还原精灵与还原卡的工作原理
电脑还原原理解析
要想实现硬盘还原,需要做到两个步骤:第一步是分析扇区,还原产品通过分区表和文件分配表,获取当前硬盘哪些扇区是已经使用过的,哪些扇区是暂未使用的。
第二步是拦截读写,还原产品通过还原驱动程序拦截硬盘读写驱动,并改变系统对硬盘的读写,实现对硬盘已经存在的数据的保护。
举个简单的例子。
Windows要将一段内容写入到硬盘的第100扇区,这时还原驱动会将它拦截下来,通过还原算法将这段内容转而写入到了硬盘中空闲的第1000扇区,并将这个扇区映射关系(100→1000)记录下来,这样实际上100扇区原先的内容并未改变。
之后当Windows要读取100扇区时,还原驱动通过查询将1000扇区的内容提交给Windows,Windows则认为它成功的从100扇区得到了想要的数据。
这样对用户甚至Windows来说硬盘随时都在发生着改变,然而实际上硬盘原有的数据都没有改变。
当Windows重新启动后,包括这个100→1000在内的所有记录都被清除了,在用户和Windows看来,硬盘没有发生任何变化,数据被还原了。
目前还原方式不外乎硬件还原和软件还原两种。
那么还原卡和还原软件有什么区别呢?我们一一分析。
现在流行的还原软件大致可分为两种,一种是以冰点为代表的纯驱动还原软件。
这一类的还原软件只有一个驱动程序,在Windows启动过程中加载。
这个驱动程序不仅要实现对硬盘驱动的拦截,它还要在程序加载时完成对硬盘已使用扇区和未使用扇区的分析。
它把还原的两个步骤结合到了一个驱动程序当中。
它还舍弃了从Windows开始启动后,到还原驱动程序启动前这段时间Windows对硬盘的读写(事实上这段时间几乎没有写操作)。
这是实现还原最简单的方法,简单就会存在安全性的问题,我们后面再分析。
第二种是以还原精灵为代表的类还原卡软件。
顾名思义,它们和还原卡很类似,它们的特点是通过修改硬盘的主引导记录(MBR)来启动还原。
启动还原的代码是在安装时写入到硬盘中去的。
巧用“还原精灵”来维护学校机房
巧用“还原精灵”来维护学校机房作者:靳文岚张学俊来源:《新校园·理论版》2008年第01期在很多学校中,大多数机房的学生机都没有光驱和软驱,给机房维护和管理带来诸多不便。
而最让人头痛的还是学生在上机时将硬盘执行格式化、分区、删除等命令,导致整个系统崩溃。
针对这一问题,一般学校的对策都是在学生机里加“还原卡”、“数据保护卡”等硬件,以保护计算机。
有没有更好的办法来解决这一问题呢?下面笔者就给大家介绍南京远志公司推出的一款纯软件版硬盘还原工具——“还原精灵”。
一、“还原精灵”的特点还原精灵是一种纯中文软件,它可以保护计算机的硬盘免受病毒侵害,重新恢复被删除或覆盖的文件,还可避免由于系统死机带来的数据丢失等问题。
而且,该软件安装简单,也不会影响硬盘分区和操作系统,从而能够最大限度地利用硬盘空间,具体特点如下:1.支持五种硬盘数据还原方式:不还原、自动还原、手动还原、定时还原(每隔xx天自动还原)和数据转储。
2.移除方式灵活。
在Windows下移除前会询问是先还原数据还是转储数据。
3.提供还原CMOS功能。
当CMOS更改时,可以选择转储、还原、分析。
4.提供对剩余可用空间、转储数据量的监控。
如果达到一定的比例时,有相应的警告;当保留空间快用完时,会提示是否要进行还原或转储;当转储数据量达到一定比例时,会提示您整理碎片。
5.提供MS-DOS和Windows两种方式进行系统设置,操作方便。
当还原时,会显示是还原到哪一天的具体时刻(时、分)。
6.可保护多个操作系统。
二、“还原精灵”的参数设置说明1.不还原:用户所做的修改均被保持,不恢复被保护分区内容。
2.自动还原:计算机重新启动后,保护区的内容将完全被自动恢复。
3.手动还原:当计算机重新启动后,系统会弹出选择菜单,用户可自由选择还原数据或保持数据选项。
这是默认的还原方式。
4.还原数据:可将保护分区的内容,恢复到安装还原精灵时或上次进行数据转储时的状态。
一键还原精灵的热键原理
一键还原精灵的热键原理
一键还原精灵是一种系统恢复工具,可以在计算机系统出现问题时将系统恢复到之前的状态。
热键是指通过按下特定的组合键来触发某个功能。
具体来说,一键还原精灵的热键原理可能是通过在操作系统的启动过程中,检测用户按下了特定的组合键,然后触发还原精灵的相关功能。
在大多数情况下,一键还原精灵的热键是在计算机的启动阶段被监测和处理的。
通常,计算机的主板或固件会提供一种方式来启用和配置一键还原精灵的热键。
当用户按下指定的组合键时,主板或固件会识别该按键事件,并在启动过程中触发相应的功能。
具体的热键原理可能因不同的计算机品牌和型号而有所差异。
因此,如果您想了解某个具体计算机上一键还原精灵的热键原理,建议查阅计算机的用户手册或联系计算机制造商以获取更详细的信息。
还原卡原理及其安装使用
还原卡概述硬盘还原卡也称硬盘保护卡,它主要的功能就是还原硬盘上的数据。
每一次开机时,硬盘保护卡总是让硬盘的部分或者全部分区能恢复先前的内容。
换句话说,任何对硬盘受保护的分区的修改都无效,这样就起到了保护硬盘数据的内容。
硬盘保护卡的原理简单来讲就是它接管对硬盘进行读写操作的一个INT13中断,保护卡在系统启动的时候首先用它自己的程序接管INT13中断地址。
这样,只要是对硬盘的读写操作都要经过保护卡的保护程序进行保护性的读写。
也就是先将FAT文件分配表、硬盘主引导区、CMOS信息、中断向量表等信息都保存到保护卡内的临时储存单元中。
用来应付我们对硬盘内数据的修改。
每当我们向硬盘写入数据时,其实还是完成了写入到硬盘的操作,可是没有真正修改硬盘中的FAT。
而是写到了备份的FAT表中,这就是为什么系统重启后所有写操作一无所有的原因了。
还原卡的主体是一种硬件芯片,插在主板上与硬盘的MBR(主引导扇区)协同工作。
大部分还原卡的原理都差不多,其加载驱动的方式十分类似DOS下的引导型病毒:接管BIOS的INT13中断,将FAT、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中或是在硬盘的隐藏扇区中,用自带的中断向量表来替换原始的中断向量表;再另外将FAT信息保存到临时储存单元中,用来应付我们对硬盘内数据的修改;最后是在硬盘中找到一部分连续的空磁盘空间,然后将我们修改的数据保存到其中。
硬盘保护卡在学校的机房管理中占有很重要的地位,基本上达到了“一卡无忧”的目标,使用了硬盘保护卡后极大的减少了机房的维护,基本无需担心病毒、误操作等问题。
当然,如果硬盘发生了物理性损坏,硬盘保护卡是无能为力的。
在教育、科研、设计、网吧等单位使用较多。
它可以让电脑硬盘在大多情况下 非物理损坏,恢复到最初的样子。
换句话说,不管是病毒、误改、误删、故意破坏硬盘的内容等,都可以轻易地还原。
软件做的“硬盘还原卡”“硬盘还原卡”是对硬盘中数据进行保护的一种板卡。
ic卡还原卡原理
ic卡还原卡原理IC卡还原卡原理IC卡(Integrated Circuit Card)是一种集成电路卡片,具备存储和处理数据的功能,广泛应用于各个领域。
当IC卡出现故障或需要更换时,可以通过还原卡的操作来恢复IC卡的正常使用。
本文将介绍IC卡还原卡的原理和操作过程。
一、IC卡还原卡的原理IC卡还原卡是一种特殊的卡片,它的内部集成了IC卡的相关芯片及电路。
通过还原卡与IC卡之间的接触,可以将还原卡中的信息传输到IC卡中,实现IC卡的还原操作。
具体来说,IC卡还原卡的原理包括以下几个步骤:1. 插入还原卡:首先将IC卡插入还原卡的卡槽中,确保卡片接触良好。
2. 读取IC卡信息:还原卡通过与IC卡接触,读取IC卡内部的存储信息,包括卡片标识、应用数据等。
3. 复制IC卡信息:还原卡将读取到的IC卡信息复制到自身的存储区域中,保留原有的数据和设置。
4. 写入IC卡信息:还原卡通过与IC卡接触,将自身存储区域的信息写入IC卡,实现还原操作。
5. 验证还原结果:还原完成后,通过与IC卡接触,验证还原结果是否成功。
二、IC卡还原卡的操作步骤使用IC卡还原卡进行还原操作时,一般需要按照以下步骤进行:1. 准备还原卡:确保还原卡内部的存储区域为空,无其他数据。
2. 插入IC卡:将需要还原的IC卡插入还原卡的卡槽中,确保卡片接触良好。
3. 选择还原功能:通过还原卡设备上的按钮或菜单,选择还原功能。
4. 等待还原完成:等待还原卡与IC卡之间的数据传输完成,期间不要移动或拔出卡片。
5. 验证还原结果:还原完成后,通过与IC卡接触,验证还原结果是否成功。
需要注意的是,IC卡还原卡只能还原IC卡内部的存储信息,而无法修复IC卡芯片或其他硬件故障。
如果IC卡存在硬件故障,需要更换IC卡。
三、IC卡还原卡的应用场景IC卡还原卡主要应用于以下场景:1. IC卡故障修复:当IC卡出现故障,无法正常使用时,可以通过还原卡进行修复,恢复IC卡的正常功能。
影子系统
影子系统、还原精灵、冰点还原优缺点比较影子系统工作原理:所谓影子系统,即重启系统一切测试(操作)将不复存在。
意即硬盘还原卡、还原精灵等性质一样。
由原系统进入影子系统,再退出影子系统返回原系统的整个过程,,所做的档案储存,上网记录,软体安装等等都不会被记录。
说其原理,应和还原精灵类似。
说其真正原理,我不和乱说,仅是通过测试猜测了一下,大家应该用过InstallWatch之类的监测软件吧,它是监控每个操作记录。
这类在重启时进行反操作。
PowerShadow Master(影子系统)是款很奇特的小软体,当你安装它并重新启动电脑以后,电脑会类似安装了双系统一样,多出一个启动项,选择其中PowerShadow Master的启动项后,原系统是完全一样的使用,但是你的一切操作,包括安装程式(甚至运行病毒)在下次用原系统启动时,都是无效的,对做程式安装测试非常有用,不会因为安装卸载而产生LJ档!所谓影子系统!-----重启系统一切测试将不复存在!但是系统到底怎么样是不是真的像传说中的那样厉害百毒不侵!现在我们来看一个测试~~1 PowerShadow的工作原理测试报告(转)1.先确保系统无毒,对C盘做个ghost备份2.在单一保护模式下,打开影子保护3.用冰刀(IceSword)等内核工具强行中止影子的所有进程4. 用冰刀等内核工具强制删除几个操作系统锁定的重要组成文件,假如系统安装在C:\WINDOWS\目录下,可以删除c:\文件, c:\ntldr文件,C:\WINDOWS\system32\drivers\目录下的所有文件,C:\WINDOWS\repair\目录下的所有文件(C:\WINDOWS\repair\目录是不可见目录,保存着注册表信息,在冰刀下可以删除)另外再删除几个C盘中的大文件5.核对一下C盘的容量,C盘所有文件占据的容量+C盘空闲空间容量,是否等于C盘硬件分区的总容量,如果小于C盘硬件分区总容量,说明影子系统把被删除的文件隐藏在C盘的其他地方了,破坏失败,不用再往下做了如果,C盘所有文件占据的容量+C盘空闲空间容量=C盘硬件分区总容量,继续往下做6.这一步很关键,关系到破坏最终能否成功用bcwipe等硬盘擦除软件擦除C盘的空闲空间,最好擦3遍以上,看擦除软件是否能成功擦除C盘的空闲空间7.如果成功擦除了C盘的空闲空间,关机重启,看看还能不能正常开机?那些被强制删除的文件还在不在?如果还能正常开机,被删除的文件自动恢复,影子系统确实厉害!为它鼓鼓掌!如果不能正常开机或有文件不能恢复,请用第1步的ghost备份恢复C盘为便于测试,把测试方式修改为不对系统具有破坏性,否则把系统文件破坏了,后面的测试不一定能进行得下去,步骤如下:1.拷贝几个大的影像文件到C盘,把C盘的空闲空间压缩到500M2.安装影子,重启时选择进入单一保护模式3.中止ShadowService.exe和ShadowTip.exe进程4.删除C盘原有的一个影像文件(700M),C盘显示空闲空间约为1200M5.用bcwipe擦除C盘空闲空间,失败!bcwipe显示写硬盘出错,这是从未发生过的事情6.另外拷贝一个光盘镜像文件(400M)到C盘,可以正常导入虚拟光驱运行,C 盘显示空闲空间约800M7.继续拷贝一个新影像文件(300M)到C盘问题出现了,系统频繁弹出如附图的对话框,提示windows 延缓写入失败,这种情况一般只有在硬盘空间不够时才出现,但此时即使算上新影像文件(300M),C盘应有500M左右的空闲空间8.不理会频繁弹出的“延缓写入失败”对话框,后来甚至出现C盘的主文件表$MFT 延缓写入失败,都不管,持续拷贝了将近10分钟,新影像文件(300M)居然拷贝到C盘,“延缓写入失败”对话框消失后,可以用播放器正常播放这个影像文件分析1:如果影子系统把被删除的原来的影像文件(700M)保存在C盘空闲空间的隐藏部分,那么C盘实际可用的空闲空间只有500M,刚才拷贝新影像文件(300M)到C 盘时,频繁弹出对话框似乎证明了这点,但是后来拷贝到C盘的两个文件加起来已经超过500M,为什么还能正常使用?9.调出工具查看内存,发现512M物理内存只有20M可用,几个工具都不能显示失踪的几百M内存被哪个进程使用了10.删除拷贝到C盘的新影像文件(300M),失踪的内存回来了,可用物理内存上涨到300多M分析2:先拷贝到C盘的光盘镜像文件因为没有超过C盘实际可用的空闲空间,保存在硬盘上,此时虽然显示C盘空闲空间有800M,但实际可用的空闲空间只有100M,后拷贝到C盘的新影像文件(300M)超过了C盘实际可用的空闲空间,被保存在内存中,删掉新影像文件(300M)后,“失踪”的内存就回来了11.用工具查看system进程,发现system进程加载了一个c:\windows\system32\driver\SnpShot.sys,这个文件是影子系统的组成文件,只有28K,system进程将此文件加载到内存中12.再拷贝一个超过512M物理内存的新影像文件2(700M)到C盘,此时C盘显示空闲空间有约800M,理论上应该能拷贝,实际上拷贝失败,这一次仍然频繁弹出“延缓写入失败”对话框,但持续近2个小时都无法拷贝完成(能拷贝完成才怪呢,内存只有512M,700M往哪放?),并且系统假死,因为可用内存被耗尽,只能reset重启13.重启时仍然进入单一保护模式,C盘原来的文件都在,后拷贝过去的文件都不在,为影子鼓鼓掌!分析3:影子启动单一保护模式后,C盘原有文件在硬盘上都不能动,即使删除也只是显示为删除,实际上这部分删除后多出来的空间是无法动用的,对后来写入的文件,如果能动用的硬盘空间够用就写在硬盘里,否则就写在内存里,如果内存也不够用则系统假死,重启后恢复原状结论:1.影子的核心进程不是ShadowService.exe和ShadowTip.exe,这两个是摆摆噱头的,影子真正的进程是system,这是系统核心进程,无法中止,即使不开启影子保护模式,system进程仍然加载SnpShot.sys,一旦加载即驻留内存,即使删除SnpShot.sys也没用2.影子需要Windows系统支持,在DOS下影子是可以被干掉的,比如用软盘、光盘、U盘启动DOS,但这几乎不可能在远程操作,不知道有没有DOS上网软件?3.影子启动保护后,如果能让system进程把SnpShot.sys从内存中卸下,则影子会被干掉,这可能是以后病毒的主攻方向4.影子没有改写硬盘MBR,这一点大家可以放心影子系统缺点:1、采用单一影子模式时,不能选择排除某个文件夹在外。
还原精灵工作原理
还原精灵工作原理
精灵是一种具备人工智能能力的机器人,它的工作原理可以概括为以下几个步骤:
1. 语音识别:当用户与精灵进行对话时,精灵会通过麦克风接收到语音信号。
接下来,语音信号会被转换成数字信号,并进行音频分析。
2. 语义理解:在这一步骤中,精灵会对用户的语句进行语义分析,以理解用户的意图和提取关键信息。
这可能涉及到自然语言处理、机器学习和深度学习等技术,以便对用户的语句进行正确的解读。
3. 对话管理:在这一阶段,精灵会根据用户的意图和系统的设定,确定如何响应用户的查询或请求。
精灵会从其存储的知识库中获取相应的信息,并通过语音或屏幕等方式提供回答或执行相应的任务。
4. 合成语音:精灵在生成回答时,可以选择将答案转换成合成语音,以便与用户进行语音交流。
这一过程通常会利用到语音合成技术,将文字转换为自然流畅的语音输出。
5. 输出反馈:精灵会通过语音方式将回答传达给用户,或者通过其他交互方式,如屏幕显示。
用户可以通过听或观察来获取精灵的回答,并与其进一步交互。
以上是一个简要的精灵工作原理的描述,综合运用了语音识别、
自然语言处理、语音合成等多种技术。
通过这些技术的结合,精灵能够理解用户的指令或查询,并给予相应的回应或执行相应的任务。
网吧电脑还原卡的原理(转载)
网吧电脑还原卡的原理(转载)今天给邻居修理电脑,此电脑室邻居买的二手电脑,打开机器看到里面有一块小哨兵还原卡。
我猜应该是网吧的电脑。
以前从来没有遇到过这种带还原卡的电脑。
于是百度了一下,看到这篇文章,感觉写的不错,于是转载过来。
还原卡的原理是在操作系统启动之前获得机器的控制权。
用户对硬盘的操作,实际上不是对原来数据的修改,而是对还原卡虚拟的空间进行操作,从而达到对系统数据保护的功能。
单纯功能的硬盘还原卡占用的系统资源多,要求硬盘有很大的剩余空间才行,已经逐渐被淘汰。
现在出现了网络还原卡,采用网卡实现还原卡,将网络和还原技术结合,实现远程的开机关机、重起、还原、对拷、监视、控制等功能。
其对拷功能支持一台和数百台机器的数据对拷,每秒可以达到数MB,比传统的维护方法省时省力,可以为大规模机群的管理提供支持。
使用还原卡,可以将计算机的系统分区或其他需要保护的分区保护起来,可以将还原卡设定为下次启动或过一定的时间后对系统进行自动还原,这样,在此期间内对系统所作的修改将不复存在,免去了系统每使用一段时间后就由于种种原因造成系统紊乱、经常出现蓝屏而不得不再次重装系统之苦。
这对于熟练用户来说也有一定的意义,对那些新手就更不用说了。
当然,还原卡一般也提供了安装模式以安装新的需要正常使用的软件。
其实,就笔者的使用经验来看,使用还原卡甚至比使用GHOST软件来恢复系统还要方便。
即使您需要经常安装/卸载一些软件,也可以很方便地用还原卡来恢复系统。
您可以将还原卡设定为每一星期还原一次,如果需要还原时,将系统时间改一下,那么下次启动时系统就会自动还原了。
还原卡好是好,但它还有一个致命的弱点,就是要想使还原卡发挥作用,必须在BIOS中将第一启动项(First Boot Device)设为“LAN” 启动。
而BIOS设置可以很容易地用Debug加以清除(只需在Debug下输入“o 70 71”和“o 71 70” 两行代码即可)。
还原卡原理
还原卡和还原软件被广泛运用于各种公共场合的电脑上,比如学校机房和网吧。
这些还原卡和还原软件(以下我简称为虚拟还原技术)能够记录下一切对硬盘的写操作,不论您对硬盘进行拷贝还是移动删除甚至是格式化分区等操作,只要一重新启动,一切都会恢复到这个操作之前的情况,因此有些虚拟还原厂商还会在广告词中加上一句“可以防范一切电脑病毒”。
这种虚拟还原的方法在大部分时候的确可以对公共机房的电脑起到很好的保护作用,难道真的没有一种方法能够穿透这种保护机制么?答案是否定的,下面请听我一一道来。
一、虚拟还原技术的原理本文所说的是一种普遍运用于还原卡或还原软件上的技术,当然,不同品牌不同厂商生产的可能不尽相同,但原理却是相通的。
首先,还原卡和还原软件会抢先夺取引导权,将原来的0头0道1扇保存在一个其他的扇区,(具体备份到那个扇区是不一定的),将自己的代码写入0头0道1扇,从而能在操作系统之前得到执行权,这一点类似于一个引导型病毒;然后,我们来看看虚拟还原技术在操作系统之前都做了些什么:1.将中断向量表中的INT13H的入口地址保存;2.把自己用于代替INT13H的代码写入内存,并记住入口地址,当然这种“写入内存”并不是普通的“写”,而是一种我们称为“常驻”的方法,有关“常驻程序”的实现方法我们不另外花篇幅来描述了,如果你还不了解的话请自己找有关资料,也可以到或找风般的男人交流;3.将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。
补充一点,虚拟还原程序在修改INT13H的入口后往往都会修改一些其他中断入口,当然也是通过常驻程序来实现的,这些中断用来实现对中断向量表中INT13H入口地址监控,一旦发现被修改,就马上把它改回,这样做同样是用来防止被有心人破解。
好了,你已经看出来了,这段用来替代BIOS提供的INT13H的代码才是虚拟还原技术的关键,那么这段代码到底实现了些什么了,以下是本人对此拙浅的理解:1.拦截所有INT13H中对硬盘0头0道1扇的操作这些包括读写操作,把所有的对0头0道1扇的操作改为对虚拟还原程序备份的那个扇区的操作,这样做的目的是保护虚拟还原代码不被破坏,并且不能被有心人读出进行破解,即使你用扇区编辑工具查看主引导区,实际上你看到的是这个备份的主引导区。
还原卡的原理解读与漏洞分析
21 0 0年 1 0月
西安文理 学 院学报 : 自然科 学版
Ju a o i nU iesyo r or l f ’ nvr t f t S i c ( a Si d n X a i A s& ce e N t c E ) n
Vo .1 No. 1 3 4
Oc .2 0 t 0l
文 章 编 号 :0 85 6 (0 0 0 -060 10 —54 2 1 )40 8 -3
还 原 卡 的原 理解 读 与漏 洞 分 析
魏 建琳
( 西安 文理 学 院 图 书馆 , 西 西 安 7 06 ) 陕 10 5
摘Hale Waihona Puke 要: 还原卡是图书馆电子阅览 室、 机房及网吧常用 的硬件 , 系统维 护人员 必须对其原 理与漏 洞
数据是可以进行读写操作 的, 尤其是写入数据 、 写入新 内容会覆盖原来的旧内容 , 如果发生有意无意的
收 稿 日期 :0 0 5 1 2 1- — 0 4
作 者 简 介 : 建 琳 (9 7 ) 男 , 西 西 安 人 , 魏 16 一 , 陕 西安 文理 学 院 图书 馆 副 研 究 馆 员 . 究 方 向 : 书 情 报 研 图
第 4期
魏 建琳 : 原 卡 的原理 解读 与 漏洞 分析 还
8 7
误 操作 , 序文件 被 改写 或损 坏 , C U就无 法 或错误 地 执行 指令 , 就是 系 统故 障 . 付误 操 作 , 止 程 则 P 这 对 禁 写 人是 根本 不可 能 的 ( 码开 机启 动 要 运 行 系 统盘 上 的应 用程 序 , 起 必须 要 有 写 盘 的 动作 ) 系统 备 份 , 会 占用 大量 的资源 , 软件 维护 又 力不从 心 , 因而虚 拟还 原 技 术就 是 一种 相对 有 效 的 方 法. 虚拟 还 原 技 术
还原卡
一、原理篇硬盘还原卡也称硬盘保护卡,在教育、科研、设计、网吧等单位使用较多。
它可以让电脑硬盘在大多情况下 非物理损坏,恢复到最初的样子。
换句话说,不管是病毒、误改、误删、故意破坏硬盘的内容等,都可以轻易地还原。
还原卡的主体是一种硬件芯片,插在主板上与硬盘的MBR(主引导扇区)协同工作。
大部分还原卡的原理都差不多,其加载驱动的方式十分类似DOS下的引导型病毒:接管BIOS的INT13中断,将FAT、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中或是在硬盘的隐藏扇区中,用自带的中断向量表来替换原始的中断向量表;再另外将FAT信息保存到临时储存单元中,用来应付我们对硬盘内数据的修改;最后是在硬盘中找到一部分连续的空磁盘空间,然后将我们修改的数据保存到其中。
每当我们向硬盘写入数据时,其实还是写入到硬盘中,可是没有真正修改硬盘中的FAT。
由于保护卡接管INT13,当发现写操作时,便将原先数据目的地址重新指向先前的连续空磁盘空间,并将先前备份的第二份FAT中的被修改的相关数据指向这片空间。
当我们读取数据时,和写操作相反,当某程序访问某文件时,保护卡先在第二份备份的FAT中查找相关文件,如果是启动后修改过的,便在重新定向的空间中读取,否则在第一份的FAT中查找并读取相关文件。
删除和写入数据相同,就是将文件的FAT记录从第二份备份的FAT中删除掉。
二、安装篇现在市面上硬盘还原卡种类很多,大多是PCI总线,采用了即插即用技术,不必重新进行硬盘分区,而且免装驱动程序。
安装时把卡插入计算机中任一个空闲的PCI 扩展槽中,开机后检查BIOS以确保硬盘参数正确 同时将BIOS中的病毒警告设置为Disable。
在进入操作系统前,硬盘还原卡会自动跳出安装画面,先放弃安装而进入Windows,确保计算机当前硬件和软件已经处于最佳工作状态,建议检查一下计算机病毒,确保安装还原卡前系统无病毒。
最好先在Windows里对硬盘数据作一下碎片整理。
1.3.2 F11一键还原与使用
1.3.2 F11一键还原的安装与与使用一、F11一键还原的工作原理首先,来看看已经安装了一键还原精灵硬盘版的硬盘分区情况.(这里假设硬盘开始已经分了三个区,并且Windows操作系统被安装在C:\.C:\ D:\ E:\ 和那个隐藏分区它们之间的关系是怎么样的呢?C盘所在的分区是整个硬盘的主DOS分区,并且已经被激活为活动分区.隐藏分区也是一个主DOS分区,只是它没有被激活,而且被设置为隐藏状态.并且它必需是一个带卷标的分区,其卷标为”IBM_SERVICE”.与系统活动分区(也就是C盘所在分区…以后为了叙述方便,我都称为系统活动分区)和隐藏分区在同一个层次的是扩展分区.(这个分区在进入到Windows操作系统里是不可见的.)它里面包含了D盘和E盘两个逻辑分区.说到这里,我们把在Windows操作系统里所能见到的和不能见到的几个分区做一个层次的归纳就是:整个硬盘的分区由系统活动分区(C盘)+隐藏的主DOS分区+扩展分区组成.其中扩展分区包含了D盘和E盘这两个逻辑分区.我为什么说明各分区之间存在的关系呢.这是因为那个隐藏的主DOS分区就是一键还原精灵硬盘版安装的分区所在.如果一键还原精灵硬盘版安装以后的文件放在其它分区可不可以?答案是绝对不可以.贰.隐藏的主DOS分区里的秘密.现在,我们看一看分区卷标为”IBM_SERVICE”的隐藏分区里有什么东西.在Windows操作系统里,依此点击”我的电脑右键----管理-----磁盘管理”打开如下所示的图你能看到这个没有盘符的分区.但是你在资源管理器中却没办法找到这个分区.那么我们怎么才能打开这个分区呢?答案是利用魔术分区工具PQ.找一张带PQ工具的启动光盘进如PQ的操作界面.你能很清晰的看到那个被隐藏的分区.你现在要执行如下的操作:”作业---进阶----取消隐藏分割区-----确定----是---执行”.然后重新启动到Windows操作系统界面.这个时候你再打开资源管理器,就能看到那个隐藏的分区已经能找到了.(如果你的电脑上还带有光驱,并且光驱的盘符是F:\.,那么这个曾经的隐藏分区的盘符就是G:\, :原来,这个隐藏的主DOS分区被资源管理器打开了.我们在这里面发现了如下几个重要的文件件:AUTOEXEC.BATBMGR.EXEBMGR.SRCBOOT.BINCONFIG..SYSGHOST.EXESYS.GHO当然,我这是已经做好了的一个分区.可能跟一键还原精灵硬盘版安装完毕后的有一点不同,但是我列出的这些个文件是比较有代表性质的.现在我就分别就这几个文件的作用做一些也许不算正确的说明.1. AUTOEXEC.BAT这是个自动批处理文件2. 有这个文件的存在,说明这个分区本身就自带了一个基本的DosVer 7.5的操作系统.3. BMGR.EXE,BMGR.SRC,BOOT.BIN这三个文件需要特别说明,这就是我开始所说的IBM独有的[一键全新安装系统]里的基本文件.还记得在2000年以前,有一种病毒叫”引导型病毒”,它的功能是自动修改硬盘的引导分区,譬如说,本来我们的引导分区是系统活动分区也就是我们的C盘所在的分区,结果它把引导分区修改成逻辑分区的D盘或其它盘.这样一来,我们启动电脑的时候,操作系统当然不能够正常的进入到我们想要的系统了.这三个文件也就是起的这个作用.一键还原精灵硬盘版安装以后,我们在Windows启动之前会看见屏幕上提示按F11键进入到系统备份/还原,如果我们照提示操作,实际上,我们进入了那个卷标为”IBM_SERVICE”的隐藏主DOS分区里,而不再是系统活动分区.如果这时候你用PQ查看硬盘的分区状态可以看到,原来的系统活动分区已经被设置成非活动分区,而IBM_SERVICE则变成了系统活动分区.这就是这三个文件的作用:把系统活动分区与隐藏的主DOS分区的关系互换.一键还原精灵硬盘版被安装在电脑上之后,它的工作流程如下:调用PQ在硬盘上分一个大小约为整个操作系统大小的60%以上的,卷标为”IBM_SERVICE”的主DOS分区,并在该分区上建立一个基本独立的版本为7.5以上的DOS操作系统和Ghost.exe 文件.并释放Bmgr.exe,Bmgr.src,boot.bin,Autoexec.bat,Config.sys等必须的文件,并且立即运行Bmgr.exe使原系统活动分区变成非活动分区,新建的主DOS分区变成系统活动分区.然后重新启动电脑,这时候由于系统的引导分区已经变成了那个卷标为”IBM_SERVICE”的分区,并且因为这个分区里存在基本独立的DOS操作系统,所以电脑自动的进来了.进到这个DOS 系统后,通过调用自动批处理文件(Autoexec.bat)开始执行自动备份命令.该命令执行完毕,再调用PQ把硬盘的分区情况还原,并将卷表为”IBM_SERVICE”的那个分区自动设置为隐藏分区.然后重新启动.至此,自动备份完成…二、F11一键还原的安装、使用1、软件下载,运行后会进入DOS安装2、安装过程中的配置3、如何操作还原与备份。
冰点还原精灵工作原理讲解
冰点还原精灵工作原理讲解
冰点还原是一个系统的保护软件,不论什么原因你的系统出现了故障,它都可以快速的恢复到你原先的状态和设置。
它会随时记录你的操作,当前打开的文件,运行着的程序和各项设置。
冰点和其它系统还原软件(如还原精灵、一键恢复等)不一样,在工作原理上,它并没有夺取南桥芯片的I0控制权,也没有控制硬盘的INT13中断,它没有改写硬盘的MBR(主引导记录)。
而其它软件则是等通过改写硬盘的MBR的还原软件在操作系统加载之前就部分实现了其还原功能。
图一:使用界面
而冰点则是利用驱动的形式加入操作系统的内核模块中来实现其还原功能的,它必须依附于原来的系统,一旦进入另外一个系统,它的还原功能就失效了。
它的加载优先级非常高,而且加载之后在当前系统不能停止不能禁用也不能删除。
冰点也没有“使用自己的硬盘驱动程序替换原本的驱动”,它和硬盘原来的驱动是一种上的下层关系,也就是说所有对硬盘的访问首先得经过它的“过滤”然后再提交给硬盘原来的驱动处理,从而达到还原的目的,这种技术叫“过滤驱动程序”。
还原卡
网络的精神就是自由与共享!
'---------------获得还原精灵密码的原程序-----------------------------
'程序语言:QBasic4.5,WIN98系统的MSDOS方式下运行通过,还原精灵5。0版本!
1F2H 读/写 用来放入要读写的扇区数量
1F3H 读/写 用来放入要读写的扇区号码
1F4H 读/写 用来存放读写柱面的低8位字节
1F5H 读/写 用来存放读写柱面的高2位字节(其高6位恒为0)
1F6H 读/写 用来存放要读/写的磁盘号及磁头号
pass$= CHR$(ASC(MID$(dta$, &H4F + i, 1)) XOR &HA5)
if pass$=chr$(0) then exit for
PRINT pass$;
NEXT i
3、INT13实际上是通过BIOS程序提供的标准服务,而BIOS的这个服务是建立在IO读写的基础上的,所以我们也可以直接用IO来读写硬盘,这样就绕过了INT13中断,无论是保护卡还是还原精灵,都形同虚设了,这个方法的难度在于在win系统下要读写IO必须得有ring0级权限!这个问题解决了那么破解就是最轻松的了,qbasic是DOS编程软件,它在DOS下可以读写端口IO,所以用qbasic可以在DOS下很轻松的解决问题,
还原精灵与还原卡的工作原理分析:
还原精灵的工作原理:它修改了引导区,引导区又被称为MBR,它位于硬盘的0头0柱1扇区,在扩展int 13中没有头、柱、扇区这个概念,它只有逻辑扇区,在扩展的int 13中MBR位于是0扇区,如果BIOS中设置的是硬盘启动的话,系统会首先载入这个扇区到内存,然后运行这个代码,还原精灵就是用的是自己的引导代码,这个方法与引导型病毒一样,病毒的目的是破坏,而它的目的是保护,就如武器在坏人手里有破坏力一样,这个代码接管了 INT13中断,每当我们向硬盘写入数据时,其实还是写入到硬盘中,可是没有真正修改硬盘中的FAT。由于INT13被接管,当还原精灵发现是写操作,如果没有激活管理身份,便将原先数据目的地址重新指向它自己定义的一段连续的空磁盘空间,并将先前背份的第二份FAT中的被修改的相关数据指向这片空间。当我们读取数据时,和写操作相反。所以还原精灵需要被保护的磁盘上有较大的空闲空间,它就需要利用这段空间!
还原精灵的真实原理
还原精灵的真实原理
精灵是一种超自然存在,存在于传说和神话中。
由于其超自然的本质,没有确定的真实原理可以被还原。
然而,在不同的传说和文化中,对精灵的描述和解释可能会有所不同。
在欧洲传说中,精灵通常被描述为一种与自然环境密切相关的生物,具有人类形态或动物形态。
他们被认为是森林、河流、山脉和湖泊等自然景观中的守护者和神灵。
精灵在这些传说中通常被认为是不可见的,并且只有特定的人才能看到他们。
这些人通常要通过某种方式与精灵接触,例如:保持纯洁的心灵、以及使用特殊的草药或仪式。
一些文化中,精灵被认为是人类灵魂的化身,他们可以在死后转变为精灵继续存在。
还有一些文化则将精灵看作是守护神或天使的一种形式。
虽然精灵的确切起源和本质在现实世界中无法被证实,但它们在文化和艺术中扮演着重要角色,反映了人类对自然和超自然力量的探索和想象。
电脑还原原理解析
要想实现硬盘还原,需要做到两个步骤:第一步是分析扇区,还原产品通过分区表和文件分配表,获取当前硬盘哪些扇区是已经使用过的,哪些扇区是暂未使用的。
第二步是拦截读写,还原产品通过还原驱动程序拦截硬盘读写驱动,并改变系统对硬盘的读写,实现对硬盘已经存在的数据的保护。
举个简单的例子。
Windows要将一段内容写入到硬盘的第100扇区,这时还原驱动会将它拦截下来,通过还原算法将这段内容转而写入到了硬盘中空闲的第1000扇区,并将这个扇区映射关系(100→1000)记录下来,这样实际上100扇区原先的内容并未改变。
之后当Windows要读取100扇区时,还原驱动通过查询将1000扇区的内容提交给Windows,Windows则认为它成功的从100扇区得到了想要的数据。
这样对用户甚至Windows来说硬盘随时都在发生着改变,然而实际上硬盘原有的数据都没有改变。
当Windows重新启动后,包括这个100→1000在内的所有记录都被清除了,在用户和Windows看来,硬盘没有发生任何变化,数据被还原了。
目前还原方式不外乎硬件还原和软件还原两种。
那么还原卡和还原软件有什么区别呢?我们一一分析。
现在流行的还原软件大致可分为两种,一种是以冰点为代表的纯驱动还原软件。
这一类的还原软件只有一个驱动程序,在Windows启动过程中加载。
这个驱动程序不仅要实现对硬盘驱动的拦截,它还要在程序加载时完成对硬盘已使用扇区和未使用扇区的分析。
它把还原的两个步骤结合到了一个驱动程序当中。
它还舍弃了从Windows开始启动后,到还原驱动程序启动前这段时间Windows对硬盘的读写(事实上这段时间几乎没有写操作)。
这是实现还原最简单的方法,简单就会存在安全性的问题,我们后面再分析。
第二种是以还原精灵为代表的类还原卡软件。
顾名思义,它们和还原卡很类似,它们的特点是通过修改硬盘的主引导记录(MBR)来启动还原。
启动还原的代码是在安装时写入到硬盘中去的。
还原精灵还原卡之工作原理
还原卡也称硬盘保护卡,网吧和学校采用较多,可以保护硬盘数据不被恶意修改,删除。保护卡是一种硬件芯片,插在主板上与硬盘的MBR协同工作。这是由一种技术“BIOS映射地址搬移”,以软盘为载体的加密方案中演化而来。通过调用Int15h子功能,其他方法也可以,只要能切入保护模式,切入保护模式后,改掉BI实现BIOS段的重定位,找到Int13h的原始BIOS中断向量值,填入中断向量表。这样修改以后其他对Int13H的钩子通常就被绕过了。
具体可以通过从中取代INT13来实现。只能对正常读写的数据流加以控制,但对如非法关机所造成的数据丢失就无能为力了。
实际是BIOS的INT13安装一个过滤处理程序,当机器处于保护状态时,所有的数据写入都被保存到硬盘上的空余空间,新写入的数据都可以被访问到,并且保存新旧两份FAT和目录表,如果机器重新启动,由用户决定两种情况,就是丢弃新写入数据和保存新写入数据,1.丢弃新数据,这个最简单了,把旧FAT表和目录表写回就可以了;2。保存新数据,把最后的FAT和目录表写入就可以了。
硬盘还原原理
那么还原卡和还原软件有什么区别呢?我们一一分析。
现在流行的还原软件大致可分为两种:一种是以冰点和影子系统为代表的纯驱动还原软件。这一类的还原软件只有一个驱动程序,在Windows启动过程中加载。这个驱动程序不仅要实现对硬盘驱动的拦截,它还要在程序加载时完成对硬盘已使用扇区和未使用扇区的分析。它把还原的两个步骤结合到了一个过滤驱动程序当中。它还舍弃了从 Windows开始启动后,到还原驱动程序启动前这段时间Windows对硬盘的读写(事实上这段时间几乎没有写操作)。这是实现还原最简单的方法,简单就会存在安全性的问题,我们后面再分析。
件,它们的特点是没有引导程序,在驱动程序加载时才起作用,也就是说,它的安全是在这个时候才开始的。这样一看,它的安全性就比较差了。我们可以做个试验。先在XP系统下装好冰点,让XP可以正常还原。然后在启动Windows时,按F8键进入启动菜单,选择“最后一次正确配置”进入 Windows。我们可以看到,还原再也不起作用了。
第二种是以北软的远志还原精灵为代表的“类还原卡软件”。顾名思义,它们和还原卡很类似,实际上就是还原卡仿真模拟软件。它们的特点是通过修改硬盘的主引导记录(MBR)来启动还原。启动还原的代码是在安装时写入到硬盘中去的。我们知道,硬盘都是通过主引导记录来启动的。还原精灵将硬盘原有的主引导记录保存下来,并改成自己的主引导程序。这样当硬盘启动时,系统就会首先加载还原精灵的主引导程序。分析扇区这一步就是在这个时候完成的。而同时还原精灵可以做很多事情,包括分析硬盘扇区,还原,转储(又叫更新硬盘数据)等等,这让它也能实现还原卡的诸多功能。当还原精灵做完了这些事后,就去加载硬盘原有的主引导记录,开始启动Windows。然后还是通过磁盘过滤驱动,完成对硬盘读写的拦截
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
还原精灵与还原卡的工作原理分析:还原精灵的工作原理:它修改了引导区,引导区又被称为MBR,它位于硬盘的0头0柱1扇区,在扩展int 13中没有头、柱、扇区这个概念,它只有逻辑扇区,在扩展的int 13中MBR位于是0扇区,如果BIOS中设置的是硬盘启动的话,系统会首先载入这个扇区到内存,然后运行这个代码,还原精灵就是用的是自己的引导代码,这个方法与引导型病毒一样,病毒的目的是破坏,而它的目的是保护,就如武器在坏人手里有破坏力一样,这个代码接管了INT13中断,每当我们向硬盘写入数据时,其实还是写入到硬盘中,可是没有真正修改硬盘中的FAT。
由于INT13被接管,当还原精灵发现是写操作,如果没有激活管理身份,便将原先数据目的地址重新指向它自己定义的一段连续的空磁盘空间,并将先前背份的第二份FAT中的被修改的相关数据指向这片空间。
当我们读取数据时,和写操作相反。
所以还原精灵需要被保护的磁盘上有较大的空闲空间,它就需要利用这段空间!另外,用户不可能格式化真正的硬盘,还是因为被接管的INT13,所有对硬盘的操作都要通过INT13。
还原卡的原理也和还原精灵软件的方法类似,不做详细解释如何解除还原精灵与还原卡的保护呢?通过分析原理,我们发现保护程序是通过修改中断向量来达到保护硬盘不被真正写入的,其中int13是关键,它拦截了int13的处理程序,将自己的程序挂到上面,这也是无法写进数据的原因所在,有的卡同时还修改了时钟中断来达到反跟踪,它会利用早以被它修改过的时钟中断定时检查中断向量表,它一旦发现修改为别的值.就会一一还原。
所以我们从编程的角度来看,就有了下面这样一些解决方法(用qbasic在理论上都能使用下面的破解方法!)1、既然它拦截了int13的处理程序,将自己的程序挂到上面,那么我们只要把bios的int13的程序地址,在dos下填入中断向量表不就大功告成了,不过对于有的卡不方便用,而且需要你对汇编有一定的基础。
最重要的是这个方法用编程的方法来破解很有难度。
2、破解密码,这个方法比上一个我认为要简单,还原精灵把自己的密码放在0头0柱8扇区的位置,如何知道是这个位置呢?对于硬盘的0头0柱的63个扇区只有1扇区被使用,我们可以写个代码来分析这些扇区是否被改动,在安装还原精灵前,先保存这63个扇区,然后安装,再读取这些扇区与保存的比较,就可以找到存放真正MBR的扇区与存放密码的扇区,然后我们改动一下密码,再比较存放密码的扇区有什么不同,这样通过分析来找出密钥,很多还原卡也是把密码保存在前63个扇区里,不过扇区的位置和密钥不一定都一样,这个是肯定的!(凡是密码进行判断肯定有一段代码会把真假密码进行比较,可以使用一些调试工具来破解,如果加密技术不强也可以用什么能查看内存的软件来搜索,这种方法不大适合编程,只适合手动破解!)相关编程资料:中断INT13 读硬盘扇区功能用法 INT 13H,AH=02H读扇区说明:调用此功能将从磁盘上把一个或更多的扇区内容读进存贮器。
因为这是一个低级功能,在一个操作中读取的全部扇区必须在同一条磁道上(磁头号和磁道号相同)。
BIOS不能自动地从一条磁道末尾切换到另一条磁道开始,因此用户必须把跨多条磁道的读操作分为若干条单磁道读操作。
入口参数:AH=02H指明调用读扇区功能。
AL置要读的扇区数目,不允许使用读磁道末端以外的数值,也不允许使该寄存器为0。
DL需要进行读操作的驱动器号。
DH所读磁盘的磁头号。
CH磁道号的低8位数。
CL低5位放入所读起始扇区号,位7-6表示磁道号的高2位。
ES:BX读出数据的缓冲区地址。
返回参数:如果CF=1,AX中存放出错状态。
读出后的数据在ES:BX区域依次排列。
经过分析,还原精灵把主引导扇区的内容保存在0头0柱9扇区,把本身的密码保存在0头0柱8扇区偏移4FH的位置,用A5H作为密钥经过XOR运算加密!要破解还原精灵你可以读密码或者把第9扇区的内容恢复倒MBR,注: 还原精灵密码的算法和保存位置都不是我研究的,我只是根据资料写了个QB版本的. 我听说有人愿出5000RMB买这个程序!就是这么几行代码!哈哈,我免费公开!网络的精神就是自由与共享!'---------------获得还原精灵密码的原程序-----------------------------'程序语言:QBasic4.5,WIN98系统的MSDOS方式下运行通过,还原精灵5。
0版本!'启动QB请加参数 QB/L,程序不能在WINXP,win2000,winNt下运行'程序功能:获得还原精灵密码的程序作者:湖北-枝江qb45'$INCLUDE: 'qb.bi'DIM reg%(9)dta$ = SPACE$(512)'读硬盘0头0道8扇区的数据reg%(0) = &H201reg%(1) = SADD(dta$)reg%(2) = 8reg%(3) = &H80reg%(9) = VARSEG(dta$)CALL INT86XOLD(&H13, reg%(), reg%())PRINT "Pass Word = ";'进行解密输出FOR i = 1 TO 8pass$= CHR$(ASC(MID$(dta$, &H4F + i, 1)) XOR &HA5)if pass$=chr$(0) then exit forPRINT pass$;NEXT i3、INT13实际上是通过BIOS程序提供的标准服务,而BIOS的这个服务是建立在IO读写的基础上的,所以我们也可以直接用IO来读写硬盘,这样就绕过了INT13中断,无论是保护卡还是还原精灵,都形同虚设了,这个方法的难度在于在win系统下要读写IO必须得有ring0级权限!这个问题解决了那么破解就是最轻松的了,qbasic是DOS编程软件,它在DOS下可以读写端口IO,所以用qbasic可以在DOS下很轻松的解决问题,相关资料:对硬盘进行操作的常用端口是1f0h到1f7h号端口(一般情况下硬盘用这个端口,如果硬盘接在别的IDE口就不是这个端口号了),各端口含义如下:端口号读还是写具体含义1F0H 读/写用来传送读/写的数据(其内容是正在传输的一个字节的数据)1F1H 读用来读取错误码1F2H 读/写用来放入要读写的扇区数量1F3H 读/写用来放入要读写的扇区号码1F4H 读/写用来存放读写柱面的低8位字节1F5H 读/写用来存放读写柱面的高2位字节(其高6位恒为0)1F6H 读/写用来存放要读/写的磁盘号及磁头号第7位恒为1第6位恒为0第5位恒为1第4位为0代表第一块硬盘、为1代表第二块硬盘第3~0位用来存放要读/写的磁头号1f7H 读用来存放读操作后的状态第7位控制器忙碌第6位磁盘驱动器准备好了第5位写入错误第4位搜索完成第3位为1时扇区缓冲区没有准备好第2位是否正确读取磁盘数据第1位磁盘每转一周将此位设为1,第0位之前的命令因发生错误而结束写该位端口为命令端口,用来发出指定命令为50h 格式化磁道为20h 尝试读取扇区为21h 无须验证扇区是否准备好而直接读扇区为22h 尝试读取长扇区(用于早期的硬盘,每扇可能不是512字节,而是128字节到1024之间的值)为23h 无须验证扇区是否准备好而直接读长扇区为30h 尝试写扇区为31h 无须验证扇区是否准备好而直接写扇区为32h 尝试写长扇区为33h 无须验证扇区是否准备好而直接写长扇区我给大家一个用端口写硬盘的QBASIC例子,就算你在CMOS设置中关闭硬盘了,本程序照样能写硬盘主引导区,在这个程序运行后可以将MBR(主引导区)清零,对一个不懂的人是很危险的,在使用这个代码前请大家三思而行,如果造成数据损失,本人概不负责!这段程序可以解决无法分区的怪硬盘,还可以解决因为“还原精灵”死锁的硬盘,而且同样还能修复各种硬盘逻辑锁死锁的硬盘。
但是请注意,如果使用这个代码,你的硬盘中的C盘D 盘...什么的都没有了,你必须重新分区或者是使用分区恢复工具!'------------------用qbasic写硬盘的例子-------------'功能:将硬盘的MBR清0 程序语言:Qbasic 作者:qb45'申请一个硬盘操作OUT &H1F6, &HE0OUT &H1F2, 1OUT &H1F3, 0OUT &H1F4, 0OUT &H1F5, 0OUT &H1F7, &H30'等待硬盘空闲DO WHILE flag% <> &H58flag%= INP(&H1F7)IF INKEY$=CHR$(27) THEN ENDLOOPw%=0 '要写的直为0'执行写操作for i=1 to 256out &h1F0,w%next i'显示写成功的信息PRINT "ok!MBR =0"对于用端口来写硬盘这个才是解决问题的最好方法,但是这里也有很大的一个难度,你随便写一个扇区很容易,但是你如果是要把一个文件复制到硬盘考虑的事情就很多了,起码你得要熟悉FAT的原理和格式,找到空闲的扇区写入文件内容,然后在FAT中登记簇号.....总之很麻烦,但是如果你把这个东西弄得很清楚的话,做个数据恢复软件也是很轻松的!还原精灵如果推出了新版本,你又无法分析密钥的话,只要你先安装一个,然后记下密码,找到密码扇区保存,然后把这个扇区用来写入有保护的硬盘,密码就被改掉了,这个方法就简单多了!4,绕过还原,对于还原精灵,BIOS设置中如果不是硬盘优先启动,它是不起一点作用的!所以在BIOS中设置成软盘等启动系统,然后运行FDISK/MBR就可以达到效果!当然软盘里必须有FDISK这个分区程序.对于一部分还原卡,它的本质上更应该是网卡,不过它有BOOTROM启动芯片,所以启动的时候不是先启动硬盘,它里面的程序来起着与还原精灵一样的作用,它的密码保存得有个地方,所以一般来说它也在硬盘里有个密码扇区!不过它也可以把密码放在别的什么地方! 网卡类型的还原卡(很少见),那么只要进入BIOS设置里把boot from network这项关掉,就应该可以取消还原卡的作用,有的卡用的是FLASH ROM,这个是可以被电檫写的,我们可以下一个网卡ROM搽写程序或者是自己编写一个这样的程序(这个我不会编写,无法提供程序),就象升级BIOS一样来破坏掉还原卡,可以只写一部分,也可以写些垃圾数据,如果知道校验地址,也可以直接清除,效果更好!。