三茗的一键恢复竟然不是改的mbr

distance · 发表于 2008-11-19 21:18:56

难道它直接修改的bios？重建mbr以后它一切照旧，还提示你mbr被修改，是否恢复。晕，能这样直接改bios来引导的吗？

94first · 发表于 2010-4-10 13:50:17

看完了。。

虽然看完了。
但是
云里雾里的。。

netwinxp · 发表于 2010-4-7 08:56:31

网卡ROM或者独立PCI卡ROM在系统自检的时候会被加载成扩展BIOS，它们改写了INT 13H，INT 13H不能拦截winwdows写硬盘操作(因为windows采用独立的磁盘控制器驱动)，所以还要在其板卡驱动程序加入磁盘控制器驱动的过滤程序来拦截，酱紫做虽然可以DOS、windows双拦截，但是它无法拦截直接I/O操作，除非让windows运行在虚拟机模式才有可能以高特权级拦住IO操作。

diguolaobing · 发表于 2010-4-3 22:23:13

以前用过破解的，不过不太彻底，还是到一月就完了

junyee · 发表于 2010-2-16 23:21:06

原帖由 zhxy9804 于 2010-1-10 22:57 发表

网吧用的硬件三茗要么是pci单独插上，要么就是一个小模块插在网卡上，不是写入bios，可惜，现在面对机器狗是一点办法也没有

我手里还一大摞，老板送的，谁要i我给你邮过去。

有这和好的事？？？

俊峰之巅 · 发表于 2010-1-15 19:33:13

多谢楼上提供下载地址。

jmzz · 发表于 2010-1-15 17:14:50

还有机器狗问题啊？试试德天信山的，可以先下载他们金钟罩测试测试

天涯海角1216 · 发表于 2010-1-10 21:35:17

网吧的是硬件三茗，是写入BIOS里了

netwinxp · 发表于 2010-1-4 21:02:28

原帖由 gmy 于 2008-12-10 15:47 发表
我在一家网吧遇到过一次，试图在DOS下清除或重写MBR，失败，重启后被恢复，估计是首启动是PXE，引导后立即做了恢复MBR的动作所至。

MBR会接管INT 13H(INT 42H)，WINDOWS则另有磁盘控制器驱动程序的过滤程序，所以只有用直接I/O或其他启动介质启动才可以真正清理掉。

q67512 · 发表于 2010-1-4 18:17:08

多谢楼上提供下载地址。

MLD · 发表于 2010-1-4 13:54:32

原帖由 yjd 于 2008-12-27 12:44 发表
山茗还原不是收费的吗？
哪位有破解版下载地址给一个谢谢。

下载地址：

【点这里下载一】

【点这里下载二】

[ 本帖最后由 MLD 于 2010-1-4 13:59 编辑 ]

yjd · 发表于 2008-12-27 12:44:27

山茗还原不是收费的吗？
哪位有破解版下载地址给一个谢谢。

jzyjjp · 发表于 2008-12-18 08:45:06

我觉得重装系统时三茗很好删除呀。
方法是恢复镜像到c盘后（既装了系统，又删除了三茗的有关文件），
进dos运行fdisk/mbr或者spfdisk/mbr，
即可搞定，不信你试试

zxw · 发表于 2008-12-11 11:27:38

原帖由 gmy 于 2008-12-10 15:47 发表
我在一家网吧遇到过一次，试图在DOS下清除或重写MBR，失败，重启后被恢复，估计是首启动是PXE，引导后立即做了恢复MBR的动作所至。

ghost重装之前，我清除或重写MBR后，热键丢失，再ghost重装,就不行了

gmy · 发表于 2008-12-10 15:47:40

我在一家网吧遇到过一次，试图在DOS下清除或重写MBR，失败，重启后被恢复，估计是首启动是PXE，引导后立即做了恢复MBR的动作所至。

distance · 发表于 2008-12-5 21:46:11

原帖由 zxw 于 2008-12-4 14:47 发表
很奇怪，重新安装ghostxp时，按F9会继续安装新的ghost系统

ghost xp 不改写mbr，自己重写mbr吧，需要用三茗了再重新安装。

pywc · 发表于 2008-12-4 16:46:12

这个不好用算了吧别用啦

zxw · 发表于 2008-12-4 14:47:36

很奇怪，重新安装ghostxp时，按F9会继续安装新的ghost系统

[ 本帖最后由 zxw 于 2008-12-5 19:19 编辑 ]

zxw · 发表于 2008-12-4 14:43:52

三茗一键我一直在用，他的真实原理我一直没搞懂

c600 · 发表于 2008-12-2 07:32:20

原来流行的保护卡现在用的很少了都会在硬盘写下东西

li670805 · 发表于 2008-12-1 15:16:49

这个软件是不错，可惜只能试用一个月。

hongnoh · 发表于 2008-11-24 12:01:28

好啊，可以没有什么东西。。

distance · 发表于 2008-11-20 19:48:21

总体来说这个软件很不错，但启动时候滴一声很不爽，还有完全不能定制，只有一个模式。

distance · 发表于 2008-11-20 19:45:27

用pe重写了mbr以后，重启，进入系统三茗自动启动卸载程序把程序卸载了，原来它自己在启动界面里的卸载也就是恢复mbr，进入系统后加载的驱动没有检测到三茗的mbr就自动启动卸载。

lgfzy · 发表于 2008-11-20 15:39:25

目前应该没有还原软件能随便写入到BIOS中！

lvyanan · 发表于 2008-11-20 15:20:21

原帖由 distance 于 2008-11-20 14:24 发表

其实想想，如果在系统里随便重写mbr就把它给删了，这种保护也确实太脆弱了，呵呵。

破解也很简单，用非本硬盘上的系统启动主机，更换MBR后，即可解除。

distance · 发表于 2008-11-20 14:24:21

原帖由 lvyanan 于 2008-11-20 13:16 发表

以前的引导型病毒都能做到这一点，追溯源头，巴基斯坦病毒是鼻祖，要做到这一点其实并不难，拦截INT13h中断，监视对硬盘首扇区的读写操作，将读写该扇区的操作重定向到某个特定扇区即可。

其实想想，如果在系统里随便重写mbr就把它给删了，这种保护也确实太脆弱了，呵呵。

distance · 发表于 2008-11-20 14:21:38

原帖由 netwinxp 于 2008-11-19 23:52 发表
除了早期硬盘(传送的是真正的CHS地址)，现在的都是LBA模式，也就是说实际上BIOS传给硬盘的地址是用的是LBA地址。

安装这个三茗的时候，第一次运行，它会先改一个注册表参数，似乎是某个地方改为lba，重启后才能继续安装。安装以后又强调必须把bios里面的模式改为lba，如果现在都是lba，是不是不用到bios里改也能正常使用？回头我试试看。

lvyanan · 发表于 2008-11-20 13:16:52

原帖由 distance 于 2008-11-19 23:19 发表

谢谢指点，明白了，不是每个保护软件都这么猛吧，都能连写mbr也拦截掉？

以前的引导型病毒都能做到这一点，追溯源头，巴基斯坦病毒是鼻祖，要做到这一点其实并不难，拦截INT13h中断，监视对硬盘首扇区的读写操作，将读写该扇区的操作重定向到某个特定扇区即可。

netwinxp · 发表于 2008-11-19 23:52:36

除了早期硬盘(传送的是真正的CHS地址)，现在的都是LBA模式，也就是说实际上BIOS传给硬盘的地址是用的是LBA地址。

		自动登录	找回密码
密码			注册

三茗的一键恢复竟然不是改的mbr

回复 #35 zhxy9804 的帖子

回复 #34 zhxy9804 的帖子