无忧启动论坛

标题: 请问现在有能集成到bios的还原软件吗？ [打印本页]

作者: distance 时间: 2008-11-9 23:36
标题: 请问现在有能集成到bios的还原软件吗？
非ghost的，利用还原精灵的原理，记得很久以前捷波的主板有这个功能。可以把它的bios模块提取出来加到自己的bios里，不过以前他那个只能全盘保护，现在有类似的软件吗？或者有主板有类似的功能？

作者: lvyanan 时间: 2008-11-10 08:38
我有台湾远志公司的网络还原精灵，可以保护指定的逻辑盘，但必须要有8139网卡支持，因为破解是要针对8139网卡的串行数据芯片来进行，软件在工作时，主要是根据串行数据芯片里的数据来防伪的，其它网卡没有类似的功能。保护模块可以写在网卡ROM上，也可以写到主板BIOS里(BIOS需要有50多K空间)，Windows下有主控管理程序，该软件支持网络克隆。

[ 本帖最后由 lvyanan 于 2008-11-10 08:40 编辑 ]

作者: chinaren12 时间: 2008-11-10 09:11
现在翔升和双敏的主板里面都带有类似的功能，至于能不能提取出来就不知道了。

作者: distance 时间: 2008-11-10 15:15

原帖由 lvyanan 于 2008-11-10 08:38 发表
我有台湾远志公司的网络还原精灵，可以保护指定的逻辑盘，但必须要有8139网卡支持，因为破解是要针对8139网卡的串行数据芯片来进行，软件在工作时，主要是根据串行数据芯片里的数据来防伪的，其它网卡没有类似的 ...

功能很不错啊，能否共享一下？写入bios是isa模块还是pic模块？

作者: distance 时间: 2008-11-10 15:18

原帖由 chinaren12 于 2008-11-10 09:11 发表
现在翔升和双敏的主板里面都带有类似的功能，至于能不能提取出来就不知道了。

搜了一下，没见有翔升的，双敏的似乎骂的多，呵呵，可能是他们不会用。双敏的估计不好提取，它的开关要在bios里面设置，不是像以前我见到的捷波的，用快捷键激活后选择安装或卸载，功能都在一个模块里。

作者: distance 时间: 2008-11-10 15:20
搜到一个很老的帖子，不知道文中提到的华苏的，现在能否用？

因为现在很少作网吧，所以象硬盘保护或还原软件现在也没怎么玩了，以前玩过捷波的还原精灵和华苏的硬盘还原卡，二者的功能特点如下：

一、捷波的还原精灵写进BIOS的ISA代码中，启动按“CTRL+R”键设置或安装、还原等，对整修硬盘保护，支持CMOS保护，恢复很快，数据量改变不大的话，2、3秒就可恢复，需要硬盘有总容量的1/2048的剩余空间，支持WIN2000以下操作系统，XP没测试过。优点是恢复速度快，一键恢复，用支持定时或每次启动自动还原；缺点是长时间不保存造成临时空间占用多时系统变慢，且不能对单个分区进行保护，只能整修硬盘恢复。

二、华苏的还原卡可刷到主板BIOS中的PCI内。和其它远志、联想的还原卡功能一样，自夸不需要硬盘空间，实际上还是用到每个分区的剩余空间，支持网络克隆，支持单个分区到整个硬盘的保护，支持CMOS保护。优点是恢复速度快，功能多；缺点是我拥有的代码只支持一个节点的克隆(只证实过一次，不敢太过肯定，如果朋友有心测试，也许能证实我说是是错的)，临时空间占用多也会造成系统变慢，还有就是网上现在有入侵还原卡保护的系统类的文章了，就象破解美屏、万象之类的，嘿嘿，总是有人想着吃免费晚餐。

以上二种方法如果都刷进BIOS不知和本文所讲PXE启动是否会有冲突，没经测试。

其它通过纯软件(不需刷BIOS之类的)，如网络还原软件我都没有测试过，不知其性能如何，不敢妄下评论。

如果网吧首次安装系统，通过一台已安装设置好的系统作“母机”，用GHOSTCAST服务器上传整修镜像到服务器，是挺快的，但如果日后升级维护也用到这种方法，确实也不一定是最理想的方案，又要通过一次镜像转储，耗时也多了点。
不过GHOST企业版还支持DOS下的GHOSTCAST服务器，是否可通过它省去了镜像转储功能呢？我想应该可以的，把“母机”作成GHOSTCAST的DOS服务器，应该不是难事吧!

我的观点就这么多，网吧如何升级维护还得靠你们自己了。你可先尝试一下华苏的还原卡，看能否可和PXE启动共存，另外看是否真的只支持一个点的网络克隆。

作者: lvyanan 时间: 2008-11-10 15:36
我用的远志网络还原，支持250台主机联网克隆，随便指定那台主机当发送端都行，其它的主机作为接收端即可，不需要PXE支持。

作者: lvyanan 时间: 2008-11-10 15:37

原帖由 distance 于 2008-11-10 15:15 发表

功能很不错啊，能否共享一下？写入bios是isa模块还是pic模块？

写入的是PCI模块，要获得软件，请发短消息联系。

[ 本帖最后由 lvyanan 于 2008-11-10 15:50 编辑 ]

作者: distance 时间: 2008-11-10 15:49

原帖由 lvyanan 于 2008-11-10 15:37 发表

写入的是PCI模块

能否共享一下？非常感激。
我的信箱：bg372188@yahoo.com.cn
实在不方便的话也不强求，呵呵。本人只是自己感兴趣想研究一下。

作者: lvyanan 时间: 2008-11-10 15:59
软件已发出，请查收，BIOS写入实验时要谨慎，要留有后路。

作者: distance 时间: 2008-11-10 16:02

原帖由 lvyanan 于 2008-11-10 15:59 发表
软件已发出，请查收，BIOS写入实验时要谨慎，要留有后路。

非常感谢，另外多谢提醒，本人不会公布出去，呵呵。

作者: distance 时间: 2008-11-10 16:17
Total compress code space  = 5B000h(364.00K)
  Total compressed code size = 4C88Fh(306.14K)
  Remain compress code space = 0E771h(57.86K)
晕，空间差一点，不敢乱删，暂时无法给出反馈了。

作者: 大白兔 时间: 2008-11-10 16:40
搞这个太麻烦了。

作者: distance 时间: 2008-11-10 16:54
为什么运行pg8139 /r /pci 没有任何反映，只响了一下，并没有倒出8139x.map？

作者: distance 时间: 2008-11-10 16:56
我确实用的8139的网卡，当然并没有BootRom片，但按说明是不影响的。

作者: distance 时间: 2008-11-10 16:57
另外发现bios空间其实压缩的话50多一点就够了。

作者: lianjiang 时间: 2008-11-10 16:58
高难操作，呵呵。

。

作者: distance 时间: 2008-11-10 19:30
又搜了搜，发现这个东西其实也很古老了，现在的主板总线管理模式都变了，那个程序可能认不到现在的pci设备。

作者: xuxuezeng 时间: 2008-11-10 19:47
网卡改还原卡在BIOS主页中有专门的讨论,可以参考一下!我以前也搞过,在网卡上加一块芯片,然后写入还原卡程序,还是比较简单!

作者: lvyanan 时间: 2008-11-10 20:34

原帖由 distance 于 2008-11-10 16:54 发表
为什么运行pg8139 /r /pci 没有任何反映，只响了一下，并没有倒出8139x.map？

不知是否网卡的原因，我用的是方正科技的8139D网卡，pg8139可以读出其串行数据芯片的数据，你的8139网卡串行数据芯片是不是不一样，所以才读不出来，放到纯DOS下去操作试试。

作者: 天风 时间: 2008-11-10 20:39
普通网卡没有32空白插座无法加入芯片。

如果需要模块加入BIOS请到BBS.ZNPC.NET综合区查找。应该很多。各种各样的，自己加入时要小心。

作者: distance 时间: 2008-11-10 20:52

原帖由 xuxuezeng 于 2008-11-10 19:47 发表
网卡改还原卡在BIOS主页中有专门的讨论,可以参考一下!我以前也搞过,在网卡上加一块芯片,然后写入还原卡程序,还是比较简单!

BIOS主页?本论坛没有啊，BIOS之家里面搜了一下讨论的也不多。希望最好还是加入bios的，像捷波那个一样，只要能选择备份分区就行。

作者: distance 时间: 2008-11-10 20:56

原帖由 lvyanan 于 2008-11-10 20:34 发表

不知是否网卡的原因，我用的是方正科技的8139D网卡，pg8139可以读出其串行数据芯片的数据，你的8139网卡串行数据芯片是不是不一样，所以才读不出来，放到纯DOS下去操作试试。

在纯dos下试了确实可以，幸亏还有一个盘是fat32的，呵呵。不过发现改了网卡，改了bios进windows还是要安装一个不小的驱动。先找找看有没有更简单的。
如果在windows里面还要安装，直接安装个还原精灵不是更省事？

[ 本帖最后由 distance 于 2008-11-10 21:19 编辑 ]

作者: distance 时间: 2008-11-10 20:58

原帖由天风于 2008-11-10 20:39 发表
普通网卡没有32空白插座无法加入芯片。

如果需要模块加入BIOS请到BBS.ZNPC.NET综合区查找。应该很多。各种各样的，自己加入时要小心。

谢谢，去看看。。

作者: distance 时间: 2008-11-10 21:39
晕啊，id表里面明显a跟9不分，b跟8不分。亏得我对照着算了算。
另外请问一下，是不是直接在8139X.MAP里面改了mac地址刷回去，就等于把网卡mac地址给改了？mac地址其实就是8139X.MAP中的地址？

作者: distance 时间: 2008-11-10 21:42
对应7 后面应该是： 2 3 0 1 6 7 4 5 A B 8 9 E F C D
被写成了：
对应7 2 3 0 1 6 7 4 5 A B B A E F C D

作者: distance 时间: 2008-11-10 22:42
都改好了暂时还不敢刷，第一担心pci模块能否工作正常，刚试了一下把grldr改成pci模块刷进去无效，用isa模块一切正常。我的bios已经有两个pci模块了，第二不知那个驱动能否支持sp3，刚去BBS.ZNPC.NET看了看，有些还原模块sp2正常的，sp3下不正常。

作者: lvyanan 时间: 2008-11-11 08:46

原帖由 distance 于 2008-11-10 21:39 发表
另外请问一下，是不是直接在8139X.MAP里面改了mac地址刷回去，就等于把网卡mac地址给改了？mac地址其实就是8139X.MAP中的地址？

这里的MAC地址就是网卡的真实MAC地址，许多改MAC的软件，实际上并不是改真实MAC的，改MAC不是上策，最好不要轻易改动，在同一局域网内，相同MAC网卡之间是不能通讯的，正规企业生产的网卡，其MAC地址范围是由国际专门组织划定的，在全世界不会出现相同的网卡MAC地址，其中道理，不言而喻，建议不到万不得已，不要去改动它，除非是反宽带经销商的监控，但改动前还是要记录下自己网卡的MAC，以便将来恢复。

作者: lvyanan 时间: 2008-11-11 08:51

原帖由 distance 于 2008-11-10 20:56 发表

在纯dos下试了确实可以，幸亏还有一个盘是fat32的，呵呵。不过发现改了网卡，改了bios进windows还是要安装一个不小的驱动。先找找看有没有更简单的。
如果在windows里面还要安装，直接安装个还原精灵不是更省事？

直接安装还原精灵与网络还原精灵还是有区别的，还原精灵是软件形式的，驻留在主引导扇上，用系统盘从外部启动系统，就可以破解掉它的保护，网络还原精灵则不然，由于它是存在于ROM里的，不管你从什么介质上启动系统，保护作用都是存在的，况且网络还原精灵还有网络克隆功能，这怎么能相提并论。

作者: distance 时间: 2008-11-11 14:41

原帖由 lvyanan 于 2008-11-11 08:51 发表

直接安装还原精灵与网络还原精灵还是有区别的，还原精灵是软件形式的，驻留在主引导扇上，用系统盘从外部启动系统，就可以破解掉它的保护，网络还原精灵则不然，由于它是存在于ROM里的，不管你从什么介质上启 ...

我记得以前捷波那个还原，只要启动时候按快捷键激活选择安装，就保护起来了，进系统不用任何操作也没法操作，仅仅bios一个模块就完事了。问题是它只能全盘保护。

作者: distance 时间: 2008-11-11 14:44

原帖由 lvyanan 于 2008-11-11 08:46 发表

这里的MAC地址就是网卡的真实MAC地址，许多改MAC的软件，实际上并不是改真实MAC的，改MAC不是上策，最好不要轻易改动，在同一局域网内，相同MAC网卡之间是不能通讯的，正规企业生产的网卡，其MAC地址范围是由 ...

恩，windows里直接就有改mac地址的地方，估计这个肯定不是改的真实mac地址。呵呵

作者: 天风 时间: 2008-11-11 18:48

原帖由 distance 于 2008-11-11 14:41 发表

我记得以前捷波那个还原，只要启动时候按快捷键激活选择安装，就保护起来了，进系统不用任何操作也没法操作，仅仅bios一个模块就完事了。问题是它只能全盘保护。

只能全盘保护并且只能保护98，不能保护NT，如果保护NT需要驱动的。

作者: distance 时间: 2008-11-11 19:56

原帖由天风于 2008-11-11 18:48 发表

只能全盘保护并且只能保护98，不能保护NT，如果保护NT需要驱动的。

这就不解了，操作系统里面有没有安装驱动，bios的保护模块是如何得知的？比如远志这个，到系统里面装了驱动在启动时候才能执行保护。安装驱动改了mbr？那在bios里执行安装也可以改呀。保护模块在系统启动之前先启动了，还有什么权限拿不到的？直接拦截磁盘写操作不就完了，还管它是什么系统？

作者: lvyanan 时间: 2008-11-11 21:21

原帖由 distance 于 2008-11-11 19:56 发表

这就不解了，操作系统里面有没有安装驱动，bios的保护模块是如何得知的？比如远志这个，到系统里面装了驱动在启动时候才能执行保护。安装驱动改了mbr？那在bios里执行安装也可以改呀。保护模块在系统启动之前 ...

没有那么简单，一个系统要正常运行，一点都不能写盘是不行的，保护程序实际上是对受保护的扇区进行了记录，该区域是严格控制不执行写操作的，实际上就是通过控制类似FAT表之类的记录结构来实现，而对于未使用的扇区则是允许写入的，要实现这种形式的操作，牵涉到对磁盘文件结构的识别等高级控制手段问题，不是区区60K的ROM程序可以胜任得了的，必须要有一个嵌入在操作系统里的程序与之相呼应才可以达到目的。保护程序是通过截获INT13h来控制读写盘操作的，因此，它对于直接通过磁盘I/O进行的读写盘操作就无能为力了，机器狗就是这样突破保护卡的保护机制的。

作者: netwinxp 时间: 2008-11-11 21:59
MAC一般存在另外一片ROM里面，所以通常不用担心被误改，集成网卡可以在BIOS里面另外设置。居于BIOS的保护对不使用INT 13H的Windows无效，一般的保护软件还会挂钩windows磁盘驱动程序。

[ 本帖最后由 netwinxp 于 2008-11-11 22:01 编辑 ]

作者: distance 时间: 2008-11-11 22:59

原帖由 lvyanan 于 2008-11-11 21:21 发表

没有那么简单，一个系统要正常运行，一点都不能写盘是不行的，保护程序实际上是对受保护的扇区进行了记录，该区域是严格控制不执行写操作的，实际上就是通过控制类似FAT表之类的记录结构来实现，而对于未使用 ...

这么说，加载了驱动和rom配合就可以预防机器狗了？机器狗这两年才出来，而像这个保护软件都出来多年了。如果只考虑通过截获INT13h来拦截写盘操作，是不是不需要驱动呢？需要加载驱动感觉不爽，机器狗不用考虑，有别的办法预防。

作者: distance 时间: 2008-11-11 23:04

原帖由 netwinxp 于 2008-11-11 21:59 发表
MAC一般存在另外一片ROM里面，所以通常不用担心被误改，集成网卡可以在BIOS里面另外设置。居于BIOS的保护对不使用INT 13H的Windows无效，一般的保护软件还会挂钩windows磁盘驱动程序。

如果需要挂钩windows磁盘驱动程序，就得在系统里装驱动了，但它不是工作在更底层吗？是不是挂钩了驱动效率更高？

作者: 天风 时间: 2008-11-11 23:50

原帖由 distance 于 2008-11-11 23:04 发表

如果需要挂钩windows磁盘驱动程序，就得在系统里装驱动了，但它不是工作在更底层吗？是不是挂钩了驱动效率更高？

只见到JUZT-REBOOT这个可以不用WIN下安装驱动，直接从DOS安装，但是这是个软保，硬保没有得到ROM，如果你购买有卡可以尝试从RAM中抓取ROM。

http://www.juzt-reboot.com/rebootSW.htm

作者: 天风 时间: 2008-11-11 23:51
其实目前软保做得最好的应该是南京安悦的雨过天晴了。

作者: lvyanan 时间: 2008-11-12 08:58

原帖由 distance 于 2008-11-11 22:59 发表

这么说，加载了驱动和rom配合就可以预防机器狗了？机器狗这两年才出来，而像这个保护软件都出来多年了。如果只考虑通过截获INT13h来拦截写盘操作，是不是不需要驱动呢？需要加载驱动感觉不爽，机器狗不用考虑 ...

加载了驱动，也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作，磁盘直接I/O程序在进行读写盘操作时，不需要BIOS提供支持，而是直接进行硬件端口地址的寻址，直接控制和传送数据，要拦截此类磁盘操作是很难做到的。

作者: distance 时间: 2008-11-12 13:48

原帖由天风于 2008-11-11 23:50 发表

只见到JUZT-REBOOT这个可以不用WIN下安装驱动，直接从DOS安装，但是这是个软保，硬保没有得到ROM，如果你购买有卡可以尝试从RAM中抓取ROM。

http://www.juzt-reboot.com/rebootSW.htm

还是第一次听说这个，呵呵，保护卡加载驱动的话，不会去hook SSDT吧？这样很容易和其它安全软件造成冲突。时空论坛里面目前发现方正增霸似乎不错，不需要依赖网卡，但似乎都在找可用的驱动。
可以在dos安装，就说明在windows下安装驱动不是必须的，在windows安装驱动可能是为了实现更多功能或者提高拦截效率。

作者: distance 时间: 2008-11-12 13:52

原帖由 lvyanan 于 2008-11-12 08:58 发表

加载了驱动，也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作，磁盘直接I/O程序在进行读写盘操作时，不需要BIOS提供支持，而是直接进行硬件端口地址的寻址，直接控制和传送数据，要拦截此类磁盘操作 ...

用hips防机器狗倒是很容易，不允许它加载驱动就行了，呵呵。机器狗不管怎么变，它都要加载驱动。

作者: distance 时间: 2008-11-12 14:19

原帖由天风于 2008-11-11 23:51 发表
其实目前软保做得最好的应该是南京安悦的雨过天晴了。

刚搜了一下，发现这个软件开机居然有3个进程，我是一个多余的进程也不想要，呵呵。觉得完美的是在bios里面安装、控制，安装时候修改下mbr，系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突的驱动，这是我能接受的极限了。不然的话就不考虑这种保护方式了。

作者: xuxuezeng 时间: 2008-11-12 19:16

原帖由 distance 于 2008-11-12 14:19 发表

刚搜了一下，发现这个软件开机居然有3个进程，我是一个多余的进程也不想要，呵呵。觉得完美的是在bios里面安装、控制，安装时候修改下mbr，系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突 ...

我用过破解版,不知是什么原因,当雨过天晴用的时间很久后,被保护盘(一般是C盘)容量会变小,到一定时间后,系统就会蓝屏,还原后就正常了,总的感觉这个软件有点占硬盘.(没有设置开机自动备份功能)

作者: netwinxp 时间: 2008-11-12 19:26

原帖由 lvyanan 于 2008-11-12 08:58 发表
加载了驱动，也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作，磁盘直接I/O程序在进行读写盘操作时，不需要BIOS提供支持，而是直接进行硬件端口地址的寻址，直接控制和传送数据，要拦截此类磁盘操作 ...

NT内核，想要直接I/O则必须通过.SYS文件，逮住.SYS也就断了机器狗的根本。

可以在dos安装，就说明在windows下安装驱动不是必须的，在windows安装驱动可能是为了实现更多功能或者提高拦截效率。

NT内核肯定用磁盘驱动而不是INT 13H来访问硬盘，所有对NT内核有效的保护卡必然要对磁盘驱动做手脚，不管怎么号称不需要驱动，不信的话可以用VSVC来分析已启动的服务，DOS下安装并不代表它不去修改WINDOWS。

[ 本帖最后由 netwinxp 于 2008-11-12 19:37 编辑 ]

作者: distance 时间: 2008-11-12 20:20

原帖由 xuxuezeng 于 2008-11-12 19:16 发表

我用过破解版,不知是什么原因,当雨过天晴用的时间很久后,被保护盘(一般是C盘)容量会变小,到一定时间后,系统就会蓝屏,还原后就正常了,总的感觉这个软件有点占硬盘.(没有设置开机自动备份功能)

保护都还是要占用空间的，蓝屏可能就是空间不够了，捷波那个号称占用空间是2048：1，不知道真假，雨过天晴这个应该占用的比较多。

作者: distance 时间: 2008-11-12 20:27

原帖由 netwinxp 于 2008-11-12 19:26 发表

NT内核，想要直接I/O则必须通过.SYS文件，逮住.SYS也就断了机器狗的根本。

NT内核肯定用磁盘驱动而不是INT 13H来访问硬盘，所有对NT内核有效的保护卡必然要对磁盘驱动做手脚，不管怎么号称不需要驱动，不信 ...

后来的机器狗用tmp文件加载驱动，开始我也不信，后来看到截图，确实是加载的tmp。看来驱动文件不一定要sys后缀。
nt内核的磁盘驱动就不调用那个中断了吗？可能你是对的，安装驱动也没事，别太大别冲突就好，最害怕的是冲突。

作者: 天风 时间: 2008-11-12 20:52

原帖由 distance 于 2008-11-12 14:19 发表

刚搜了一下，发现这个软件开机居然有3个进程，我是一个多余的进程也不想要，呵呵。觉得完美的是在bios里面安装、控制，安装时候修改下mbr，系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突 ...

安装完成后，可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

作者: distance 时间: 2008-11-12 22:32

原帖由天风于 2008-11-12 20:52 发表

安装完成后，可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

这样也行？回头试试。是不是也安装了驱动？我看有破解要替换其中两个文件，现在都删了，岂不是连破解都省了？

作者: distance 时间: 2008-11-13 00:32
雨过天晴似乎破解完美的只有060612，比较老了，不知道在sp3下能否正常使用？另外这东西和dos有什么关系？怎么都在讨论“在DOS下无法注册”等问题？

作者: netwinxp 时间: 2008-11-13 03:12

原帖由天风于 2008-11-12 20:52 发表

安装完成后，可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

观察一下NTLDR是否被修改过？除了启动那一小段，NT内核并不使用实模式的INT 13H，你把所有的IDE驱动删除的话，XP一定启动不了。

作者: distance 时间: 2008-11-13 14:20

原帖由 netwinxp 于 2008-11-13 03:12 发表

观察一下NTLDR是否被修改过？除了启动那一小段，NT内核并不使用实模式的INT 13H，你把所有的IDE驱动删除的话，XP一定启动不了。

试着安装了一下，既没有加载驱动，也没有修改NTLDR，加了一个自启动，两个服务，会有3个进程，现在我把自启动和服务都关了，目前没发现异常。windows目录没什么东西，都在程序目录，20多兆，不知道哪些能删除？开始按快捷键激活的界面程序不知道是否也依赖这个目录的内容？
最大的问题是太占空间了，就一个原始还原点c盘就少了200多兆，c盘没做任何修改按理说应该不占任何空间才对，难道它不是靠拦截写磁盘操作工作的？

作者: distance 时间: 2008-11-13 14:36
启动激活的界面管理不全，不能删除还原点，在卸载里面可以看到还原点，以为是删除还原点，结果不管选哪个都是把程序卸载了。误删了暂时不想再装了，最不满意还是太占空间。

作者: distance 时间: 2008-11-13 14:42
在没有加载驱动，也没有修改NTLDR，并且关了所有进程的情况下，修改c盘的内容，能正确还原。如果这个程序是靠拦截磁盘写操作的话，说明不装驱动也能拦截，或者它不是靠这个原理工作的？

作者: lvyanan 时间: 2008-11-13 14:45
我是这样猜测还原卡在windows下的保护机制的，首先截获win系统的磁盘读写模块，对于所有读写磁盘的请求，均进行审查，程序复制一份主目录表，作为临时工作主目录，其上标记出所有已使用的簇并进行监视和保护，凡是进行目录及文件操作的动作，只要是目标落到保护簇区的，允许读操作，写操作则要在空闲簇区另建一个样本文件来实施，以后的读写盘操作均先查询空闲簇区，有目标文件就直接操作，可以任意进行读写，没有目标文件时转而查询保护簇区的主目录表进行操作，操作中始终不改动保护簇区的任何数据。还原时只要把原始的主目录，重建一个新的临时工作主目录即可实现。

作者: distance 时间: 2008-11-13 15:49

原帖由 lvyanan 于 2008-11-13 14:45 发表
我是这样猜测还原卡在windows下的保护机制的，首先截获win系统的磁盘读写模块，对于所有读写磁盘的请求，均进行审查，程序复制一份主目录表，作为临时工作主目录，其上标记出所有已使用的簇并进行监视和保护，凡 ...

单纯这样的话，写操作多了就占用很多空间，有的保护卡或软件声称不占用任何空间，当然这是不可能的，总要占用一些空间，但有的软件确实占用非常少的空间。应该用了什么优化的算法，程序好坏应该跟这个算法关系很大。

作者: netwinxp 时间: 2008-11-13 16:32

在没有加载驱动，也没有修改NTLDR，并且关了所有进程的情况下，修改c盘的内容，能正确还原。

请用VSVC把核心驱动列出来，服务分应用层和核心层两类，是否有添加驱动你把它们列出来就清楚了。其实保护机制有点类似FBWF。

[ 本帖最后由 netwinxp 于 2008-11-13 16:39 编辑 ]

核心驱动.PNG (41.11 KB, 下载次数: 245)

作者: distance 时间: 2008-11-13 16:43

原帖由 netwinxp 于 2008-11-13 16:32 发表
请用VSVC把核心驱动列出来——
服务分应用层和核心层两类，是否有添加驱动你把它们列出来就清楚了。

晕，已经卸载掉了，但我装有comodo监控，有驱动安装加载肯定知道，也可以肯定安装时候没有往system32及其子目录写文件。如果是安装驱动文件，又不是木马，一般应该安装到driver目录。是否重启以后在程序安装目录加载驱动现在就不知道了，这个我没有监控，对c盘已安装的程序给的权限很高。但我觉得这种可能性不大。

[ 本帖最后由 distance 于 2008-11-13 16:46 编辑 ]

作者: distance 时间: 2008-11-13 16:57
这里有一个号称“《网络还原专家》功能的实现完全不依赖于任何其它软件及操作系统。”
http://www.biosrepair.com/pic/pic60.htm

作者: netwinxp 时间: 2008-11-14 15:20
很简单的一个测试办法——直接用PE启动，如果对PE无效，那么那些所谓的免驱全是骗人的。由于可做手脚的WINDOWS的地方实在太多，你没有找到并不代表没有，而居于RAM的PE刚好可以避免被“偷偷”修改，所以它就成了“试金石”。

PS:因为XP对磁盘的访问是居于驱动程序的而且不使用实模式的INT 13H，所以那些号称“免驱”的保护卡从原理上来说是不可能的。
另外不要把类似“一键还原”的软硬件和保护卡等同，那些号称不需要任何支持的“还原卡”很可能就是“一键还原”的网卡BIOS版本。
除非是居于HPA的，否则所有的还原、保护都会由于无法拦截I/O指令而可能会被穿透。

[ 本帖最后由 netwinxp 于 2008-11-14 15:30 编辑 ]

作者: distance 时间: 2008-11-14 16:26

原帖由 netwinxp 于 2008-11-14 15:20 发表
很简单的一个测试办法——直接用PE启动，如果对PE无效，那么那些所谓的免驱全是骗人的。由于可做手脚的WINDOWS的地方实在太多，你没有找到并不代表没有，而居于RAM的PE刚好可以避免被“偷偷”修改，所以它就成了 ...

不太理解，pe即使不是镜像格式，它每次启动也等于“自动还原”了呀。我怀疑雨过天晴不是拦截的磁盘写操作，因为它实在太占硬盘空间了。我c盘本身才占800多兆，它一个还原点就用了200多兆，感觉应该是用某种方式做了个映像。

作者: distance 时间: 2008-11-14 16:29
或者说是个映射表，还原时候对照一下，做了修改的修改回来，没修改的就不管了，所以比ghost完全镜像完全恢复快很多，但是比拦截写操作的还是慢不少。

作者: netwinxp 时间: 2008-11-14 17:23
雨过天晴采用的是类似FBWF的过滤器的方法，把对于磁盘的写操作重新定向，需要在WINDOWS中加入过滤器驱动。

作者: distance 时间: 2008-11-14 19:37

原帖由 netwinxp 于 2008-11-14 17:23 发表
雨过天晴采用的是类似FBWF的过滤器的方法，把对于磁盘的写操作重新定向，需要在WINDOWS中加入过滤器驱动。

那它这么占用空间实在难以理解。另外恢复也不是“瞬间”，c盘几乎没有怎么更改还原应该瞬间完成。

作者: distance 时间: 2008-11-17 20:57
发现三茗一键恢复比雨过天晴好用很多，第一不占空间，第二还原是瞬间完成。缺点是不能设置，基础的每次自动还原都实现不了。

欢迎光临无忧启动论坛 (http://bbs.wuyou.net./)