发明实施例提供的一种计算机系统恢复设备的结构示意图。

具体实施方式

为使该发明实施例的目的、技术方案和优点更加清楚，下面将结合该发明实施例中的附图，对该发明实施例中的技术方案进行清楚、完整地描述，显然，所描述的实施例仅仅是该发明一部分实施例，而不是全部的实施例。基于该发明中的实施例，本领域普通技术人员在没有做出创造性劳动前提下所获得的所有其他实施例，都属于该发明保护的范围。

实施例一：

请参考图1，图1为该发明实施例提供的一种计算机系统恢复方法流程图。该方法包括：

s101：获取查杀文件夹病毒后的磁盘根目录中各个子目录的属性信息。

具体的，在感染文件夹病毒后，磁盘根目录中每一个子目录的属性均会被修改。现有安全防护软件大多数具有查杀文件夹病毒的能力，因此在确定计算机中存在文件夹病毒时，可以利用瑞星杀毒或360杀毒等安全防护软件对文件夹病毒进行查杀。在完成文件夹病毒查杀后，获取磁盘的根目录中各个子目录的属性信息。

s102：修改属性信息中的隐藏属性为非隐藏属性。

在获取各个子目录的属性信息后，将属性信息中的隐藏属性修改为非隐藏属性。本实施例并不限定采用什么方式将隐藏属性修改为非隐藏属性，例如可以使用bat命令，即批处理命令，修改子目录的隐藏属性为非隐藏属性；或者可以通过api接口修改子目录的隐藏属性为非隐藏属性。

s103：删除注册表中含有恶意信息的注册表项，得到简化注册表。

获取计算机注册表，检测注册表中含有恶意信息的注册表项，即恶意系统策略项。此类注册表项会禁用一些计算机系统功能或修改一些计算机系统设置，进而使计算机系统无法正常工作，为文件夹病毒的传播提供便利。本实施例并不限定恶意信息的具体内容，即恶意系统策略项的具体内容，例如可以为禁止打开文件夹选项信息，即nofolderoptions信息；或者可以为禁止调用系统运行命令信息，即norun信息。本实施例中，可以预设有恶意系统策略项列表，将注册表中的每一条注册表项与恶意系统策略项列表进行对比，并将检测到的恶意系统策略项删除；或者可以预设有合法注册表项列表，将注册表中的每一条注册表项与合法注册表项列表进行对比，将不属于合法注册表项列表内的注册表项删除。在将含有恶意信息的注册表项删除后，得到简化注册表。

s104：将简化注册表内各个目标注册表项的值设置为预设合法值，以恢复计算机系统功能。

本实施例中，设置有目标注册表项及其预设合法值，其被用来修正简化注册表中对应的注册表项的值。将简化注册表内的各个目标注册表项的值设置为预设合法值之后，即可恢复因感染文件夹病毒而受到限制的计算机系统功能。本实施例并不限定目标注册表项的具体内容和数量，可以根据具体情况进行设置，只要包括文件夹病毒容易修改的注册表项即可。由于不同病毒家族的文件夹病毒修改的注册表项不同，被修改的注册表项的数目也不同。因此目标注册表项数量越多，恢复操作的速度越慢，恢复成功率越高；目标注册表项数量越少，恢复操作的速度越快，恢复成功率越低。

本实施例中，可以将s101步骤和s102步骤统称为属性修改操作，将s103步骤和s104步骤统称为注册表修复操作。本实施例并不限定属性修改操作和注册表修复操作的执行顺序，例如可以先执行属性修改操作，再执行注册表修复操作；或者可以先执行注册表修复操作，再执行属性修改操作。为了减少计算机系统恢复所需时长，本实施例中优选的，同时执行属性修复操作和注册表修复操作。

应用该发明实施例提供的计算机系统恢复方法，通过获取磁盘根目录中各个子目录的属性信息并修改属性信息中的隐藏属性为非隐藏属性，将文件夹属性恢复；再通过删除含有恶意信息的注册表项并将各个目标注册表项的值设置为预设合法值，将计算机注册表恢复。在文件夹属性和注册表信息恢复后，计算机即可恢复到感染文件夹病毒前的状态，计算机系统功能即可恢复正常，解决了因感染文件夹病毒而导致的计算机系统功能受到限制的问题。

实施例二：

在实际应用中，由于文件夹病毒的病毒家族种类繁多，不同家族种类的文件夹病毒修改的注册表项不同，因此实施例一中的方法虽然可以对文件夹属性和注册表进行修复，进而恢复部分计算机系统功能。但是由于无法检测出注册表中某些含有与病毒家族信息对应的特殊注册表项，因此无法完全修复注册表，进而无法完全恢复计算机系统功能。基于实施例一，本实施例提出一种针对病毒家族的计算机系统恢复方法，具体请参考图2，图2为该发明实施例提供的另一种计算机系统恢复方法流程图，包括：

s201：获取预设病毒库中的病毒信息。

本实施例中，设置有预设病毒库，预设病毒库中保存着不同家族种类的文件夹病毒的病毒信息。其中，病毒信息可以包括病毒家族信息，还可以包括病毒哈希、病毒特征和病毒母体路径中的至少一项。利用病毒信息，可以对不同病毒家族的文件夹病毒进行更有针对性的查杀，并在查杀后执行更有针对性的计算机系统恢复操作。

s202：利用病毒信息和预设匹配规则对磁盘进行检测，得到文件夹病毒母体，并获取文件夹病毒的完整路径。

具体的，可以利用预设匹配规则将磁盘中的各个文件的文件信息和预设病毒库中的病毒信息进行匹配，当信息匹配成功时，确定该文件信息与病毒信息相同，即该文件为该病毒信息对应的文件夹病毒，属于该病毒信息对应的病毒家族。对于文件信息的具体内容，本实施例不做限定，例如可以是路径信息；或者可以是哈希信息。本实施例中，预设匹配规则可以包括固定路径匹配规则和验证匹配规则。请参考图4，图4为该发明实施例提供的另一种计算机系统恢复方法流程图，包括：

s401：利用固定路径匹配规则对病毒母体路径进行匹配。

具体的，请参考图3，图3为该发明实施例提供的一种文件夹病毒工作原理示意图。文件夹病毒母体进入计算机后，会自动运行，生成病毒进程。病毒进程运行后，会生成文件夹病毒体，同时进行一系列操作，例如将原有文件夹隐藏；修改计算机的注册表；释放病毒脚本，以用来自动启动和自身复制；进行反查杀操作。文件夹病毒体生成后，会自动运行并复制母体，以确保文件夹病毒母体不会被删除，进而进行传播。由于文件夹病毒母体总是保存在计算机中的固定位置处，该固定位置处的路径即为病毒母体路径。不同病毒家族的文件夹病毒，其病毒母体路径也不同。例如worm.win32.fakefolder.usbinfo家族的病毒母体路径为c:\windows\system32\drivers\usbinfo.com或c:\windows\system32\screensave.scr；worm.win32.fakefolder.pikachu家族的病毒母体路径为％temp％\tuyen_tap_hai_2008.exe；\\\phimhaicuchay.exe。本实施例并不限定固定路径匹配规则的具体内容，只要可以执行路径匹配操作，判断两路径是否相同即可。利用固定路径匹配规则，可以执行s402步骤，即判断是否存在与病毒母体路径相同的文件。

s402：判断是否存在与病毒母体路径相同的文件。

利用固定路径匹配规则对病毒母体路径进行匹配，进而判断是否存在与病毒母体路径相同的文件。当匹配成功时，即确定存在自身路径与病毒母体路径相同的文件，则进入步骤s405；当匹配不成功时，即确定不存在自身路径与病毒母体路径相同的文件，则进入步骤s403。当某一病毒家族的病毒母体路径并未收录，即病毒母体路径为空时，无法与任何文件的路径匹配成功，故进入步骤s403。

s403：利用验证匹配规则对磁盘中的目标文件进行验证匹配。

当磁盘中没有任何一个文件与预设病毒库中各个病毒家族的病毒母体路径相同时，可以利用验证匹配规则对磁盘中的目标文件进行验证匹配。本实施例中，可以利用验证匹配规则对磁盘中的每一个文件进行验证匹配，当前被验证的文件即为目标文件。本实施例中并不限定验证匹配规则的具体内容，为了保证验证匹配的可靠性，提高检测文件夹病毒的能力，本实施例中优选的，可以采用yara验证匹配规则对目标文件的特征和预设病毒库中各个病毒家族的病毒特征进行yara验证匹配，同时还可以采用哈希验证匹配规则对目标文件的哈希和预设病毒库中各个病毒家族的病毒哈希进行哈希匹配。

s404：当验证匹配成功时，确定目标文件为文件夹病毒母体，确定目标文件的路径为完整路径。

当yara验证匹配通过时，即当目标文件的yara特征和预设病毒库中某个病毒家族的病毒特征相同时；或者哈希验证匹配通过时，即当目标文件的哈希和预设病毒库中某个病毒家族的病毒哈希相同时；或者当yara特征匹配和哈希匹配均通过时，可以确定该目标文件属于与其匹配的病毒特征或病毒哈希对应的病毒家族。该目标文件即为文件夹病毒母体，该目标文件的路径即为完整路径。

s405：利用验证匹配规则对文件进行验证匹配。

当磁盘中存在一个文件与预设病毒库中某个病毒家族的病毒母体路径相同时，利用验证匹配规则对该文件进行验证匹配。为了保证验证匹配的可靠性，提高检测文件夹病毒的的能力，本实施例可以采用yara验证匹配规则对目标文件的特征和预设病毒库中各个病毒家族的病毒特征进行yara验证匹配，同时可以采用哈希验证匹配规则对目标文件的哈希和预设病毒库中各个病毒家族的病毒哈希进行哈希匹配。

s406：当验证匹配成功时，确定病毒母体路径对应的文件为文件夹病毒母体，确定完整路径为病毒母体路径。

当yara验证匹配通过时，即当该文件的yara特征和预设病毒库中某个病毒家族的病毒特征相同时；或者哈希验证匹配通过时，即当该文件的哈希和预设病毒库中某个病毒家族的病毒哈希相同时；或者当yara特征匹配和哈希匹配均通过时，可以确定该文件属于与其匹配的病毒特征或病毒哈希对应的病毒家族。该文件即为文件夹病毒母体，该文件的路径，即病毒母体路径，就是完整路径。

s203：获取进程列表中具有完整路径的进程树，结束进程树并删除文件夹病毒母体。

获取进程列表中所有具有完整路径的进程构成的进程树，关闭所有具有完整路径的进程以结束进程树，并删除文件夹病毒母体，以避免因文件夹病毒母体再次复制导致的查杀失败。

s204：删除文件夹病毒母体生成的病毒文件。

在结束进程树并删除文件夹病毒母体后，可以删除整个磁盘范围内文件夹病毒母体生成的病毒文件，例如病毒脚本；或者是磁盘根目录下与各个子目录名称相同的exe病毒文件。一些病毒家族中的文件夹病毒母体还会释放其他固定路径文件，例如特殊的病毒注册表。本实施例中，预设病毒库中的病毒信息可以包括其他固定路径文件的路径，可以获取该路径并利用该路径删除其他固定路径文件。

s205：获取查杀文件夹病毒后的磁盘根目录中各个子目录的属性信息。

在删除病毒文件后，可以利用bat命令获取磁盘的根目录中各个子目录的属性信息。

s206：修改属性信息中的隐藏属性为非隐藏属性。

在获取各个子目录的属性信息后，将属性信息中的隐藏属性修改为非隐藏属性。由于bat命令具有执行速度快的优点，本实施例可以利用bat命令

ifexistdesktop.inidel/f/a/qdesktop.ini

dir/a:d/b>desktop.ini

for/f"usebackqtokens＝*"％％iin(desktop.ini)doifexist"％％i"(attrib-s-h"％％i")

del/f/a/qdesktop.ini

将子目录的隐藏属性修改为非隐藏属性。

s207：删除注册表中含有恶意信息的注册表项，得到简化注册表。

获取计算机注册表，检测计算机注册表中含有恶意信息的注册表项，即恶意系统策略项，得到第一注册表。本实施例并不限定恶意信息的具体内容，即恶意系统策略项的具体内容，例如可以为禁止打开文件夹选项信息，即nofolderoptions信息；或者可以为禁止调用系统运行命令信息，即norun信息。本实施例中，可以利用"hkey_current_user\software\microsoft\windows\currentversion\policies\system"-->"disabletaskmgr"指令来删除名为disabletaskmgr的注册表项，即具有disabletaskmgr信息的注册表项；或者可以利用"hkey_current_user\software\microsoft\windows\currentversion\policies\explorer"-->"norun"来删除名为norun的注册表项，即具有norun信息的注册表项；或者可以利用"hkey_current_user\software\microsoft\windows\currentversion\policies\explorer"-->"nofolderoptions"指令来删除名为nofolderoptions的注册表项，即具有nofolderoptions信息的注册表项。

本实施例中，在得到第一注册表后，可以利用预设病毒库中存储的病毒家族信息，确定每种病毒家族中的文件夹病毒会在注册表中增加哪些与病毒信息对应的特殊注册表项，即该种病毒家族特有的特殊注册表项。删除第一注册表中含有与病毒信息对应的特殊注册表项，得到简化注册表。例如可以利用"hkey_current_user\controlpanel\desktop"–>"screensavetimeout"删除路径为hkey_current_user\controlpanel\desktop的"screensavetimeout"注册表项；利用"hkey_current_user\controlpanel\desktop"–>"scrnsave.exe"删除路径为hkey_current_user\controlpanel\desktop的"scrnsave.exe"注册表项；利用"hkey_local_machine\software\microsoft\windows\currentversion\run"–>"@"删除路径为hkey_local_machine\software\microsoft\windows\currentversion\run的"@"注册表项；利用"hkey_local_machine\software\microsoft\windows\currentversion\runonce"–>"@"删除路径为"hkey_local_machine\software\microsoft\windows\currentversion\runonce"的"@"注册表项；利用"hkey_current_user\software\microsoft\windows\currentversion\runonce"–>"@"删除路径为"hkey_current_user\software\microsoft\windows\currentversion\runonce"的"@"注册表项。

s208：将简化注册表内各个目标注册表项的值设置为预设合法值，以恢复计算机系统功能。

本实施例中，预设有目标注册表项及其预设合法值，其被用来与简化注册表中对应的注册表项的值进行修正。将简化注册表内的各个目标注册表项的值设置为预设合法值之后，即可恢复因感染文件夹病毒而受到限制的计算机系统功能。例如可以利用"hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced"-->"hidefileext"-->reg_dword-->0指令将注册表项hidefileext的值设置为0；利用"hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced"-->"showsuperhidden"-->reg_dword-->1指令将注册表项showsuperhidden的值设置为1；利用"hkey_current_user\software\microsoft\windows\currentversion\explorer\advanced"-->"hidden"-->reg_dword-->1指令将注册表项hidden的值设置为1；利用"hkey_local_machine\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall"-->"checkedvalue"-->reg_dword-->1指令将注册表项checkedvalue的值设置为1。

在删除了含有恶意信息的注册表项和与病毒信息对应的特殊注册表项后，将文件夹病毒修改的注册表项设置为预设合法值，即可完全修复注册表，进而解决因无法完全修复注册表而导致的计算机系统部分功能受到限制的问题。

应用该发明实施例提供的计算机系统恢复方法，利用预设病毒库中的病毒信息，可以对文件夹病毒母体进行精确定位和查杀。同时，在病毒查杀结束后，还原被文件夹病毒修改的文件夹属性，即将磁盘根目录中各个子文件夹的隐藏属性修改为非隐藏属性；并利用病毒信息完全修复被文件夹病毒修改的计算机注册表，将计算机注册表修复为感染文件夹病毒前的状态。在修改文件夹属性和注册表后，即可完全恢复计算机系统功能，解决了因无法完全修复注册表而导致的计算机系统部分功能受到限制的问题。

实施例三：

下面对该发明实施例提供的计算机系统恢复装置进行介绍，下文描述的计算机系统恢复装置与上文描述的计算机系统恢复方法可相互对应参照。

请参考图5，图5为该发明实施例提供的一种计算机系统恢复装置的结构示意图，包括：

属性信息获取模块100，用于获取查杀文件夹病毒后的磁盘根目录中各个子目录的属性信息；

属性信息修改模块200，用于修改属性信息中的隐藏属性为非隐藏属性；

简化注册表获取模块300，用于删除注册表中含有恶意信息的注册表项，得到简化注册表；

恢复模块400，用于将简化注册表内各个目标注册表项的值设置为预设合法值，以恢复计算机系统功能。

可选的，包括：

病毒信息获取模块，用于获取预设病毒库中的病毒信息；

完整路径和病毒母体获取模块，用于利用病毒信息和预设匹配规则对磁盘进行检测，得到文件夹病毒母体，并获取文件夹病毒的完整路径；

病毒母体删除模块，用于获取进程列表中具有完整路径的进程树，结束进程树并删除文件夹病毒母体；

病毒文件删除模块，用于删除文件夹病毒母体生成的病毒文件。

可选的，简化注册表获取模块300，包括：

第一获取单元，用于删除注册表中含有恶意信息的注册表项，得到第一注册表；

第二获取单元，用于删除第一注册表中含有与病毒信息对应的特殊注册表项，得到简化注册表。

可选的，第一获取单元，包括：

注册表获取子单元，用于删除注册表中含有禁止打开文件夹选项信息和禁止调用系统运行命令信息的注册表项，得到第一注册表。

可选的，完整路径和病毒母体获取模块，包括：

判断单元，用于利用固定路径匹配规则进行病毒母体路径匹配，判断是否存在与病毒母体路径相同的文件；

第一验证单元，用于若存在与病毒母体路径相同的文件，则利用验证匹配规则对文件进行验证匹配；

第一确定单元，用于当验证匹配成功时，确定病毒母体路径对应的文件为文件夹病毒母体，确定完整路径为病毒母体路径；

第二验证单元，用于若不存在与病毒母体路径相同的文件，则利用验证匹配规则对磁盘中的目标文件进行验证匹配；

第二确定单元，用于当验证匹配成功时，确定目标文件为文件夹病毒母体，确定目标文件的路径为完整路径。

可选的，第一验证单元，包括：

验证子单元，用于利用yara验证匹配规则对文件进行yara验证匹配，利用哈希验证匹配规则对文件进行哈希验证匹配。

可选的，属性信息修改模块200，包括：

bat修改单元，用于利用bat命令将属性信息中的隐藏属性修改为非隐藏属性。

实施例四：

下面对该发明实施例提供的计算机系统恢复设备进行介绍，下文描述的计算机系统恢复设备与上文描述的计算机系统恢复方法可相互对应参照。

请参考图6，图6为该发明实施例所提供的一种计算机系统恢复设备的结构示意图。其中计算机系统恢复设备700可以包括处理器701和存储器702，还可以进一步包括多媒体组件703、信息输入/信息输出(i/o)接口704以及通信组件705中的一种或多种。

其中，处理器701用于控制计算机系统恢复设备700的整体操作，以完成上述的计算机系统恢复方法中的全部或部分步骤；存储器702用于存储各种类型的数据以支持在计算机系统恢复设备700的操作，这些数据例如可以包括用于在该计算机系统恢复设备700上操作的任何应用程序或方法的指令，以及应用程序相关的数据，例如目标注册表项的预设合法值。该存储器702可以由任何类型的易失性或非易失性存储设备或者它们的组合实现，例如静态随机存取存储器(staticrandomaccessmemory，sram)、电可擦除可编程只读存储器(electricallyerasableprogrammableread-onlymemory，eeprom)、可擦除可编程只读存储器(erasableprogrammableread-onlymemory，eprom)、可编程只读存储器(programmableread-onlymemory，prom)、只读存储器(read-onlymemory，rom)、磁存储器、快闪存储器、磁盘或光盘中的一种或多种。

多媒体组件703可以包括屏幕和音频组件。其中屏幕例如可以是触摸屏，音频组件用于输出和/或输入音频信号。例如，音频组件可以包括一个麦克风，麦克风用于接收外部音频信号。所接收的音频信号可以被进一步存储在存储器702或通过通信组件705发送。音频组件还包括至少一个扬声器，用于输出音频信号。i/o接口704为处理器701和其他接口模块之间提供接口，上述其他接口模块可以是键盘，鼠标，按钮等。这些按钮可以是虚拟按钮或者实体按钮。通信组件705用于计算机系统恢复设备700与其他设备之间进行有线或无线通信。无线通信，例如wi-fi，蓝牙，近场通信(nearfieldcommunication，简称nfc)，2g、3g或4g，或它们中的一种或几种的组合，因此相应的该通信组件705可以包括：wi-fi部件，蓝牙部件，nfc部件。

计算机系统恢复设备700可以被一个或多个应用专用集成电路(applicationspecificintegratedcircuit，简称asic)、数字信号处理器(digitalsignalprocessor，简称dsp)、数字信号处理设备(digitalsignalprocessingdevice，简称dspd)、可编程逻辑器件(programmablelogicdevice，简称pld)、现场可编程门阵列(fieldprogrammablegatearray，简称fpga)、控制器、微控制器、微处理器或其他电子元件实现，用于执行上述实施例给出的密文数据的访问方法。

实施例五：

下面对该发明实施例提供的计算机可读存储介质进行介绍，下文描述的计算机可读存储介质与上文描述的计算机系统恢复方法可相互对应参照。

该发明还提供一种计算机可读存储介质，计算机可读存储介质上存储有计算机程序，计算机程序被处理器执行时实现上述的计算机系统恢复方法的步骤。

该计算机可读存储介质可以包括：u盘、移动硬盘、只读存储器(read-onlymemory，rom)、随机存取存储器(randomaccessmemory，ram)、磁碟或者光盘等各种可以存储程序代码的介质。

本说明书中各个实施例采用递进的方式描述，每个实施例重点说明的都是与其它实施例的不同之处，各个实施例之间相同或相似部分互相参见即可。对于实施例公开的装置而言，由于其与实施例公开的方法相对应，所以描述的比较简单，相关之处参见方法部分说明即可。

专业人员还可以进一步意识到，结合本文中所公开的实施例描述的各示例的单元及算法步骤，能够以电子硬件、计算机软件或者二者的结合来实现，为了清楚地说明硬件和软件的可互换性，在上述说明中已经按照功能一般性地描述了各示例的组成及步骤。这些功能究竟以硬件还是软件的方式来执行，取决于技术方案的特定应用和设计约束条件。专业技术人员可以对每个特定的应用来使用不同方法来实现所描述的功能，但是这种实现不应该认为超出该发明的范围。

结合本文中所公开的实施例描述的方法或算法的步骤可以直接用硬件、处理器执行的软件模块，或者二者的结合来实施。软件模块可以置于随机存储器(ram)、内存、只读存储器(rom)、电可编程rom、电可擦除可编程rom、寄存器、硬盘、可移动磁盘、cd-rom、或技术领域内所公知的任意其它形式的存储介质中。

最后，还需要说明的是，在本文中，诸如第一和第二等之类的关系属于仅仅用来将一个实体或者操作与另一个实体或者操作区分开来，而不一定要求或者暗示这些实体或操作之间存在任何这种实际的关系或者顺序。而且，术语包括、包含或者其他任何变体意在涵盖非排他性的包含，从而使得包括一系列要素的过程、方法、物品或者设备不仅包括那些要素，而且还包括没有明确列出的其他要素，或者是还包括为这种过程、方法、物品或者设备所固有的要素。

以上对该发明所提供的计算机系统恢复方法、装置、设备和计算机可读存储介质进行了详细介绍，本文中应用了具体个例对该发明的原理及实施方式进行了阐述，以上实施例的说明只是用于帮助理解该发明的方法及其核心思想；同时，对于本领域的一般技术人员，依据该发明的思想，在具体实施方式及应用范围上均会有改变之处，综上所述，本说明书内容不应理解为对该发明的限制。