请问现在有能集成到bios的还原软件吗？

distance

非ghost的，利用还原精灵的原理，记得很久以前捷波的主板有这个功能。可以把它的bios模块提取出来加到自己的bios里，不过以前他那个只能全盘保护，现在有类似的软件吗？或者有主板有类似的功能？

distance

原帖由 lvyanan 于 2008-11-10 08:38 发表
我有台湾远志公司的网络还原精灵，可以保护指定的逻辑盘，但必须要有8139网卡支持，因为破解是要针对8139网卡的串行数据芯片来进行，软件在工作时，主要是根据串行数据芯片里的数据来防伪的，其它网卡没有类似的 ...

功能很不错啊，能否共享一下？写入bios是isa模块还是pic模块？

distance

原帖由 chinaren12 于 2008-11-10 09:11 发表
现在翔升和双敏的主板里面都带有类似的功能，至于能不能提取出来就不知道了。

搜了一下，没见有翔升的，双敏的似乎骂的多，呵呵，可能是他们不会用。双敏的估计不好提取，它的开关要在bios里面设置，不是像以前我见到的捷波的，用快捷键激活后选择安装或卸载，功能都在一个模块里。

distance

搜到一个很老的帖子，不知道文中提到的华苏的，现在能否用？

因为现在很少作网吧，所以象硬盘保护或还原软件现在也没怎么玩了，以前玩过捷波的还原精灵和华苏的硬盘还原卡，二者的功能特点如下：

一、捷波的还原精灵写进BIOS的ISA代码中，启动按“CTRL+R”键设置或安装、还原等，对整修硬盘保护，支持CMOS保护，恢复很快，数据量改变不大的话，2、3秒就可恢复，需要硬盘有总容量的1/2048的剩余空间，支持WIN2000以下操作系统，XP没测试过。优点是恢复速度快，一键恢复，用支持定时或每次启动自动还原；缺点是长时间不保存造成临时空间占用多时系统变慢，且不能对单个分区进行保护，只能整修硬盘恢复。

二、华苏的还原卡可刷到主板BIOS中的PCI内。和其它远志、联想的还原卡功能一样，自夸不需要硬盘空间，实际上还是用到每个分区的剩余空间，支持网络克隆，支持单个分区到整个硬盘的保护，支持CMOS保护。优点是恢复速度快，功能多；缺点是我拥有的代码只支持一个节点的克隆(只证实过一次，不敢太过肯定，如果朋友有心测试，也许能证实我说是是错的)，临时空间占用多也会造成系统变慢，还有就是网上现在有入侵还原卡保护的系统类的文章了，就象破解美屏、万象之类的，嘿嘿，总是有人想着吃免费晚餐。

以上二种方法如果都刷进BIOS不知和本文所讲PXE启动是否会有冲突，没经测试。

其它通过纯软件(不需刷BIOS之类的)，如网络还原软件我都没有测试过，不知其性能如何，不敢妄下评论。

如果网吧首次安装系统，通过一台已安装设置好的系统作“母机”，用GHOSTCAST服务器上传整修镜像到服务器，是挺快的，但如果日后升级维护也用到这种方法，确实也不一定是最理想的方案，又要通过一次镜像转储，耗时也多了点。
不过GHOST企业版还支持DOS下的GHOSTCAST服务器，是否可通过它省去了镜像转储功能呢？我想应该可以的，把“母机”作成GHOSTCAST的DOS服务器，应该不是难事吧!

我的观点就这么多，网吧如何升级维护还得靠你们自己了。你可先尝试一下华苏的还原卡，看能否可和PXE启动共存，另外看是否真的只支持一个点的网络克隆。

distance

原帖由 lvyanan 于 2008-11-10 15:37 发表

写入的是PCI模块

能否共享一下？非常感激。
我的信箱：bg372188@yahoo.com.cn
实在不方便的话也不强求，呵呵。本人只是自己感兴趣想研究一下。

distance

原帖由 lvyanan 于 2008-11-10 15:59 发表
软件已发出，请查收，BIOS写入实验时要谨慎，要留有后路。

非常感谢，另外多谢提醒，本人不会公布出去，呵呵。

distance

Total compress code space  = 5B000h(364.00K)
  Total compressed code size = 4C88Fh(306.14K)
  Remain compress code space = 0E771h(57.86K)
晕，空间差一点，不敢乱删，暂时无法给出反馈了。

distance

为什么运行pg8139 /r /pci 没有任何反映，只响了一下，并没有倒出8139x.map？

distance

我确实用的8139的网卡，当然并没有BootRom片，但按说明是不影响的。

distance

另外发现bios空间其实压缩的话50多一点就够了。

distance

又搜了搜，发现这个东西其实也很古老了，现在的主板总线管理模式都变了，那个程序可能认不到现在的pci设备。

distance

原帖由 xuxuezeng 于 2008-11-10 19:47 发表
网卡改还原卡在BIOS主页中有专门的讨论,可以参考一下!我以前也搞过,在网卡上加一块芯片,然后写入还原卡程序,还是比较简单!

BIOS主页?本论坛没有啊，BIOS之家里面搜了一下讨论的也不多。希望最好还是加入bios的，像捷波那个一样，只要能选择备份分区就行。

distance

原帖由 lvyanan 于 2008-11-10 20:34 发表

不知是否网卡的原因，我用的是方正科技的8139D网卡，pg8139可以读出其串行数据芯片的数据，你的8139网卡串行数据芯片是不是不一样，所以才读不出来，放到纯DOS下去操作试试。

在纯dos下试了确实可以，幸亏还有一个盘是fat32的，呵呵。不过发现改了网卡，改了bios进windows还是要安装一个不小的驱动。先找找看有没有更简单的。
如果在windows里面还要安装，直接安装个还原精灵不是更省事？

[ 本帖最后由 distance 于 2008-11-10 21:19 编辑 ]

distance

原帖由 天风 于 2008-11-10 20:39 发表
普通网卡没有32空白插座无法加入芯片。

如果需要模块加入BIOS请到BBS.ZNPC.NET综合区查找。应该很多。各种各样的，自己加入时要小心。

谢谢，去看看。。

distance

晕啊，id表里面明显a跟9不分，b跟8不分。亏得我对照着算了算。
另外请问一下，是不是直接在8139X.MAP里面改了mac地址刷回去，就等于把网卡mac地址给改了？mac地址其实就是8139X.MAP中的地址？

distance

对应7 后面应该是：    2 3 0 1 6 7 4 5 A B 8 9 E F C D
被写成了：
对应7     2 3 0 1 6 7 4 5 A B B A E F C D

distance

都改好了暂时还不敢刷，第一担心pci模块能否工作正常，刚试了一下把grldr改成pci模块刷进去无效，用isa模块一切正常。我的bios已经有两个pci模块了，第二不知那个驱动能否支持sp3，刚去BBS.ZNPC.NET看了看，有些还原模块sp2正常的，sp3下不正常。

distance

原帖由 lvyanan 于 2008-11-11 08:51 发表

直接安装还原精灵与网络还原精灵还是有区别的，还原精灵是软件形式的，驻留在主引导扇上，用系统盘从外部启动系统，就可以破解掉它的保护，网络还原精灵则不然，由于它是存在于ROM里的，不管你从什么介质上启 ...

我记得以前捷波那个还原，只要启动时候按快捷键激活选择安装，就保护起来了，进系统不用任何操作也没法操作，仅仅bios一个模块就完事了。问题是它只能全盘保护。

distance

原帖由 lvyanan 于 2008-11-11 08:46 发表

这里的MAC地址就是网卡的真实MAC地址，许多改MAC的软件，实际上并不是改真实MAC的，改MAC不是上策，最好不要轻易改动，在同一局域网内，相同MAC网卡之间是不能通讯的，正规企业生产的网卡，其MAC地址范围是由 ...

恩，windows里直接就有改mac地址的地方，估计这个肯定不是改的真实mac地址。呵呵

distance

原帖由 天风 于 2008-11-11 18:48 发表

只能全盘保护并且只能保护98，不能保护NT，如果保护NT需要驱动的。

这就不解了，操作系统里面有没有安装驱动，bios的保护模块是如何得知的？比如远志这个，到系统里面装了驱动在启动时候才能执行保护。安装驱动改了mbr？那在bios里执行安装也可以改呀。保护模块在系统启动之前先启动了，还有什么权限拿不到的？直接拦截磁盘写操作不就完了，还管它是什么系统？

distance

原帖由 lvyanan 于 2008-11-11 21:21 发表

没有那么简单，一个系统要正常运行，一点都不能写盘是不行的，保护程序实际上是对受保护的扇区进行了记录，该区域是严格控制不执行写操作的，实际上就是通过控制类似FAT表之类的记录结构来实现，而对于未使用 ...

这么说，加载了驱动和rom配合就可以预防机器狗了？机器狗这两年才出来，而像这个保护软件都出来多年了。如果只考虑通过截获INT13h来拦截写盘操作，是不是不需要驱动呢？需要加载驱动感觉不爽，机器狗不用考虑，有别的办法预防。

distance

原帖由 netwinxp 于 2008-11-11 21:59 发表
MAC一般存在另外一片ROM里面，所以通常不用担心被误改，集成网卡可以在BIOS里面另外设置。居于BIOS的保护对不使用INT 13H的Windows无效，一般的保护软件还会挂钩windows磁盘驱动程序。

如果需要挂钩windows磁盘驱动程序，就得在系统里装驱动了，但它不是工作在更底层吗？是不是挂钩了驱动效率更高？

distance

原帖由 天风 于 2008-11-11 23:50 发表

只见到JUZT-REBOOT这个可以不用WIN下安装驱动，直接从DOS安装，但是这是个软保，硬保没有得到ROM，如果你购买有卡可以尝试从RAM中抓取ROM。

http://www.juzt-reboot.com/rebootSW.htm

还是第一次听说这个，呵呵，保护卡加载驱动的话，不会去hook SSDT吧？这样很容易和其它安全软件造成冲突。时空论坛里面目前发现方正增霸似乎不错，不需要依赖网卡，但似乎都在找可用的驱动。
可以在dos安装，就说明在windows下安装驱动不是必须的，在windows安装驱动可能是为了实现更多功能或者提高拦截效率。

distance

原帖由 lvyanan 于 2008-11-12 08:58 发表

加载了驱动，也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作，磁盘直接I/O程序在进行读写盘操作时，不需要BIOS提供支持，而是直接进行硬件端口地址的寻址，直接控制和传送数据，要拦截此类磁盘操作 ...

用hips防机器狗倒是很容易，不允许它加载驱动就行了，呵呵。机器狗不管怎么变，它都要加载驱动。

distance

原帖由 天风 于 2008-11-11 23:51 发表
其实目前软保做得最好的应该是南京安悦的雨过天晴了。

刚搜了一下，发现这个软件开机居然有3个进程，我是一个多余的进程也不想要，呵呵。觉得完美的是在bios里面安装、控制，安装时候修改下mbr，系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突的驱动，这是我能接受的极限了。不然的话就不考虑这种保护方式了。

distance

原帖由 xuxuezeng 于 2008-11-12 19:16 发表

  我用过破解版,不知是什么原因,当雨过天晴用的时间很久后,被保护盘(一般是C盘)容量会变小,到一定时间后,系统就会蓝屏,还原后就正常了,总的感觉这个软件有点占硬盘.(没有设置开机自动备份功能)

保护都还是要占用空间的，蓝屏可能就是空间不够了，捷波那个号称占用空间是2048：1，不知道真假，雨过天晴这个应该占用的比较多。

distance

原帖由 netwinxp 于 2008-11-12 19:26 发表

NT内核，想要直接I/O则必须通过.SYS文件，逮住.SYS也就断了机器狗的根本。

NT内核肯定用磁盘驱动而不是INT 13H来访问硬盘，所有对NT内核有效的保护卡必然要对磁盘驱动做手脚，不管怎么号称不需要驱动，不信 ...

后来的机器狗用tmp文件加载驱动，开始我也不信，后来看到截图，确实是加载的tmp。看来驱动文件不一定要sys后缀。
nt内核的磁盘驱动就不调用那个中断了吗？可能你是对的，安装驱动也没事，别太大别冲突就好，最害怕的是冲突。

distance

原帖由 天风 于 2008-11-12 20:52 发表

安装完成后，可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

这样也行？回头试试。是不是也安装了驱动？我看有破解要替换其中两个文件，现在都删了，岂不是连破解都省了？

distance

雨过天晴似乎破解完美的只有060612，比较老了，不知道在sp3下能否正常使用？另外这东西和dos有什么关系？怎么都在讨论“在DOS下无法注册”等问题？

distance

原帖由 netwinxp 于 2008-11-13 03:12 发表

观察一下NTLDR是否被修改过？除了启动那一小段，NT内核并不使用实模式的INT 13H，你把所有的IDE驱动删除的话，XP一定启动不了。

试着安装了一下，既没有加载驱动，也没有修改NTLDR，加了一个自启动，两个服务，会有3个进程，现在我把自启动和服务都关了，目前没发现异常。windows目录没什么东西，都在程序目录，20多兆，不知道哪些能删除？开始按快捷键激活的界面程序不知道是否也依赖这个目录的内容？
最大的问题是太占空间了，就一个原始还原点c盘就少了200多兆，c盘没做任何修改按理说应该不占任何空间才对，难道它不是靠拦截写磁盘操作工作的？