穿透还原卡代码
迅闪做游戏更新穿透还原教程
游戏更新环境设置:
服务器环境:
游戏服务器IP地址:192.168.1.198
游戏安装目录:D盘netgame
游戏安装目录共享名称:wlyx$(访问路径为\\192.168.1.198\wlyx$,共享权限为只读)
经过一系列直观简便的设置后,网吧整体的穿透还原更新系统基本完成了,现在唯一要做的就是把每台电脑上都装好客户端,然后再将游戏逐一拷贝过去,一般在新装时都用网刻,但如果是临时改成这种穿透还原的话,首先要注意的就是病毒,客户端最好先还原一下原有的镜像再做。穿透还原是一项比较成熟的技术,但目前这方面的病毒发展也很迅速,各位网管朋友经常注意下网上的病毒通报,发现有大面积流行的病毒提早预防才能保证安全
2、执行配置工具目录中的“配置工具.exe”,第一次使用会出现选择“游戏菜单”所在目录的窗口。依次选择D:\gamemenu\游戏菜单,点击OK确定。之后弹出管理员登陆的窗口,初使密码为空,点击登陆后进入软件注册界面,按照提示输入正常的信息即可完成注册,这里需要我们注意的是,注册界面最下面一行“菜单标题”输入的是我们游戏菜单标题栏显示的内容,注册后不可修改,除非重新注册,需慎重填写。完成注册后即可进入服务端配置界面。
前台穿透更新:就是连续两次更新,第一次向虚拟磁盘更新,第二次真实磁盘中更新,更新完成后就直接运行游戏。
后台穿透更新:在向当前虚拟磁盘更新完成后,会有一个进程进行限速的游戏更新过程。更新中不会影响顾客玩游戏。(这里的限速可以在“后台更新限速”中设置,单位K/S)
闪断穿透更新:直接向真实磁盘中更新,更新完成后会断掉当前分区的连接,重新加载一次这个分区,把真实际上磁盘中的游戏刷新到当前虚拟磁盘中。但是闪断过程中会导致当前打开的这个分区的句柄关闭。
网络型还原卡使用手册
版权宣告方正科技集团股份有限公司(以下简称方正公司)有权随时更改本手册的内容,恕不另行通知。
除非另外注明,否则本手册范例中所使用的公司、人名,以及资料都是虚构的。
没有方正公司的许可,您不得为任何目的而使用任何形式或方法(包括电子的或机械的),复制或传送本手册的任何部分。
方正公司对于其应用程序、商标、版权或文件中所涵盖的其他知识产权拥有或正在申请专利中。
除非取得方正公司的任何书面授权合约,否则不得擅用本手册中的这些专利、商标、版权或其他知识产权。
Pentium是英特尔公司的商标Microsoft和Microsoft Windows是微软公司的商标和注册商标。
本手册所提到的其他商标,均属于其合法注册公司所有版权所有©2004方正科技集团股份有限公司使用手册目录第一章系统简介 (1)1.1 系统简介 (1)1.2 专业术语 (2)1.2.1 保护区 (2)1.2.2 CMOS (3)1.2.3 VxD (4)1.2.4 还原 (4)1.2.5 转储 (4)1.2.6 保留 (4)第二章系统需求 (6)2.1 硬件需求 (6)2.1.1 网络管理端/还原卡 (6)2.2 软件需求 (6)2.2.1 网络管理端/还原卡 (6)第三章安装 (7)3.1 安装前准备 (7)3.2 安装网络管理端 (8)3.3 启动网络管理端 (11)3.4 安装还原卡 (12)第四章使用还原卡网络管理端 (19)4.1 使用须知 (19)4.2 网络管理端简介 (19)4.3 网络管理端界面 (19)网络管理型还原卡4.4 功能介绍 (20)4.4.1 还原 (20)4.4.2 转储 (22)4.4.3 保留 (23)4.4.4 参数设置 (25)4.4.5 计划任务 (29)4.4.6 注销还原卡 (34)4.4.7 关机 (35)4.4.8 开机 (36)4.4.9 网络管理端系统设置 (37)4.4.10 信息传送 (42)4.4.11 文件传输 (43)4.4.12 监视还原卡硬盘使用状态 (45)4.4.13 使用开机精灵 (46)4.4.14 远程设置 (50)4.4.15 网络设置 (55)第五章网络对拷 (61)5.1 第一步:制作Dos启动软盘 (63)5.2 第二步:启动网络对拷发射端 (63)5.3 第三步:启动网络对拷接收端 (65)5.4 第四步:登录到网络对拷发射端 (66)5.5 第五步:策略设置 (67)5.6 第六步:配置网络对拷参数 (69)5.7 第七步:运行网络对拷功能 (71)第六章使用还原卡 (73)6.1 设置还原卡 (73)6.2 还原卡的操作 (74)第七章移除还原卡 (76)7.1 移除网络管理端 (76)7.2 移除还原卡 (76)第八章常见问题与解答 (78)附录开机精灵的安装与使用 (80)注意事项 (80)安装 (80)开机精灵应用实例 (81)安裝OS (84)系统移除 (84)第一章 系统简介1.1 系统简介网络管理型还原卡是一种新型网络硬盘保护工具。
如何破解网吧还原卡
如何破解网吧还原卡2007年10月24日星期三 11:44 A.M.还原卡破解方法一:开机时(也就是在你曾经进入cmos的时刻),同时按住ctrl+home,这样你就进入了还原卡的密码输入窗口,只要输入正确的密码即可获得admin,以后随你怎样设置. 关于是密码的问题:一般还原卡都有默认密码的,默认密码怎么找,很简单,到网上搜索QQ:9750406 关键词"还原卡"就行了,找到你用的那个牌子的还原卡,进入站点,在一个比较偏僻的角落一般可以找到默认密码的.而一般机房管理员是不会修改其默认密码的,比如俺学校的台湾远志牌的还原卡的默认密码是12345678,小哨兵的是manager, 机房管理员一个也没改,好爽!!!!!!!!!!不过我可没破坏任何东东,一旦惹怒了俺,嘿嘿....俺也不会破坏的,恶意破坏计算机就是对自己的不尊重!!!!如果管理员把密码改了呢?那就拿出宝刀---方法二:此法实施过程看起来挺麻烦,不过熟悉了*作起来超不过15秒的-高手sinister曰:其实所谓硬盘保护卡就是在ROM中写了一段HOOK INT 13的程序,屏蔽了一些功能调用如AH=3,5等,在中断向量表中INT 13的SEG,OFFSET描述为[13h*4+2],[13h*4],将此中的程序先保存后,再替换为自己的代码,当你AH=2的时,它便会call原始INT 13地址来完成*作.只要找到原始INT 13入口便可以为所欲为.不知看了这段感觉如何?慢慢消化吧.主要矛盾:关键是要找到原始的int 13入口.测试*作系统:win98测试对象: 台湾远志还原卡测试地点: 学校机房测试目的: 控制还原卡,但不破坏.注:本篇文章不对其实施过程中出现的任何不可预料的情况负责!!!!!具体过程如下:开机过程按住F8键,进入纯dos环境, 注";"后为注释.出现提示符c:,键入c:\\debug,- a100- xor ax,ax- int 13- int3; 寻找原始的int 13入口.然后输入t回车,不断的重复,直到显示的地址形如 F000:xxxx,后面的指令为:mov dl,80 (练练眼力-。
还原卡的防穿透程序设计
5 0
黎 明 职 业 大 学 学 报
21 3 00年 月
磁盘 的读写 映射 到 真 实磁 盘 , 请 求 下 发 到下 层 将 设 备 。相对第 一 代 机器 狗 病 毒 来说 , 这种 方 法 不 需要对 磁盘 系统 摘 除 过滤 设 备 , 过 文件 对 虚 拟 通
一
监视 磁盘 I) r 发送 。然 后 挂 钩 底 层 磁 盘设 备 , 1 监
视磁 盘 I) 到 , I达 1 如果数 据结 构里 没有磁 盘 I , r 就 p 知道 磁 盘 I r 有 经 过 还 原 系 统 到 达 下 层 , 而 p没 从
的 区域 , 用户 对硬 盘 的操作 , 际上 不是 对原来 数 实 据 的修 改 , 而是对 还原 卡保 留 区进行 操作 , 而达 从
还原 卡 防 护 的基 本 原 理 是 磁 盘 设 备 过 滤 驱
还 原系 统 就 被 攻 破 了。但 是 这 种 方 法 要 摘 除在
D 0上 的物理 设备 ; R 而文件 请求要 先到 达磁盘 卷, 磁盘 卷上 的过 滤 设 备 被 摘 除 的话 对 系 统会 产
生影 响 , 这个影 响是 可 以被 监察 到 的 。 只要 还
洪 德 荣
( 明职业 大学实验 实训部 黎 福建 泉州 3 20 ) 6 0 0
摘要 :机 器狗病毒 是通过获取磁 盘矢量偏移量 以及对虚拟磁盘读 写映射到 真实磁盘 ,将请 求下发 到底 层设备 ,达
到绕过还 原卡 的磁 盘过 滤 ,实现 系统攻击的。在还原卡加载的驱动 中加入代码使 还原 系统 能截获病毒 的 I r 求,分 p请 析它所要 访问的底层磁 盘设 备的对象信息 ,修 改 Widw n o s内核 中磁盘相 关设备 对象的信 息,隐藏真 实的磁 盘设 备对 象
锐起CGO与网众虚拟磁盘-结合迅闪的用法
锐起CGO与网众虚拟磁盘-结合迅闪的用法首先声明:本文章不是我写,我觉的这篇文章写的很详细全是实践经验,看过会让我们少走好多弯路。
所以转过来让大家学学!首先声明一点,我做这个教程主要是为了大家更好地运用游戏更新系统,这些都是我在网吧经过测试的,而且在网上找了好多相关的帖子,没有一个我想要的,所以就自己研究了,功夫不负有心人,经过努力我终于了解了迅闪的用法,所以写一个教程献给现在还在摸索中前进的人。
其实我网吧一开始用的就是锐起CGO正式版的,但是架不住一个月几百元的服务费,我就干脆自己找了个破解版的用了,结果用了还觉得很不错,除了不能自动更新游戏外,其他功能一切正常。
经过研究使用我觉得用锐起CGO是不错的选择,所以一直在用,现在连它的穿透还原功能也用上了,但有好多人在说迅闪的对比更新不错,我这人爱变,所以没事就在网盟上找相关教程,但是很令我失望,没有一个说得详细。
所以就自己不断的想不断的测试,这几天终于测试成功了,而且用锐起和用网众都成功了,所以就奉献给大家了。
一、只用锐起CGO1、我用的是2043破解版的,很好用很稳定,就以2043的为准写吧,首先在服务器上安装CGO2043服务端,然后设置虚拟分区,在服务器上装载虚拟分区,格式化,安装网络游戏和单机游戏,我设了三个虚拟分区,盘符是H,I,J。
网络游戏安装在H盘上,单机游戏装在I盘上,安装完成后卸载磁盘。
2、客户端安装设置:我的客户机分了四个区,C区系统,D区游戏,E 区工具软件,F区备用,客户机用还原卡保护,但只保护C、E、F三个盘,因为D盘准备放游戏,所以只能用CGO保护才可以穿透还原,在客户机上安装CGO客户端,设置好服务器IP后重启。
打开锐起CGO客户端,开超级用户,设置保护D盘,F盘做临时盘。
这样D盘就不可随便写入了,只有锐起的游戏更新才能写入D盘,就实行了穿透还原。
打开锐起游戏菜单,设置好分类,将H、I盘上的游戏快捷方式拖入相应的分类里,锐起默认是不进行写入客户机的,默认直接打开服务器上的游戏,这样打的人多了可能对服务器有压力,所以我们把常玩的游戏设置成“从服务器更新到本地盘上运行”,具体设置很简单的,我设置了几个(跑跑、大话、劲舞等),记得设置时将本地路径设成D:\游戏名,这样当有人在客户机上从锐起游戏菜单上打开相关游戏时,就会出现游戏更新界面,其实是将游戏复制到D盘了,完成后就可以玩了,机子重启后更新到D盘的游戏还保留着,这就是所谓的穿透还原。
学校学生机房管理中还原卡的选择
学校学生机房管理中还原卡的选择作者:叶怡仙杨洁来源:《数字技术与应用》2013年第12期摘要:当前学校学生机房管理中合理的还原卡功能已经成为不可或缺的标准配置了。
许多计算机实验室管理人员在还原卡购置与使用过程中都有遇到不同的困惑,本文综合多年学生机房管理经验,对机房系统管理中还原卡功能做相应测试,为同行提供有实际指导价值的配置参考。
关键词:学生机房还原卡测试选择中图分类号:TP308 文献标识码:A 文章编号:1007-9416(2013)12-0213-02还原卡基本功能就是能够将被更改过的硬盘的数据设置快速的恢复回初始状态,还原卡产品从多年前就逐渐被各大院校的计算机实验室所青睐,在高校计算机实验的管理及维护中被广泛使用。
在高校开设的公共基础课中,计算机学科不同批次、不同教学需要的学生使用同一机房上课、上机是学校机房不可避免的安排,而每堂课学生常常会因实验需要更改机房学生电脑的数据,保证每堂课上课时学生机房系统及软件环境处于干净如新状态是每个学生机房管理人员的共识。
因而有些品牌PC在针对教育应用的机型中均集成了还原卡产品或硬盘数据还原保护功能。
如:联想启天M型或B系列机型,虽然没有配置硬件插卡,也相应内置软件实现还原功能,如:启天M340E/M690E/M430E/M715E等专门针对教育应用整体解决方案的机型都预装联想EDU硬盘保护软件。
在我们多年来在学校机房管理工作中,从最初的在win98系统下使用海光蓝卡还原保护卡,到在XP系统下使用“远志”还原卡6.2大师版还原卡,到如今win7系统下的噢易Free卡、方正软件保护卡,以及联想EDU7.5软件版的硬盘保护软件有了一定的工作积累与体会,并为此专门测试几种常用还原卡性能指标,供选择参考。
1 还原卡工作原理1.1 普通的还原卡,物理上不直接接管硬盘读写根据PCI规定,确盘启动时率先导入数据的ROM将最先得到控制权,将还卡的程序首先接管BIOS的INT13中断,将FAT、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中,用自带的中断向量表来替换原始的中断向量表是还原卡的基本工作原理;再另外将FAT信息保存到临时储存单元中,用来应付我们对硬盘内数据的修改。
破解还原卡
首先说下,你要想破解还原卡,首先要知道使用的是什么还原卡,这里说下怎样查找你计算机上所使用的还原卡类型
具体方法:
1:一般是凭借经验或者查看启动项
最有效的方法是计算机在启动的过程中,利用热键把还原软件呼出来
例如,还原精灵:ctrl+home 或者home
小扫兵还原卡:ctrl+home或者ctrl+F10 CTRL+F2
冰点:ctrl+alt+shift+F6
这些都要在计算机在刚开始启动时候开始按,然后就可以呼出,一呼出你就可以看到还原卡了,有密码的话,就很进行相关设置了
2:当然,你还可以在计算机上查找相应的驱动,比如你在计算机上发现了,小扫兵的驱动程序
3:还原精灵破解工具,内有还原精灵密码读取工具,以前我在2000下和98下很多情况都可以读取密码
在XP下也有成功的经历 ,压缩包内还有“还原精灵逆风移除程序”,对付还原精灵最有效了
过了,能破解很多还原卡,包括硬件还原,和软件还
原,也可以破解小扫兵,金盾,蓝沙等等
那99%的可能你计算机上装的就是小扫兵了
我想说下,谁个还有更好的破解各类还原卡的工具,希望都集中在这里发.发的工具,你一定要有成功使用的经历,不要发没有作用的工具,同时我会根据工具的质量给于宝石奖励。。
1:这个对于破解冰点很有用的
2:华苏还原卡卸载工具,一看就知道破解华苏还原卡小扫兵的
还原卡的原理解读与漏洞分析
21 0 0年 1 0月
西安文理 学 院学报 : 自然科 学版
Ju a o i nU iesyo r or l f ’ nvr t f t S i c ( a Si d n X a i A s& ce e N t c E ) n
Vo .1 No. 1 3 4
Oc .2 0 t 0l
文 章 编 号 :0 85 6 (0 0 0 -060 10 —54 2 1 )40 8 -3
还 原 卡 的原 理解 读 与漏 洞 分 析
魏 建琳
( 西安 文理 学 院 图 书馆 , 西 西 安 7 06 ) 陕 10 5
摘Hale Waihona Puke 要: 还原卡是图书馆电子阅览 室、 机房及网吧常用 的硬件 , 系统维 护人员 必须对其原 理与漏 洞
数据是可以进行读写操作 的, 尤其是写入数据 、 写入新 内容会覆盖原来的旧内容 , 如果发生有意无意的
收 稿 日期 :0 0 5 1 2 1- — 0 4
作 者 简 介 : 建 琳 (9 7 ) 男 , 西 西 安 人 , 魏 16 一 , 陕 西安 文理 学 院 图书 馆 副 研 究 馆 员 . 究 方 向 : 书 情 报 研 图
第 4期
魏 建琳 : 原 卡 的原理 解读 与 漏洞 分析 还
8 7
误 操作 , 序文件 被 改写 或损 坏 , C U就无 法 或错误 地 执行 指令 , 就是 系 统故 障 . 付误 操 作 , 止 程 则 P 这 对 禁 写 人是 根本 不可 能 的 ( 码开 机启 动 要 运 行 系 统盘 上 的应 用程 序 , 起 必须 要 有 写 盘 的 动作 ) 系统 备 份 , 会 占用 大量 的资源 , 软件 维护 又 力不从 心 , 因而虚 拟还 原 技 术就 是 一种 相对 有 效 的 方 法. 虚拟 还 原 技 术
机器狗病毒
机器狗病毒网络12K1 121909030108 宫鑫茹1.机器狗病毒的原理2007年,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。
此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。
并修改用户初始化文件 userinit.exe 来实现隐藏自身的目的。
此病毒为一个典型的网络架构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的帐号信息。
机器狗的生前身后,曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本。
这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫机器狗。
机器狗原理:建立磁盘底层驱动。
1.校验IDT的NPXSegment Overrun(09)和Page Fault(OE)的矢量地址,如果存在,则把高16位设置为0,这个过程和还原软件的原理是一样的,就是对OE的HOOK检验。
2.给自己找个位置,查找驱动资源中的1000/1000,然后COPY到ALLOVER缓冲区中。
3.建立物理磁盘PhysicalHardDISK0的\Device----DosDevices的底层借口,针对“IRP_MJ_CREATE”“IRP_MJ_CLOSE”“IRP_MJ_DEVICE_CONTROL”响应。
“IRP_MJ_CREATE”断开\Device\Harddisk0\DR0-1上的附属部件。
从而使磁盘OS 层提供的应用层文件系统鉴听校验失效。
然后通过“I_M_C ”中恢复DR0-1上的附加。
并在I_M_D_C中对0x0004f8E——0xF0003C0F作出响应,把ALLOVER缓冲区中找到的数据解密并返回应用层。
通过KEY-s查表产生密钥。
0x0004f8E——0xF0003C0F字段会将用户态代码作为源基,对其运算后得到字串KEY,用来对源驱动解密后,反还给用户层。
还原卡
一、原理篇硬盘还原卡也称硬盘保护卡,在教育、科研、设计、网吧等单位使用较多。
它可以让电脑硬盘在大多情况下 非物理损坏,恢复到最初的样子。
换句话说,不管是病毒、误改、误删、故意破坏硬盘的内容等,都可以轻易地还原。
还原卡的主体是一种硬件芯片,插在主板上与硬盘的MBR(主引导扇区)协同工作。
大部分还原卡的原理都差不多,其加载驱动的方式十分类似DOS下的引导型病毒:接管BIOS的INT13中断,将FAT、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中或是在硬盘的隐藏扇区中,用自带的中断向量表来替换原始的中断向量表;再另外将FAT信息保存到临时储存单元中,用来应付我们对硬盘内数据的修改;最后是在硬盘中找到一部分连续的空磁盘空间,然后将我们修改的数据保存到其中。
每当我们向硬盘写入数据时,其实还是写入到硬盘中,可是没有真正修改硬盘中的FAT。
由于保护卡接管INT13,当发现写操作时,便将原先数据目的地址重新指向先前的连续空磁盘空间,并将先前备份的第二份FAT中的被修改的相关数据指向这片空间。
当我们读取数据时,和写操作相反,当某程序访问某文件时,保护卡先在第二份备份的FAT中查找相关文件,如果是启动后修改过的,便在重新定向的空间中读取,否则在第一份的FAT中查找并读取相关文件。
删除和写入数据相同,就是将文件的FAT记录从第二份备份的FAT中删除掉。
二、安装篇现在市面上硬盘还原卡种类很多,大多是PCI总线,采用了即插即用技术,不必重新进行硬盘分区,而且免装驱动程序。
安装时把卡插入计算机中任一个空闲的PCI 扩展槽中,开机后检查BIOS以确保硬盘参数正确 同时将BIOS中的病毒警告设置为Disable。
在进入操作系统前,硬盘还原卡会自动跳出安装画面,先放弃安装而进入Windows,确保计算机当前硬件和软件已经处于最佳工作状态,建议检查一下计算机病毒,确保安装还原卡前系统无病毒。
最好先在Windows里对硬盘数据作一下碎片整理。
网吧破解还原卡的方法总结
网吧破解还原卡的方法总结还原卡及还原精灵的破解学生:今天上机我发现了一个重大问题:在网吧的计算机上保存不住任何文件!发现这个情况也是偶然的:明明在计算机上安装了很多软件,突然间死机了,重启之后刚才安装的软件一个也找不到了,系统就象被网管重新安装了一遍那么干净。
我决心找出其中的原因,不然的话,我每次上机都要为自己安装一些习惯使用的软件如Netants(网络蚂蚁),这也太烦人了吧。
哈哈,还真叫我发现其中的奥妙,因为计算机操作系统容易受错误操作、非法关机、病毒入侵、恶意破坏等问题的影响,所以网管在每台计算机上安装了叫做硬盘还原卡(也叫做数据保护卡)的硬件设备,其界面为如图1-13-1 。
硬盘还原卡被制作成可以插入计算机扩展插槽的外置插卡形状如图1-13-2 ,下面的这一种是三合一的卡(网卡+保护卡+数据克隆)如图1-13-3 ,只要将此卡插入计算机,并指定其保护的磁盘区域,以后即使用户任意重新分区,格式化、修改配置、删除文件、感染病毒等等,只要重新启动计算机,一切就象什么也没有发生过,硬盘自动恢复成了系统的初始状态。
正因为还原卡有如此神奇功效,网吧、学校机房等场所都纷纷安装了此类还原卡,认为从此天下太平了。
其实可害“哭”了象我们这样的网吧上网族,比如正在运行着程序突然当机了,没办法,RESET重启吧,原先辛辛苦苦下载的数据一下子就没了。
损失惨重、教训惨痛啊!并且在还原卡的保护下,我们想修改计算机的配置信息都改不了。
那还提什么系统入侵呀,破解还原卡的工作是势在必行了。
不知道大家注意过没有,网吧的计算机因为经常坏需要维修,所以机箱盖板的螺丝基本是不上的,壳子就松松垮垮的套在机箱上。
因为还原卡是块插卡,又没有螺丝上着,赤手空拳的就可以对付它了。
我就瞅机会把还原卡拽下来了。
如图1-13-4 瞧这只黑手,在高速的拔卡过程中被看到了,哈哈!注意:千万不要在机器通电的时候这么干,要不然主板冒烟可不是闹着玩的。
哈哈,卡子移出了看你还能有什么本事!这样做有些品牌的还原卡会在引导的时候提示“移出还原卡”,回车确定以后还原卡功能就被彻底从系统中清除了。
浅谈高校图书馆电子阅览室的噩梦——“机器狗”病毒
浅 谈 高 校 图 书 馆 电子 阅览 室 的
噩梦
赵 志强
“
一
机器狗
’ ’
病毒
姜宝娜
王宇
大连 医科 大 学 图 书 馆
1 16 0 4 4
件 盗 用 用 户 的 隐私 资料 等 最初病 毒 感染 后 会 生 成 个 机 器 狗 的 图 标 因此 而 得名 机 器 狗 病毒 运 行 后 会 释 放 个名为 p c i h d d s y s 的 底 层硬 盘 驱 动文件 到 d d v e ~ 目 录 通过 提 高优 先级 来 接替 还 原 卡 的 硬 O 盘 驱 动 去 操作真实的 磁 盘 I / 端 口 并 向 真 实 的 磁 盘 中执 行修 改 覆 盖 u s e r i n i t
,
。
机器 狗病毒
。
“
”
一
,
。
“
”
三
“
、
机器狗
”
病 毒 传播 途 径
欺 骗 方式 在 局 域 网 中
一
( 1 ) 借助于 A 传播
。
RP
.
,
,,“. Nhomakorabea”
e x e
”
或
“
“
c
t f
”
“
、
m
o n
.
.
e x e
”
c o n
i
m
,
e
.
br a r y
;
E
-
R e a d in g
,
r oo m ;
E
-
do g
v ir u s
目 前 高 校 图 书馆 普遍 采 用 硬 盘 保 护卡
一种可以穿透还原卡和还原软件的代码
一种可以穿透还原卡和还原软件的代码原始文档:/articles/200312/646.html创建时间:2003-12-07浏览次数:4445原创:wind_men (tyhhyf_at_)一种可以穿透还原卡和还原软件的代码CVC/GB 风般的男人还原卡和还原软件被广泛运用于各种公共场合的电脑上,比如学校机房和网吧。
这些还原卡和还原软件(以下我简称为虚拟还原技术)能够记录下一切对硬盘的写操作,不论您对硬盘进行拷贝还是移动删除甚至是格式化分区等操作,只要一重新启动,一切都会恢复到这个操作之前的情况,因此有些虚拟还原厂商还会在广告词中加上一句“可以防范一切电脑病毒”。
这种虚拟还原的方法在大部分时候的确可以对公共机房的电脑起到很好的保护作用,难道真的没有一种方法能够穿透这种保护机制么?答案是否定的,下面请听我一一道来。
一、虚拟还原技术的原理本文所说的是一种普遍运用于还原卡或还原软件上的技术,当然,不同品牌不同厂商生产的可能不尽相同,但原理却是相通的。
首先,还原卡和还原软件会抢先夺取引导权,将原来的0头0道1扇保存在一个其他的扇区,(具体备份到那个扇区是不一定的),将自己的代码写入0头0道1扇,从而能在操作系统之前得到执行权,这一点类似于一个引导型病毒;然后,我们来看看虚拟还原技术在操作系统之前都做了些什么:1.将中断向量表中的INT13H的入口地址保存;2.把自己用于代替INT13H的代码写入内存,并记住入口地址,当然这种“写入内存”并不是普通的“写”,而是一种我们称为“常驻”的方法,有关“常驻程序”的实现方法我们不另外花篇幅来描述了,如果你还不了解的话请自己找有关资料,也可以到或找风般的男人交流;3.将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。
补充一点,虚拟还原程序在修改INT13H 的入口后往往都会修改一些其他中断入口,当然也是通过常驻程序来实现的,这些中断用来实现对中断向量表中INT13H入口地址监控,一旦发现被修改,就马上把它改回,这样做同样是用来防止被有心人破解。
轻松破解还原卡
破解三茗还原卡还原卡及还原精灵的破解还原卡及还原精灵的破解学生:今天上机我发现了一个重大问题:在网吧的计算机上保存不住任何文件!发现这个情况也是偶然的:明明在计算机上安装了很多软件,突然间死机了,重启之后刚才安装的软件一个也找不到了,系统就象被网管重新安装了一遍那么干净。
我决心找出其中的原因,不然的话,我每次上机都要为自己安装一些习惯使用的软件如Netants(网络蚂蚁),这也太烦人了吧。
哈哈,还真叫我发现其中的奥妙,因为计算机操作系统容易受错误操作、非法关机、病毒入侵、恶意破坏等问题的影响,所以网管在每台计算机上安装了叫做硬盘还原卡(也叫做数据保护卡)的硬件设备,其界面为如图1-13-1 。
硬盘还原卡被制作成可以插入计算机扩展插槽的外置插卡形状如图1-13-2 ,下面的这一种是三合一的卡(网卡+保护卡+数据克隆)如图1-13-3 ,只要将此卡插入计算机,并指定其保护的磁盘区域,以后即使用户任意重新分区,格式化、修改配置、删除文件、感染病毒等等,只要重新启动计算机,一切就象什么也没有发生过,硬盘自动恢复成了系统的初始状态。
正因为还原卡有如此神奇功效,网吧、学校机房等场所都纷纷安装了此类还原卡,认为从此天下太平了。
其实可害“哭”了象我们这样的网吧上网族,比如正在运行着程序突然当机了,没办法,RESET重启吧,原先辛辛苦苦下载的数据一下子就没了。
损失惨重、教训惨痛啊!并且在还原卡的保护下,我们想修改计算机的配置信息都改不了。
那还提什么系统入侵呀,破解还原卡的工作是势在必行了。
不知道大家注意过没有,网吧的计算机因为经常坏需要维修,所以机箱盖板的螺丝基本是不上的,壳子就松松垮垮的套在机箱上。
因为还原卡是块插卡,又没有螺丝上着,赤手空拳的就可以对付它了。
我就瞅机会把还原卡拽下来了。
如图1-13-4 瞧这只黑手,在高速的拔卡过程中被看到了,哈哈!注意:千万不要在机器通电的时候这么干,要不然主板冒烟可不是闹着玩的。
如何破解还原卡
还原卡和还原软件被广泛运用于各种公共场合的电脑上,比如学校机房和网吧。
这些还原卡和还原软件(以下我简称为虚拟还原技术)能够记录下一切对硬盘的写操作,不论您对硬盘进行拷贝还是移动删除甚至是格式化分区等操作,只要一重新启动,一切都会恢复到这个操作之前的情况,因此有些虚拟还原厂商还会在广告词中加上一句“可以防范一切电脑病毒”。
这种虚拟还原的方法在大部分时候的确可以对公共机房的电脑起到很好的保护作用,难道真的没有一种方法能够穿透这种保护机制么?答案是否定的,下面请听我一一道来。
一、虚拟还原技术的原理本文所说的是一种普遍运用于还原卡或还原软件上的技术,当然,不同品牌不同厂商生产的可能不尽相同,但原理却是相通的。
首先,还原卡和还原软件会抢先夺取引导权,将原来的0头0道1扇保存在一个其他的扇区,(具体备份到那个扇区是不一定的),将自己的代码写入0头0道1扇,从而能在操作系统之前得到执行权,这一点类似于一个引导型病毒;然后,我们来看看虚拟还原技术在操作系统之前都做了些什么:1.将中断向量表中的INT13H的入口地址保存;2.把自己用于代替INT13H的代码写入内存,并记住入口地址,当然这种“写入内存”并不是普通的“写”,而是一种我们称为“常驻”的方法,有关“常驻程序”的实现方法我们不另外花篇幅来描述了,如果你还不了解的话请自己找有关资料,也可以到或找风般的男人交流;3.将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。
补充一点,虚拟还原程序在修改INT13H 的入口后往往都会修改一些其他中断入口,当然也是通过常驻程序来实现的,这些中断用来实现对中断向量表中INT13H入口地址监控,一旦发现被修改,就马上把它改回,这样做同样是用来防止被有心人破解。
好了,你已经看出来了,这段用来替代BIOS提供的INT13H的代码才是虚拟还原技术的关键,那么这段代码到底实现了些什么了,以下是本人对此拙浅的理解:1.拦截所有INT13H中对硬盘0头0道1扇的操作这些包括读写操作,把所有的对0头0道1扇的操作改为对虚拟还原程序备份的那个扇区的操作,这样做的目的是保护虚拟还原代码不被破坏,并且不能被有心人读出进行破解,即使你用扇区编辑工具查看主引导区,实际上你看到的是这个备份的主引导区。
还原卡
4、单机多系统环境
5、远程管理学生机
硬盘还原卡的安装和使用 一、安装篇
二、使用篇
1.使用GHOST进行磁盘对拷
2.保留一定的硬盘空间
3.暂存区智能延展
4.慎用还原卡的多分区引导
5.还原卡的安全性
6.还原卡的选择
提醒还原卡用户 测试破解还原精灵的代码
2、机房软件环境统一署
由于还原卡大量使用在公共机房环境,而如何为公共机房的批量计算机安装操作系统和应用软件就是管理人员面临的一个难题。因此,目前还原卡都具备网络拷贝功能,类似于网络GHOST,先在一台计算机上安装所需的系统和软件,然后通过网络复制到所有电脑上。还原卡的网络拷贝功能出现得比网络GHOST更早,然后由于还原卡启动时能够先得到控制权,因此进行网络拷贝不需要象GHOST一样要准备服务器,做好镜像,直接就可以使用,非常方便。 由于现在硬盘容量越来越大,软件的体积也越来越大,进行一次网络拷贝需要很长的时间。而在机房管理的过程中往往只是更新了很少一部分软件,因此,厂商对网络拷贝进行了改进,能够只拷贝发生了变化的数据,从而大大提高了拷贝的效率,不过该技术推出时并不成熟,目前,从最初的增量拷贝、发展到变量拷贝直到最新的差异拷贝,才基本完善。 从操作方式上,网络拷贝也从DOS平台逐渐转换到WINDWOS平台,在操作的人性化上,得到了很大的提升。平台的转换也大幅提升了网络拷贝的速度,目前一线的产品一般能够达到百兆环境平均600M/分钟,千兆环境平均2G/分钟左右,而且能够支持断点续传。
编辑本段硬盘还原卡的安装和使用
一、安装篇
现在市面上硬盘还原卡种类很多,大多是PCI总线,采用了即插即用技术,不必重新进行硬盘分区,而且 还原卡插入主板
机器狗
问题3:机器狗病毒对网吧的影响很大,对个人用户的影响有多少?
回答:个人用户的影响与网吧的影响是同样大的。因为不管计算机系统是否安装“还原保护系统”程序,都 会同样下载非常多的(是下载27个恶意程序)网络游戏盗号木马等恶意程序进行安装运行,从而给被感染计算机用 户带去一定的损失。如果“用户计算机硬件配置比较低”或者“存在所下载的多个恶意程序中出现相互不兼容现 象”的话,会导致用户计算机系统崩溃掉无法启动运行。
描述
机器狗该病毒大都在网吧等大型的电脑网络会比较流行,一般在个人电脑不容易中此病毒,现在大多杀毒软 件都可以查杀该病毒。
计算机病毒
机器狗的生前身后,曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到 2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊 猫烧香一样,大家给它起了个名字叫机器狗。
·超级巡警之机器狗病毒专杀v1.3:
本工具可检测并查杀机器狗病毒,可穿透机器狗所能穿透的还原系统来修复被感染的文件。本工具还具有免 疫的功能,针对已知机器狗变种进行免疫,防止再次感染。另外,可使用命令行方式进行杀毒,便于自动化操作, 建议网吧等场所设置为开机自动杀毒,减少重复作业。
变种
08机器狗变种一:注入"explorer.exe"进程 Explorer.exe机器狗-分析(逆向工程) 文章末尾所添加的机器狗、IGM、写穿还原的工具 样本脱壳 OD加载样本explorer.exe, 对GetModuleHandleA下断,参数为NULL时即为入口点处对此函数的调用, 退出CALL之后可以得到入口为 004016ED。 重新加载样本,对004016ED下内存写入断点,中断后StepOver一步,然后在004016ED 下断点,F9运行到入口,DUMP。DUMP之后不关闭OD,让样本处于挂起状态,使用ImportREC修复DUMP 出来的文件的导入表。 修复之后DUMP出来的文件用OD加载出错,使用PEDITOR的rebuilder功能重建PE之后即可用OD加载,说明
十五秒破解“还原卡”(转帖
十五秒破解“还原卡”(转帖)破解方法有2:第一种破解率还可以.第二种好像是万能的(俺还没碰到破解不了的----见识短的表现-第一种:开机时(也就是在你曾经进入cmos的时刻),同时按住ctrl+home,这样你就进入了还原卡的密码输入窗口,只要输入正确的密码即可获得admin,以后随你怎样设置.关于是密码的问题:一般还原卡都有默认密码的,默认密码怎么找,很简单,到网上搜索关键词"还原卡"就行了,找到你用的那个牌子的还原卡,进入站点,在一个比较偏僻的角落一般可以找到默认密码的.而一般机房管理员是不会修改其默认密码的,比如俺学校的台湾远志牌的还原卡的默认密码是12345678,小哨兵的是manager, 机房管理员一个也没改,好爽!!!!!!!!!!不过我可没破坏任何东东,一旦惹怒了俺,嘿嘿....俺也不会破坏的,恶意破坏计算机就是对自己的不尊重!!!!如果管理员把密码改了呢?那就拿出宝刀---方法二:此法实施过程看起来挺麻烦,不过熟悉了操作起来超不过15秒的-高手sinister曰:其实所谓硬盘保护卡就是在ROM中写了一段HOOK INT 13的程序,屏蔽了一些功能调用如AH=3,5等,在中断向量表中INT 13的SEG,OFFSET描述为[13h*4+2],[13h*4],将此中的程序先保存后,再替换为自己的代码,当你AH=2的时,它便会call原始INT 13地址来完成操作.只要找到原始INT 13入口便可以为所欲为.不知看了这段感觉如何?慢慢消化吧.主要矛盾:关键是要找到原始的int 13入口.测试操作系统:win98测试对象: 台湾远志还原卡测试地点: 学校机房测试目的: 控制还原卡,但不破坏.注:本篇文章不对其实施过程中出现的任何不可预料的情况负责!!!!!具体过程如下:开机过程按住F8键,进入纯dos环境, 注";"后为注释.出现提示符c:,键入c:\debug,- a100- xor ax,ax- int 13- int3; 寻找原始的int 13入口.然后输入t回车,不断的重复,直到显示的地址形如F000:xxxx,后面的指令为:mov dl,80 (练练眼力-。
还原被穿透后的急救方法
本⽅法同样适⽤没装还原的电脑
因为冰点还原在DOS下⽆效,如果被穿透后就进dos模式,替换被穿透的⼏个⽂件!
现在的DOS软件很多,如MAXDOS、短⼈DOS、⼀键还原DOS……
安装完毕后重新启动,进⼊系统时就会出现选择,是进Windows还是进DOS
进⼊DOS后
替换c:\windows\system32\userinit.exe
替换c:\windows\system32\ctfmon.exe
替换c:\windows\explorer.exe
删除c:\windows\system32\conime.exe
如果打有输⼊法托盘补丁的还要替换c:\windows\system32\internat.exe
以上⼏个⽂件可以从⽆毒的电脑系统中COPY,或者从上下载,explorer.exe这个⽂件⼀定要和你的XP版本⼀致,如你的系统是Windows XP SP2,那⼀定要找到同⼀版的⽂件来替换,否则系统会崩溃!
好多朋友不知道在DOS下如何替换,下⾯我来简单的介绍下
⾸先先确定你的硬盘分区是FAT32格式还是NTFS格式
⽅法为在你的分区的盘符上点右键\属性。
如何进行恶意代码的代码还原
如何进行恶意代码的代码还原恶意代码是指那些以非法手段入侵计算机系统、窃取信息、破坏软硬件等恶意行为的代码片段。
对于网络安全领域的专业人士而言,恶意代码的代码还原是一项非常重要的技能。
通过代码还原,可以了解恶意代码的功能及其实施手段,对于提升系统的安全性和防御能力至关重要。
本文将分为三个部分,分别讨论了恶意代码的代码还原方法、相应的技术手段以及代码还原的重要性。
一、恶意代码的代码还原方法恶意代码一般是经过加密、混淆等手段,具有较高的隐蔽性和复杂性。
因此,代码还原对于分析恶意代码的行为起着至关重要的作用。
在进行代码还原时,我们可以采用以下几种方法:1. 静态代码分析:这是代码还原的一种常用方法。
静态分析的目的是通过检查代码的结构、变量、函数调用等,来跟踪并还原恶意代码的逻辑。
通过分析代码的控制流、数据流等信息,可以推断出代码的执行路径和实现机制,从而还原出恶意代码的原本面貌。
2. 动态代码分析:相对于静态分析而言,动态代码分析更加依赖于实际的运行环境。
通过在受污染的计算机系统中实际运行恶意代码,并观察其行为和输出结果,可以推断出其内部实现逻辑和特征。
这种方法要求熟悉恶意代码在系统中的追踪和监测技术,以及反向工程的相关知识。
3. 反汇编与反编译:对于已经编译的二进制文件,我们可以使用反汇编工具将其反汇编为汇编代码,从而加深对于代码逻辑的理解。
另外,对于经过编译的二进制文件,我们还可以使用反编译工具将其反编译成高级语言代码,以进一步分析和还原代码。
二、恶意代码代码还原的技术手段1. 动态调试:动态调试是指在程序执行过程中,通过断点、监视等技术手段来追踪代码的执行过程。
通过动态调试,我们可以在特定的执行步骤中暂停程序的执行,查看内存中的变量值、寄存器状态等信息,从而深入分析恶意代码的执行机制。
2. 行为分析:行为分析是通过监测恶意代码的行为特征来进行代码还原的一种方法。
通过监测恶意代码的网络通信、文件创建、注册表修改等行为,我们可以推断出其内部逻辑、功能和实现手段,从而还原代码。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
3.备份端口70H,71H中的内容,并把最后一次执行时端口70H,71H的内容和备份的内容做比较,不一样就提示BIOS被修改,是否还原,并通过密码验证修改BIOS是否合法。
二、PC机的中断机制
中断提供了最基本的硬件和软件的接口,它使得程序员不必了解硬件系统的细节,只要直接调用系统提供的中断服务子程序,就可以完成相应功能,这样能使得程序设计更为方便。其实现机制如下:当某一中断源发出中断请求时,CPU能够决定是否响应这一中断请求(当CPU在执行更为重要的工作时,可以暂不响应),如果允许响应该中断,CPU会在现行的指令执行完后,把断点处的下一条指令地址和各寄存器的内容和标志位的状态,推入堆栈进行保护,然后转到中断源服务程序的入口,进行中断处理,当中断处理完成后,再恢复被保留的各寄存器、标志位状态和指令指针,使CPU返回断点,继续执行下一条指令。
第5位 写入错误
第4位 搜索完成
第3位 为1时扇区缓冲区没有准备好
第2位 是否正确读取磁盘数据
第1位 磁盘每转一周将此位设为1,
第0位 之前的命令因发生错误而结束
写 该位端口为命令端口,用来发出指定命令
为50h 格式化磁道
为20h 尝试读取扇区
为21h 无须验证扇区是否准备好而直接读扇区
为22h 尝试读取长扇区(用于早期的硬盘,每扇可能不是512字节,而是128字节到1024之间的值)
还原卡和还原软件被广泛运用于各种公共场合的电脑上,比如学校机房和网吧。这些还原卡和还原软件(以下我简称为虚拟还原技术)能够记录下一切对硬盘的写操作,不论您对硬盘进行拷贝还是移动删除甚至是格式化分区等操作,只要一重新启动,一切都会恢复到这个操作之前的情况,因此有些虚拟还原厂商还会在广告词中加上一句“可以防范一切电脑病毒”。这种虚拟还原的方法在大部分时候的确可以对公共机房的电脑起到很好的保护作用,难道真的没有一种方法能够穿透这种保护机制么?答案是否定的,下面请听我一一道来。
好了,你已经看出来了,这段用来替代BIOS提供的INT13H的代码才是虚拟还原技术的关键,那么这段代码到底实现了些什么了,以下是本人对此拙浅的理解:
1.拦截所有INT13H中对硬盘0头0道1扇的操作
这些包括读写操作,把所有的对0头0道1扇的操作改为对虚拟还原程序备份的那个扇区的操作,这样做的目的是保护虚拟还原代码不被破坏,并且不能被有心人读出进行破解,即使你用扇区编辑工具查看主引导区,实际上你看到的是这个备份的主引导区。
1.将中断向量表中的INT13H的入口地址保存;
2.把自己用于代替INT13H的代码写入内存,并记住入口地址,当然这种“写入内存”并不是普通的“写”,而是一种我们称为“常驻”的方法,有关“常驻程序”的实现方法我们不另外花篇幅来描述了,如果你还不了解的话请自己找有关资料,也可以到或找风般的男人交流;
jne failure
mov ah,9
mov dx,offset readmsg
int 21h
jmp good_exit
failure:
mov ah,9
mov dx,offset failmsg
int 21h
good_exit: ;以下部分用来结束程序
注:当然看完这个表你会发现,这种读写端口的方法其实是基于磁头、柱面、扇区的硬盘读写方法,不过大于8G的硬盘的读写方法也是通过端口1F0H~1F7H来实现的^_^
四、一个通过对硬盘输入输出端口操作来读写硬盘的实例
让我们来看一个关于INT13H读写硬盘程序实例。在例子中详细说明了硬盘的读写操作所用到的端口,并且把通过INT13H读出的主引导区得到的数据和通过输入输出读主引导区得到的数据进行比较,从而证实这两种操作功能相同,程序片段如下:
; 用来读的柱面号是0)
out dx,al
mov dx,1f7h ;命令端口
mov al,20h ; 尝试读取扇区
out dx,al
still_going:
in al,dx
test al,8 ;扇区缓冲是否准备好
jz still_going ;如果扇区缓冲没有准备好的话则跳转,直到准备好才向下执行。
mov cx,512/2 ;设置循环次数(512/2次)
mov di,offset buffer
mov dx,1f0h ;将要传输的一个字节的数据
rep insw ;传输数据
; ------
mov ax,201h ;以下是用INT13H读硬盘的0磁头、0柱面、1扇区
一、虚拟还原技术的原理
本文所说的是一种普遍运用于还原卡或还原软件上的技术,当然,不同品牌不同厂商生产的可能不尽相同,但原理却是相通的。
首先,还原卡和还原软件会抢先夺取引导权,将原来的0头0道1扇保存在一个其他的扇区,(具体备份到那个扇区是不一定的),将自己的代码写入0头0道1扇,从而能在操作系统之前得到执行权,这一点类似于一个引导型病毒;然后,我们来看看虚拟还原技术在操作系统之前都做了些什么:
为了区别各个中断,CPC系统给每个中断都分配了一个中断号N,比如INT 3H是断点中断,INT 10H是显示中断,我们今天要讨论的主要是INT 13H磁盘读写中断。
要说清楚PC机上的中断机制,用这一点篇幅是完全不够的,这里我所说的只是一个大概,如果你不清楚的话,请查阅一些资料或和我交流,我们今天重要要说的就是以INT13H为例看看BIOS提供给我们的中断到底都是在做什么?所谓BIOS中断简单说就是你机器上的BIOS提供的中断,那么在BIOS中断的后面,到底是些什么呢?实际上是一些对端口的输入输出操作,PC的每个端口都实现特定的功能,我们完全可以不调用BIOS提供的中断而直接用输入输出指令对这些端口进行操作,从而可以实现象调用BIOS中断一样的功能,但是一个前提是你必须对这些端口有详细的了解。反过来说,PC的中断系统的一大好处就是能够让程序员无须了解系统底层的硬件知识的而能够编程,从这点看,中断有点象我们平时所说的“封装”,我不知道这样说对不对,但的确中断为我们“封装”了许多系统底层的细节。
3.将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。补充一点,虚拟还原程序在修改INT13H的入口后往往都会修改一些其他中断入口,当然也是通过常驻程序来实现的,这些中断用来实现对中断向量表中INT13H入口地址监控,一旦发现被修改,就马上把它改回,这样做同样是用来防止被有心人破解。
三、硬盘读写端口的具体含义
对硬盘进行操作的常用端口是1f0h~1f7h号端口,各端口含义如下:
以下是代码片段:
端口号 读还是写 具体含义
1F0H 读/写 用来传送读/写的数据(其内容是正在传输的一个字节的数据)
1F1H 读 用来读取错误码
1F2H 读/写 用来放入要读写的扇区数量
mov dx,80h
mov cx,1
mov bx,offset buffer2
int 13h
mov cx,512 ;以下部分用来比较2种方法读出的硬盘数据
mov si,offset buffer
mov di,offset buffer2
repe cmpsb
mov al,1 ;扇区号为1
out dx,al
mov dx,1f4h ;要读的柱面的低8位
mov al,0 ; 柱面低8位为0
out dx,al
mov dx,1f5h ; 柱面高2位
mov al,0 ; 柱面高2位为0(通过1F4H和1F5H端口我们可以确定
第5位 恒为1
第4位 为0代表第一块硬盘、为1代表第二块硬盘
第3~0位 用来存放要读/写的磁头号
1f7H 读 用来存放读操作后的状态
第7位 控制器忙碌
第6位 磁盘驱动器准备好了
mov dx,1f6h ; 要读入的磁盘号及磁头号
mov al,0a0h ;磁盘0,磁头0
out dx,al
mov dx,1f2h ;要读入的扇区数量
mov al,1 ;读一个扇
out dx,al
mov dx,1f3h ;要读的扇区号
为23h 无须验证扇区是否准备好而直接读长扇区
为30h 尝试写扇区
为31h 无须验证扇区是否准备好而直接写扇区
为32h 尝试写长扇区
为33h 无须验证扇区是否准备好而直接写长扇区
buffer2 db 512 dup ("L")
五、可以穿透还原卡或是还原软件保护的代码
你可以对照硬盘读写端口含义表,再好好看看上面的例子,你将会对硬盘读写端口有一个比较深的理解。好了,到了该把谜底揭晓的时候了,重新回到我们的主题。正如你现在想象的,这种可以穿透还原卡或是还原软件保护的代码的确是对硬盘读写端口的输入输出操作。现在,我们已经可以从原理上理解了,还原卡拦截的是中断操作,但却拦截不了输入输出操作,而用输入输出操作足够可以对硬盘进行写操作了,当然用输入输出操作也完全可以读到被虚拟还原程序屏蔽的关键部分,被还原卡或是还原软件屏蔽的0头0道1扇。知道了这一原理以后,可能是仁者见仁智者见智的,如果你是一个虚拟还原技术的破解者、一个病毒制造者,或是虚拟还原技术的设计者,往往对此的理解都是不尽相同的。
2.拦截所有INT13H中的写硬盘操作
这里包括对8G以下的硬盘的普通通过磁头、磁道、扇区定位的INT13H中的写操作,和扩展INT13H中基于扇区地址方式的对大硬盘的写操作,甚至包括扩展INT13H中对一些非IDE接口的硬盘的写操作。
至于拦截后做什么是虚拟还原技术实现的关键,在早期的DOS系统当中完全可以“什么都不做”,也就是说当用户写硬盘时实际上是什么都没做,但现在的操作系统都要对硬盘进行一些必要的写操作,比如对虚拟内存的写操作。众所周知,虚拟内存实际上就是硬盘,而如果禁止操作系统写硬盘的话显然后果是不堪设想的。所以,大多数虚拟还原厂商用的方法是占用一些硬盘空间,把硬盘所进行的写操作做一个记录,等系统重新启动后还原这一记录,但是怎样科学记录硬盘的写操作,是我一直没想通的问题,这种“科学”应该体现在时间上和硬盘空间的占用量上的,也就是说怎么样用最少的时间和最少的硬盘空间来记录硬盘的写操作是实现关键,如果有这方面想法的朋友欢迎和我交流;