一種可以穿透還原卡和還原軟件的代碼_第1頁
已閱讀1頁,還剩6頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

1、還原卡和還原軟件被廣泛運用于各種公共場合的電腦上,比如學(xué)校機房和網(wǎng)吧。這些還原卡和還原軟件(以下我簡稱為虛擬還原技術(shù))能夠記錄下一切對硬盤的寫操作,不論您對硬盤進行拷貝還是移動刪除甚至是格式化分區(qū)等操作,只要一重新啟動,一切都會恢復(fù)到這個操作之前的情況,因此有些虛擬還原廠商還會在廣告詞中加上一句“可以防范一切電腦病毒”。這種虛擬還原的方法在大部分時候的確可以對公共機房的電腦起到很好的保護作用,難道真的沒有一種方法能夠穿透這種保護機制么?

2、答案是否定的,下面請聽我一一道來。一、虛擬還原技術(shù)的原理本文所說的是一種普遍運用于還原卡或還原軟件上的技術(shù),當(dāng)然,不同品牌不同廠商生產(chǎn)的可能不盡相同,但原理卻是相通的。首先,還原卡和還原軟件會搶先奪取引導(dǎo)權(quán),將原來的0頭0道1扇保存在一個其他的扇區(qū),(具體備份到那個扇區(qū)是不一定的),將自己的代碼寫入0頭0道1扇,從而能在操作系統(tǒng)之前得到執(zhí)行權(quán),這一點類似于一個引導(dǎo)型病毒;然后,我們來看看虛擬還原技術(shù)在操作系統(tǒng)之前都做了些什么:1將中斷向

3、量表中的INT13H的入口地址保存;2把自己用于代替INT13H的代碼寫入內(nèi)存,并記住入口地址,當(dāng)然這種“寫入內(nèi)存”并不是普通的“寫”,而是一種我們稱為“常駐”的方法,有關(guān)“常駐程序”的實現(xiàn)方法我們不另外花篇幅來描述了,如果你還不了解的話請自己找有關(guān)資料,也可以到www.hackart.g或找風(fēng)般的男人交流;3將中斷向量表中INT13H的入口地址改為這段常駐程序的入口地址。補充一點,虛擬還原程序在修改INT13H的入口后往往都會修改一些

4、其他中斷入口,當(dāng)然也是通過常駐程序來實現(xiàn)的,這些中斷用來實現(xiàn)對中斷向量表中INT13H入口地址監(jiān)控,一旦發(fā)現(xiàn)被修改,就馬上把它改回,這樣做同樣是用來防止被有心人破解。好了,你已經(jīng)看出來了,這段用來替代BIOS提供的INT13H的代碼才是虛擬還原技術(shù)的關(guān)鍵,那么這段代碼到底實現(xiàn)了些什么了,以下是本人對此拙淺的理解:1攔截所有INT13H中對硬盤0頭0道1扇的操作這些包括讀寫操作,把所有的對0頭0道1扇的操作改為對虛擬還原程序備份的那個扇區(qū)

5、的操作,這樣做的目的是保護虛擬還原代碼不被破壞,并且不能被有心人讀出進行破解,即使你用扇區(qū)編輯工具查看主引導(dǎo)區(qū),實際上你看到的是這個備份的主引導(dǎo)區(qū)。2攔截所有INT13H中的寫硬盤操作這里包括對8G以下的硬盤的普通通過磁頭、磁道、扇區(qū)定位的INT13H中的寫操作,和擴展INT13H中基于扇區(qū)地址方式的對大硬盤的寫操作,甚至包括擴展INT13H中對一些非IDE接口的硬盤的寫操作。至于攔截后做什么是虛擬還原技術(shù)實現(xiàn)的關(guān)鍵,在早期的DOS系統(tǒng)

6、當(dāng)中完全可以“什么都不做”,也就是說當(dāng)用戶寫硬盤時實際上是什么都沒做,但現(xiàn)在的操作系統(tǒng)都要對硬盤進行一些必要的寫操作,比如對虛擬內(nèi)存的寫操作。眾所周知,虛擬內(nèi)存實際上就是硬盤,而如果禁止操作系統(tǒng)寫硬盤的話顯然后果是不堪設(shè)想的。所以,大多數(shù)虛擬還原廠商用的方法是占用一些硬盤空間,把硬盤所進行的寫操作做一個記錄,等系統(tǒng)重新啟動后還原這一記錄,但是怎樣科學(xué)記錄硬盤的寫操作,是我一直沒想通的問題,這種“科學(xué)”應(yīng)該體現(xiàn)在時間上和硬盤空間的占用量上

7、的,也就是說怎么樣用最少的時間和最少的硬盤空間來記錄硬盤的寫操作是實現(xiàn)關(guān)鍵,如果有這方面想法的朋友歡迎和我交流;3備份端口70H,71H中的內(nèi)容,并把最后一次執(zhí)行時端口70H,71H的內(nèi)容和備份的內(nèi)容做比較,不一樣就提示BIOS被修改,是否還原,并通過密碼驗證修改BIOS是否合法。第2位是否正確讀取磁盤數(shù)據(jù)第1位磁盤每轉(zhuǎn)一周將此位設(shè)為1第0位之前的命令因發(fā)生錯誤而結(jié)束寫該位端口為命令端口用來發(fā)出指定命令為50h格式化磁道為20h嘗試讀取

8、扇區(qū)為21h無須驗證扇區(qū)是否準(zhǔn)備好而直接讀扇區(qū)為22h嘗試讀取長扇區(qū)(用于早期的硬盤每扇可能不是512字節(jié)而是128字節(jié)到1024之間的值)為23h無須驗證扇區(qū)是否準(zhǔn)備好而直接讀長扇區(qū)為30h嘗試寫扇區(qū)為31h無須驗證扇區(qū)是否準(zhǔn)備好而直接寫扇區(qū)為32h嘗試寫長扇區(qū)為33h無須驗證扇區(qū)是否準(zhǔn)備好而直接寫長扇區(qū)注:當(dāng)然看完這個表你會發(fā)現(xiàn),這種讀寫端口的方法其實是基于磁頭、柱面、扇區(qū)的硬盤讀寫方法,不過大于8G的硬盤的讀寫方法也是通過端口1F

9、0H~1F7H來實現(xiàn)的^_^四、一個通過對硬盤輸入輸出端口操作來讀寫硬盤的實例讓我們來看一個關(guān)于INT13H讀寫硬盤程序?qū)嵗?。在例子中詳細說明了硬盤的讀寫操作所用到的端口,并且把通過INT13H讀出的主引導(dǎo)區(qū)得到的數(shù)據(jù)和通過輸入輸出讀主引導(dǎo)區(qū)得到的數(shù)據(jù)進行比較,從而證實這兩種操作功能相同,程序片段如下:movdx1f6h要讀入的磁盤號及磁頭號moval0a0h磁盤0磁頭0outdxalmovdx1f2h要讀入的扇區(qū)數(shù)量moval1讀一個

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 眾賞文庫僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論