无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
楼主: distance

请问现在有能集成到bios的还原软件吗?

[复制链接]
 楼主| 发表于 2008-11-11 14:44:11 | 显示全部楼层
原帖由 lvyanan 于 2008-11-11 08:46 发表

这里的MAC地址就是网卡的真实MAC地址,许多改MAC的软件,实际上并不是改真实MAC的,改MAC不是上策,最好不要轻易改动,在同一局域网内,相同MAC网卡之间是不能通讯的,正规企业生产的网卡,其MAC地址范围是由 ...

恩,windows里直接就有改mac地址的地方,估计这个肯定不是改的真实mac地址。呵呵
回复

使用道具 举报

发表于 2008-11-11 18:48:33 | 显示全部楼层
原帖由 distance 于 2008-11-11 14:41 发表

我记得以前捷波那个还原,只要启动时候按快捷键激活选择安装,就保护起来了,进系统不用任何操作也没法操作,仅仅bios一个模块就完事了。问题是它只能全盘保护。

只能全盘保护并且只能保护98,不能保护NT,如果保护NT需要驱动的。
回复

使用道具 举报

 楼主| 发表于 2008-11-11 19:56:30 | 显示全部楼层
原帖由 天风 于 2008-11-11 18:48 发表

只能全盘保护并且只能保护98,不能保护NT,如果保护NT需要驱动的。

这就不解了,操作系统里面有没有安装驱动,bios的保护模块是如何得知的?比如远志这个,到系统里面装了驱动在启动时候才能执行保护。安装驱动改了mbr?那在bios里执行安装也可以改呀。保护模块在系统启动之前先启动了,还有什么权限拿不到的?直接拦截磁盘写操作不就完了,还管它是什么系统?
回复

使用道具 举报

发表于 2008-11-11 21:21:47 | 显示全部楼层
原帖由 distance 于 2008-11-11 19:56 发表

这就不解了,操作系统里面有没有安装驱动,bios的保护模块是如何得知的?比如远志这个,到系统里面装了驱动在启动时候才能执行保护。安装驱动改了mbr?那在bios里执行安装也可以改呀。保护模块在系统启动之前 ...

没有那么简单,一个系统要正常运行,一点都不能写盘是不行的,保护程序实际上是对受保护的扇区进行了记录,该区域是严格控制不执行写操作的,实际上就是通过控制类似FAT表之类的记录结构来实现,而对于未使用的扇区则是允许写入的,要实现这种形式的操作,牵涉到对磁盘文件结构的识别等高级控制手段问题,不是区区60K的ROM程序可以胜任得了的,必须要有一个嵌入在操作系统里的程序与之相呼应才可以达到目的。保护程序是通过截获INT13h来控制读写盘操作的,因此,它对于直接通过磁盘I/O进行的读写盘操作就无能为力了,机器狗就是这样突破保护卡的保护机制的。
回复

使用道具 举报

发表于 2008-11-11 21:59:15 | 显示全部楼层
MAC一般存在另外一片ROM里面,所以通常不用担心被误改,集成网卡可以在BIOS里面另外设置。居于BIOS的保护对不使用INT 13H的Windows无效,一般的保护软件还会挂钩windows磁盘驱动程序。

[ 本帖最后由 netwinxp 于 2008-11-11 22:01 编辑 ]
回复

使用道具 举报

 楼主| 发表于 2008-11-11 22:59:49 | 显示全部楼层
原帖由 lvyanan 于 2008-11-11 21:21 发表

没有那么简单,一个系统要正常运行,一点都不能写盘是不行的,保护程序实际上是对受保护的扇区进行了记录,该区域是严格控制不执行写操作的,实际上就是通过控制类似FAT表之类的记录结构来实现,而对于未使用 ...

这么说,加载了驱动和rom配合就可以预防机器狗了?机器狗这两年才出来,而像这个保护软件都出来多年了。如果只考虑通过截获INT13h来拦截写盘操作,是不是不需要驱动呢?需要加载驱动感觉不爽,机器狗不用考虑,有别的办法预防。
回复

使用道具 举报

 楼主| 发表于 2008-11-11 23:04:31 | 显示全部楼层
原帖由 netwinxp 于 2008-11-11 21:59 发表
MAC一般存在另外一片ROM里面,所以通常不用担心被误改,集成网卡可以在BIOS里面另外设置。居于BIOS的保护对不使用INT 13H的Windows无效,一般的保护软件还会挂钩windows磁盘驱动程序。

如果需要挂钩windows磁盘驱动程序,就得在系统里装驱动了,但它不是工作在更底层吗?是不是挂钩了驱动效率更高?
回复

使用道具 举报

发表于 2008-11-11 23:50:46 | 显示全部楼层
原帖由 distance 于 2008-11-11 23:04 发表

如果需要挂钩windows磁盘驱动程序,就得在系统里装驱动了,但它不是工作在更底层吗?是不是挂钩了驱动效率更高?

只见到JUZT-REBOOT这个可以不用WIN下安装驱动,直接从DOS安装,但是这是个软保,硬保没有得到ROM,如果你购买有卡可以尝试从RAM中抓取ROM。

http://www.juzt-reboot.com/rebootSW.htm
回复

使用道具 举报

发表于 2008-11-11 23:51:48 | 显示全部楼层
其实目前软保做得最好的应该是南京安悦的雨过天晴了。
回复

使用道具 举报

发表于 2008-11-12 08:58:36 | 显示全部楼层
原帖由 distance 于 2008-11-11 22:59 发表

这么说,加载了驱动和rom配合就可以预防机器狗了?机器狗这两年才出来,而像这个保护软件都出来多年了。如果只考虑通过截获INT13h来拦截写盘操作,是不是不需要驱动呢?需要加载驱动感觉不爽,机器狗不用考虑 ...

加载了驱动,也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作,磁盘直接I/O程序在进行读写盘操作时,不需要BIOS提供支持,而是直接进行硬件端口地址的寻址,直接控制和传送数据,要拦截此类磁盘操作是很难做到的。
回复

使用道具 举报

 楼主| 发表于 2008-11-12 13:48:27 | 显示全部楼层
原帖由 天风 于 2008-11-11 23:50 发表

只见到JUZT-REBOOT这个可以不用WIN下安装驱动,直接从DOS安装,但是这是个软保,硬保没有得到ROM,如果你购买有卡可以尝试从RAM中抓取ROM。

http://www.juzt-reboot.com/rebootSW.htm

还是第一次听说这个,呵呵,保护卡加载驱动的话,不会去hook SSDT吧?这样很容易和其它安全软件造成冲突。时空论坛里面目前发现方正增霸似乎不错,不需要依赖网卡,但似乎都在找可用的驱动。
可以在dos安装,就说明在windows下安装驱动不是必须的,在windows安装驱动可能是为了实现更多功能或者提高拦截效率。
回复

使用道具 举报

 楼主| 发表于 2008-11-12 13:52:21 | 显示全部楼层
原帖由 lvyanan 于 2008-11-12 08:58 发表

加载了驱动,也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作,磁盘直接I/O程序在进行读写盘操作时,不需要BIOS提供支持,而是直接进行硬件端口地址的寻址,直接控制和传送数据,要拦截此类磁盘操作 ...

用hips防机器狗倒是很容易,不允许它加载驱动就行了,呵呵。机器狗不管怎么变,它都要加载驱动。
回复

使用道具 举报

 楼主| 发表于 2008-11-12 14:19:10 | 显示全部楼层
原帖由 天风 于 2008-11-11 23:51 发表
其实目前软保做得最好的应该是南京安悦的雨过天晴了。

刚搜了一下,发现这个软件开机居然有3个进程,我是一个多余的进程也不想要,呵呵。觉得完美的是在bios里面安装、控制,安装时候修改下mbr,系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突的驱动,这是我能接受的极限了。不然的话就不考虑这种保护方式了。
回复

使用道具 举报

发表于 2008-11-12 19:16:27 | 显示全部楼层
原帖由 distance 于 2008-11-12 14:19 发表

刚搜了一下,发现这个软件开机居然有3个进程,我是一个多余的进程也不想要,呵呵。觉得完美的是在bios里面安装、控制,安装时候修改下mbr,系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突 ...

  我用过破解版,不知是什么原因,当雨过天晴用的时间很久后,被保护盘(一般是C盘)容量会变小,到一定时间后,系统就会蓝屏,还原后就正常了,总的感觉这个软件有点占硬盘.(没有设置开机自动备份功能)
回复

使用道具 举报

发表于 2008-11-12 19:26:43 | 显示全部楼层
原帖由 lvyanan 于 2008-11-12 08:58 发表
加载了驱动,也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作,磁盘直接I/O程序在进行读写盘操作时,不需要BIOS提供支持,而是直接进行硬件端口地址的寻址,直接控制和传送数据,要拦截此类磁盘操作 ...

NT内核,想要直接I/O则必须通过.SYS文件,逮住.SYS也就断了机器狗的根本。
可以在dos安装,就说明在windows下安装驱动不是必须的,在windows安装驱动可能是为了实现更多功能或者提高拦截效率。

NT内核肯定用磁盘驱动而不是INT 13H来访问硬盘,所有对NT内核有效的保护卡必然要对磁盘驱动做手脚,不管怎么号称不需要驱动,不信的话可以用VSVC来分析已启动的服务,DOS下安装并不代表它不去修改WINDOWS。

[ 本帖最后由 netwinxp 于 2008-11-12 19:37 编辑 ]
回复

使用道具 举报

 楼主| 发表于 2008-11-12 20:20:47 | 显示全部楼层
原帖由 xuxuezeng 于 2008-11-12 19:16 发表

  我用过破解版,不知是什么原因,当雨过天晴用的时间很久后,被保护盘(一般是C盘)容量会变小,到一定时间后,系统就会蓝屏,还原后就正常了,总的感觉这个软件有点占硬盘.(没有设置开机自动备份功能)

保护都还是要占用空间的,蓝屏可能就是空间不够了,捷波那个号称占用空间是2048:1,不知道真假,雨过天晴这个应该占用的比较多。
回复

使用道具 举报

 楼主| 发表于 2008-11-12 20:27:18 | 显示全部楼层
原帖由 netwinxp 于 2008-11-12 19:26 发表

NT内核,想要直接I/O则必须通过.SYS文件,逮住.SYS也就断了机器狗的根本。

NT内核肯定用磁盘驱动而不是INT 13H来访问硬盘,所有对NT内核有效的保护卡必然要对磁盘驱动做手脚,不管怎么号称不需要驱动,不信 ...

后来的机器狗用tmp文件加载驱动,开始我也不信,后来看到截图,确实是加载的tmp。看来驱动文件不一定要sys后缀。
nt内核的磁盘驱动就不调用那个中断了吗?可能你是对的,安装驱动也没事,别太大别冲突就好,最害怕的是冲突。
回复

使用道具 举报

发表于 2008-11-12 20:52:04 | 显示全部楼层
原帖由 distance 于 2008-11-12 14:19 发表

刚搜了一下,发现这个软件开机居然有3个进程,我是一个多余的进程也不想要,呵呵。觉得完美的是在bios里面安装、控制,安装时候修改下mbr,系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突 ...

安装完成后,可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。
回复

使用道具 举报

 楼主| 发表于 2008-11-12 22:32:20 | 显示全部楼层
原帖由 天风 于 2008-11-12 20:52 发表

安装完成后,可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

这样也行?回头试试。是不是也安装了驱动?我看有破解要替换其中两个文件,现在都删了,岂不是连破解都省了?
回复

使用道具 举报

 楼主| 发表于 2008-11-13 00:32:20 | 显示全部楼层
雨过天晴似乎破解完美的只有060612,比较老了,不知道在sp3下能否正常使用?另外这东西和dos有什么关系?怎么都在讨论“在DOS下无法注册”等问题?
回复

使用道具 举报

发表于 2008-11-13 03:12:10 | 显示全部楼层
原帖由 天风 于 2008-11-12 20:52 发表

安装完成后,可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

观察一下NTLDR是否被修改过?除了启动那一小段,NT内核并不使用实模式的INT 13H,你把所有的IDE驱动删除的话,XP一定启动不了。
回复

使用道具 举报

 楼主| 发表于 2008-11-13 14:20:31 | 显示全部楼层
原帖由 netwinxp 于 2008-11-13 03:12 发表

观察一下NTLDR是否被修改过?除了启动那一小段,NT内核并不使用实模式的INT 13H,你把所有的IDE驱动删除的话,XP一定启动不了。

试着安装了一下,既没有加载驱动,也没有修改NTLDR,加了一个自启动,两个服务,会有3个进程,现在我把自启动和服务都关了,目前没发现异常。windows目录没什么东西,都在程序目录,20多兆,不知道哪些能删除?开始按快捷键激活的界面程序不知道是否也依赖这个目录的内容?
最大的问题是太占空间了,就一个原始还原点c盘就少了200多兆,c盘没做任何修改按理说应该不占任何空间才对,难道它不是靠拦截写磁盘操作工作的?
回复

使用道具 举报

 楼主| 发表于 2008-11-13 14:36:09 | 显示全部楼层
启动激活的界面管理不全,不能删除还原点,在卸载里面可以看到还原点,以为是删除还原点,结果不管选哪个都是把程序卸载了。误删了暂时不想再装了,最不满意还是太占空间。
回复

使用道具 举报

 楼主| 发表于 2008-11-13 14:42:25 | 显示全部楼层
在没有加载驱动,也没有修改NTLDR,并且关了所有进程的情况下,修改c盘的内容,能正确还原。如果这个程序是靠拦截磁盘写操作的话,说明不装驱动也能拦截,或者它不是靠这个原理工作的?
回复

使用道具 举报

发表于 2008-11-13 14:45:19 | 显示全部楼层
我是这样猜测还原卡在windows下的保护机制的,首先截获win系统的磁盘读写模块,对于所有读写磁盘的请求,均进行审查,程序复制一份主目录表,作为临时工作主目录,其上标记出所有已使用的簇并进行监视和保护,凡是进行目录及文件操作的动作,只要是目标落到保护簇区的,允许读操作,写操作则要在空闲簇区另建一个样本文件来实施,以后的读写盘操作均先查询空闲簇区,有目标文件就直接操作,可以任意进行读写,没有目标文件时转而查询保护簇区的主目录表进行操作,操作中始终不改动保护簇区的任何数据。还原时只要把原始的主目录,重建一个新的临时工作主目录即可实现。
回复

使用道具 举报

 楼主| 发表于 2008-11-13 15:49:14 | 显示全部楼层
原帖由 lvyanan 于 2008-11-13 14:45 发表
我是这样猜测还原卡在windows下的保护机制的,首先截获win系统的磁盘读写模块,对于所有读写磁盘的请求,均进行审查,程序复制一份主目录表,作为临时工作主目录,其上标记出所有已使用的簇并进行监视和保护,凡 ...

单纯这样的话,写操作多了就占用很多空间,有的保护卡或软件声称不占用任何空间,当然这是不可能的,总要占用一些空间,但有的软件确实占用非常少的空间。应该用了什么优化的算法,程序好坏应该跟这个算法关系很大。
回复

使用道具 举报

发表于 2008-11-13 16:32:28 | 显示全部楼层
在没有加载驱动,也没有修改NTLDR,并且关了所有进程的情况下,修改c盘的内容,能正确还原。

请用VSVC把核心驱动列出来,服务分应用层和核心层两类,是否有添加驱动你把它们列出来就清楚了。其实保护机制有点类似FBWF。

[ 本帖最后由 netwinxp 于 2008-11-13 16:39 编辑 ]
核心驱动.PNG
回复

使用道具 举报

 楼主| 发表于 2008-11-13 16:43:59 | 显示全部楼层
原帖由 netwinxp 于 2008-11-13 16:32 发表
请用VSVC把核心驱动列出来——
服务分应用层和核心层两类,是否有添加驱动你把它们列出来就清楚了。

晕,已经卸载掉了,但我装有comodo监控,有驱动安装加载肯定知道,也可以肯定安装时候没有往system32及其子目录写文件。如果是安装驱动文件,又不是木马,一般应该安装到driver目录。是否重启以后在程序安装目录加载驱动现在就不知道了,这个我没有监控,对c盘已安装的程序给的权限很高。但我觉得这种可能性不大。

[ 本帖最后由 distance 于 2008-11-13 16:46 编辑 ]
回复

使用道具 举报

 楼主| 发表于 2008-11-13 16:57:08 | 显示全部楼层
这里有一个号称“《网络还原专家》功能的实现完全不依赖于任何其它软件及操作系统。”
http://www.biosrepair.com/pic/pic60.htm
回复

使用道具 举报

发表于 2008-11-14 15:20:55 | 显示全部楼层
很简单的一个测试办法——直接用PE启动,如果对PE无效,那么那些所谓的免驱全是骗人的。由于可做手脚的WINDOWS的地方实在太多,你没有找到并不代表没有,而居于RAM的PE刚好可以避免被“偷偷”修改,所以它就成了“试金石”。

PS:因为XP对磁盘的访问是居于驱动程序的而且不使用实模式的INT 13H,所以那些号称“免驱”的保护卡从原理上来说是不可能的。
另外不要把类似“一键还原”的软硬件和保护卡等同,那些号称不需要任何支持的“还原卡”很可能就是“一键还原”的网卡BIOS版本。
除非是居于HPA的,否则所有的还原、保护都会由于无法拦截I/O指令而可能会被穿透。

[ 本帖最后由 netwinxp 于 2008-11-14 15:30 编辑 ]
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-3-29 06:11

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表