请问现在有能集成到bios的还原软件吗？

distance

非ghost的，利用还原精灵的原理，记得很久以前捷波的主板有这个功能。可以把它的bios模块提取出来加到自己的bios里，不过以前他那个只能全盘保护，现在有类似的软件吗？或者有主板有类似的功能？

distance

发现三茗一键恢复比雨过天晴好用很多，第一不占空间，第二还原是瞬间完成。缺点是不能设置，基础的每次自动还原都实现不了。

distance

原帖由 netwinxp 于 2008-11-14 17:23 发表
雨过天晴采用的是类似FBWF的过滤器的方法，把对于磁盘的写操作重新定向，需要在WINDOWS中加入过滤器驱动。

那它这么占用空间实在难以理解。另外恢复也不是“瞬间”，c盘几乎没有怎么更改还原应该瞬间完成。

netwinxp

雨过天晴采用的是类似FBWF的过滤器的方法，把对于磁盘的写操作重新定向，需要在WINDOWS中加入过滤器驱动。

distance

或者说是个映射表，还原时候对照一下，做了修改的修改回来，没修改的就不管了，所以比ghost完全镜像完全恢复快很多，但是比拦截写操作的还是慢不少。

distance

原帖由 netwinxp 于 2008-11-14 15:20 发表
很简单的一个测试办法——直接用PE启动，如果对PE无效，那么那些所谓的免驱全是骗人的。由于可做手脚的WINDOWS的地方实在太多，你没有找到并不代表没有，而居于RAM的PE刚好可以避免被“偷偷”修改，所以它就成了 ...

不太理解，pe即使不是镜像格式，它每次启动也等于“自动还原”了呀。我怀疑雨过天晴不是拦截的磁盘写操作，因为它实在太占硬盘空间了。我c盘本身才占800多兆，它一个还原点就用了200多兆，感觉应该是用某种方式做了个映像。

netwinxp

很简单的一个测试办法——直接用PE启动，如果对PE无效，那么那些所谓的免驱全是骗人的。由于可做手脚的WINDOWS的地方实在太多，你没有找到并不代表没有，而居于RAM的PE刚好可以避免被“偷偷”修改，所以它就成了“试金石”。

PS:因为XP对磁盘的访问是居于驱动程序的而且不使用实模式的INT 13H，所以那些号称“免驱”的保护卡从原理上来说是不可能的。
另外不要把类似“一键还原”的软硬件和保护卡等同，那些号称不需要任何支持的“还原卡”很可能就是“一键还原”的网卡BIOS版本。
除非是居于HPA的，否则所有的还原、保护都会由于无法拦截I/O指令而可能会被穿透。

[ 本帖最后由 netwinxp 于 2008-11-14 15:30 编辑 ]

distance

这里有一个号称“《网络还原专家》功能的实现完全不依赖于任何其它软件及操作系统。”
http://www.biosrepair.com/pic/pic60.htm

distance

原帖由 netwinxp 于 2008-11-13 16:32 发表
请用VSVC把核心驱动列出来——
服务分应用层和核心层两类，是否有添加驱动你把它们列出来就清楚了。

晕，已经卸载掉了，但我装有comodo监控，有驱动安装加载肯定知道，也可以肯定安装时候没有往system32及其子目录写文件。如果是安装驱动文件，又不是木马，一般应该安装到driver目录。是否重启以后在程序安装目录加载驱动现在就不知道了，这个我没有监控，对c盘已安装的程序给的权限很高。但我觉得这种可能性不大。

[ 本帖最后由 distance 于 2008-11-13 16:46 编辑 ]

netwinxp

在没有加载驱动，也没有修改NTLDR，并且关了所有进程的情况下，修改c盘的内容，能正确还原。

请用VSVC把核心驱动列出来，服务分应用层和核心层两类，是否有添加驱动你把它们列出来就清楚了。其实保护机制有点类似FBWF。

[ 本帖最后由 netwinxp 于 2008-11-13 16:39 编辑 ]

distance

原帖由 lvyanan 于 2008-11-13 14:45 发表
我是这样猜测还原卡在windows下的保护机制的，首先截获win系统的磁盘读写模块，对于所有读写磁盘的请求，均进行审查，程序复制一份主目录表，作为临时工作主目录，其上标记出所有已使用的簇并进行监视和保护，凡 ...

单纯这样的话，写操作多了就占用很多空间，有的保护卡或软件声称不占用任何空间，当然这是不可能的，总要占用一些空间，但有的软件确实占用非常少的空间。应该用了什么优化的算法，程序好坏应该跟这个算法关系很大。

lvyanan

我是这样猜测还原卡在windows下的保护机制的，首先截获win系统的磁盘读写模块，对于所有读写磁盘的请求，均进行审查，程序复制一份主目录表，作为临时工作主目录，其上标记出所有已使用的簇并进行监视和保护，凡是进行目录及文件操作的动作，只要是目标落到保护簇区的，允许读操作，写操作则要在空闲簇区另建一个样本文件来实施，以后的读写盘操作均先查询空闲簇区，有目标文件就直接操作，可以任意进行读写，没有目标文件时转而查询保护簇区的主目录表进行操作，操作中始终不改动保护簇区的任何数据。还原时只要把原始的主目录，重建一个新的临时工作主目录即可实现。

distance

在没有加载驱动，也没有修改NTLDR，并且关了所有进程的情况下，修改c盘的内容，能正确还原。如果这个程序是靠拦截磁盘写操作的话，说明不装驱动也能拦截，或者它不是靠这个原理工作的？

distance

启动激活的界面管理不全，不能删除还原点，在卸载里面可以看到还原点，以为是删除还原点，结果不管选哪个都是把程序卸载了。误删了暂时不想再装了，最不满意还是太占空间。

distance

原帖由 netwinxp 于 2008-11-13 03:12 发表

观察一下NTLDR是否被修改过？除了启动那一小段，NT内核并不使用实模式的INT 13H，你把所有的IDE驱动删除的话，XP一定启动不了。

试着安装了一下，既没有加载驱动，也没有修改NTLDR，加了一个自启动，两个服务，会有3个进程，现在我把自启动和服务都关了，目前没发现异常。windows目录没什么东西，都在程序目录，20多兆，不知道哪些能删除？开始按快捷键激活的界面程序不知道是否也依赖这个目录的内容？
最大的问题是太占空间了，就一个原始还原点c盘就少了200多兆，c盘没做任何修改按理说应该不占任何空间才对，难道它不是靠拦截写磁盘操作工作的？

netwinxp

原帖由 天风 于 2008-11-12 20:52 发表

安装完成后，可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

观察一下NTLDR是否被修改过？除了启动那一小段，NT内核并不使用实模式的INT 13H，你把所有的IDE驱动删除的话，XP一定启动不了。

distance

雨过天晴似乎破解完美的只有060612，比较老了，不知道在sp3下能否正常使用？另外这东西和dos有什么关系？怎么都在讨论“在DOS下无法注册”等问题？

distance

原帖由 天风 于 2008-11-12 20:52 发表

安装完成后，可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

这样也行？回头试试。是不是也安装了驱动？我看有破解要替换其中两个文件，现在都删了，岂不是连破解都省了？

天风

原帖由 distance 于 2008-11-12 14:19 发表

刚搜了一下，发现这个软件开机居然有3个进程，我是一个多余的进程也不想要，呵呵。觉得完美的是在bios里面安装、控制，安装时候修改下mbr，系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突 ...

安装完成后，可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

distance

原帖由 netwinxp 于 2008-11-12 19:26 发表

NT内核，想要直接I/O则必须通过.SYS文件，逮住.SYS也就断了机器狗的根本。

NT内核肯定用磁盘驱动而不是INT 13H来访问硬盘，所有对NT内核有效的保护卡必然要对磁盘驱动做手脚，不管怎么号称不需要驱动，不信 ...

后来的机器狗用tmp文件加载驱动，开始我也不信，后来看到截图，确实是加载的tmp。看来驱动文件不一定要sys后缀。
nt内核的磁盘驱动就不调用那个中断了吗？可能你是对的，安装驱动也没事，别太大别冲突就好，最害怕的是冲突。

distance

原帖由 xuxuezeng 于 2008-11-12 19:16 发表

  我用过破解版,不知是什么原因,当雨过天晴用的时间很久后,被保护盘(一般是C盘)容量会变小,到一定时间后,系统就会蓝屏,还原后就正常了,总的感觉这个软件有点占硬盘.(没有设置开机自动备份功能)

保护都还是要占用空间的，蓝屏可能就是空间不够了，捷波那个号称占用空间是2048：1，不知道真假，雨过天晴这个应该占用的比较多。

netwinxp

原帖由 lvyanan 于 2008-11-12 08:58 发表
加载了驱动，也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作，磁盘直接I/O程序在进行读写盘操作时，不需要BIOS提供支持，而是直接进行硬件端口地址的寻址，直接控制和传送数据，要拦截此类磁盘操作 ...

NT内核，想要直接I/O则必须通过.SYS文件，逮住.SYS也就断了机器狗的根本。

可以在dos安装，就说明在windows下安装驱动不是必须的，在windows安装驱动可能是为了实现更多功能或者提高拦截效率。

NT内核肯定用磁盘驱动而不是INT 13H来访问硬盘，所有对NT内核有效的保护卡必然要对磁盘驱动做手脚，不管怎么号称不需要驱动，不信的话可以用VSVC来分析已启动的服务，DOS下安装并不代表它不去修改WINDOWS。

[ 本帖最后由 netwinxp 于 2008-11-12 19:37 编辑 ]

xuxuezeng

原帖由 distance 于 2008-11-12 14:19 发表

刚搜了一下，发现这个软件开机居然有3个进程，我是一个多余的进程也不想要，呵呵。觉得完美的是在bios里面安装、控制，安装时候修改下mbr，系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突 ...

  我用过破解版,不知是什么原因,当雨过天晴用的时间很久后,被保护盘(一般是C盘)容量会变小,到一定时间后,系统就会蓝屏,还原后就正常了,总的感觉这个软件有点占硬盘.(没有设置开机自动备份功能)

distance

原帖由 天风 于 2008-11-11 23:51 发表
其实目前软保做得最好的应该是南京安悦的雨过天晴了。

刚搜了一下，发现这个软件开机居然有3个进程，我是一个多余的进程也不想要，呵呵。觉得完美的是在bios里面安装、控制，安装时候修改下mbr，系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突的驱动，这是我能接受的极限了。不然的话就不考虑这种保护方式了。

distance

原帖由 lvyanan 于 2008-11-12 08:58 发表

加载了驱动，也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作，磁盘直接I/O程序在进行读写盘操作时，不需要BIOS提供支持，而是直接进行硬件端口地址的寻址，直接控制和传送数据，要拦截此类磁盘操作 ...

用hips防机器狗倒是很容易，不允许它加载驱动就行了，呵呵。机器狗不管怎么变，它都要加载驱动。

distance

原帖由 天风 于 2008-11-11 23:50 发表

只见到JUZT-REBOOT这个可以不用WIN下安装驱动，直接从DOS安装，但是这是个软保，硬保没有得到ROM，如果你购买有卡可以尝试从RAM中抓取ROM。

http://www.juzt-reboot.com/rebootSW.htm

还是第一次听说这个，呵呵，保护卡加载驱动的话，不会去hook SSDT吧？这样很容易和其它安全软件造成冲突。时空论坛里面目前发现方正增霸似乎不错，不需要依赖网卡，但似乎都在找可用的驱动。
可以在dos安装，就说明在windows下安装驱动不是必须的，在windows安装驱动可能是为了实现更多功能或者提高拦截效率。

lvyanan

原帖由 distance 于 2008-11-11 22:59 发表

这么说，加载了驱动和rom配合就可以预防机器狗了？机器狗这两年才出来，而像这个保护软件都出来多年了。如果只考虑通过截获INT13h来拦截写盘操作，是不是不需要驱动呢？需要加载驱动感觉不爽，机器狗不用考虑 ...

加载了驱动，也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作，磁盘直接I/O程序在进行读写盘操作时，不需要BIOS提供支持，而是直接进行硬件端口地址的寻址，直接控制和传送数据，要拦截此类磁盘操作是很难做到的。

天风

其实目前软保做得最好的应该是南京安悦的雨过天晴了。

天风

原帖由 distance 于 2008-11-11 23:04 发表

如果需要挂钩windows磁盘驱动程序，就得在系统里装驱动了，但它不是工作在更底层吗？是不是挂钩了驱动效率更高？

只见到JUZT-REBOOT这个可以不用WIN下安装驱动，直接从DOS安装，但是这是个软保，硬保没有得到ROM，如果你购买有卡可以尝试从RAM中抓取ROM。

http://www.juzt-reboot.com/rebootSW.htm

distance

原帖由 netwinxp 于 2008-11-11 21:59 发表
MAC一般存在另外一片ROM里面，所以通常不用担心被误改，集成网卡可以在BIOS里面另外设置。居于BIOS的保护对不使用INT 13H的Windows无效，一般的保护软件还会挂钩windows磁盘驱动程序。

如果需要挂钩windows磁盘驱动程序，就得在系统里装驱动了，但它不是工作在更底层吗？是不是挂钩了驱动效率更高？