破解U+v2深度隐藏，纯grub4dos启动PE

pseudo

原帖由 pseudo 于 2012-11-17 19:37 发表
...
★首个U+v2深度隐藏纯grub4dos启动PE

U+v2高端隐藏纯grub4dos启动比较简单，iso解不解开都行。

深度隐藏情形，分区表无隐藏分区信息。
经由UltraISO自家的EZBoot当能识别隐藏区，但对纯grub4dos，得处理一下才能让grub4dos识别。
方法之一是动态重建分区表，但要确保不能写U盘。

目前仅作简单粗糙的处理，暂时盘上只能放整个不解开的iso。等有时间再支持解开iso的。

0PE_NBv1.4.3(2012-11-12)只开个头，表明深度隐藏完全可以对付。
后面自会有高人给出更完善、通用的方案。我坐等现成的，呵呵。
...

---------------------------------------------------------------------------------------------
0PE_NBv1.4.4(2012-11-20)已支持任意U+选项，0PE.ISO解开、不解开、半解开随意。

深度隐藏已“破解”。预期稍后所有PE都轻松支持深度隐藏。到时启动深度隐藏PE就是小儿科，大家都不用提了。


首个U+v2深度隐藏纯grub4dos启动PE

U+v2高端隐藏纯grub4dos启动比较简单，iso解不解开都行。

深度隐藏情形，分区表无隐藏分区信息。
经由UltraISO自家的EZBoot当能识别隐藏区，但对纯grub4dos，得处理一下才能让grub4dos识别。
方法之一是动态重建分区表，但要确保不能写U盘。

目前仅作简单粗糙的处理，暂时盘上只能放整个不解开的iso。等有时间再支持解开iso的。

0PE_NBv1.4.3(2012-11-12)只开个头，表明深度隐藏完全可以对付。
后面自会有高人给出更完善、通用的方案。我坐等现成的，呵呵。
---------------------------------------------------------------------------------------------
0PE_NBv1.4.4(2012-11-20)已支持任意U+选项，0PE.ISO解开、不解开、半解开随意。

★破解U+v2深度隐藏，纯grub4dos启动PE原理


QUOTE:
原帖由 zds1210 于 2012-11-20 20:48 发表
测试了一下，真支持U+V2深度隐藏区啊。哈哈。不错。希望能把技术共享一下。


先打广告：
0PE支持任意U+选项。跟ud一样，隐不隐藏不用提了，内置外置更不用提。快是必须的。
0PE无论放在那里，都可以一个grldr加一个0PE.ISO（其中0PE.ISO可以整体不解开使用，也可全解开、半解开），非常清爽、统一。

非深度隐藏，例如高端隐藏很简单，这里不提。下面介绍实现纯grub4dos启动U+v2深度隐藏PE的原理。

深度隐藏情形，分区表无隐藏分区信息。
经由UltraISO自家的EZBoot当能识别隐藏区，但对纯grub4dos，得处理一下才能让grub4dos识别。方法之一是重建分区表。

将iso以U+v2深度隐藏写入U盘，用diskgenius、winhex查看U盘，可看到分区表中隐藏分区对应的分区表项16字节被清零。我想，EZBoot要能找回分区，其分区信息必然藏在盘上某处。结果，发现第97扇区末，有疑似分区表项的数据。把数据填入第一扇区分区表中被清零的分区表项处，完成分区表重建，隐藏分区就找回来了，其上文件、目录都能正常访问，是个普通fat16分区。
破解完成，没想到那么容易。如果这样不够准确，以后改进就行，原理是一样的。

剩下的问题是如何在不改动分区表前提下，启动隐藏区里的PE。

方法之一是动态重建分区表，大致思路是：

1、构造含物理盘元数据(分区表、文件分配表等)的虚拟盘
2、改虚拟盘分区表
3、g4d正常访问虚拟盘，获取盘上相关文件元数据
4、按元数据访问物理盘，获取相关文件内容

0PE_NBv1.4.3(2012-11-12)版实现了这种方式。但此方式复杂，或者说走了弯路。经不点大人点拨，改为以下不重构分区表的方式：

1、找到隐藏分区的分区表项信息（第97扇区末）
2、解析分区表项，得到分区起始扇区、总扇区数等信息
3、将隐藏区映射为一个虚拟软盘
4、直接访问虚拟软盘上的文件，启动PE

0PE_NBv1.4.4(2012-11-20)实现了此方式启动PE。
核心grub4dos代码：

[Copy to clipboard] [ - ]
CODE:

dd if=(hd0)96+1 of=(md)768+1 bs=1 count=8 skip=502
set /a pe=*393216 && set /a ps=*393220
map (128)%pe%+%ps% (17)
map --hook
rootnoverify (17)
#now you can load PE from (fd17)
...


此法及其核心代码也适用于其它PE。
预期稍后所有PE都轻松支持深度隐藏。到时启动深度隐藏PE就是小儿科，大家都不用提了。


顺便说一下错位问题。

隐藏区在U盘开头位置，可见区在隐藏区之后。隐藏区、可见区分别是U盘的第一、二分区。
但分区表中第一个分区表项却是可见区的信息，即以可见区为第一分区。
这本身就是错位的。
有人发现某些场合下隐藏区、可见区会被互换，可能与此有关。其实互换有理，换了才是顺的。

那为什么UltraISO要让它错位呢？我想是因为

第一，既然要抹掉本该在第一分区表项的信息，那么本该在第二分区表项的信息还是前移吧，免得前面空着。
况且windows对多硬盘分区的U盘一般也只显示一个分区，可见区放在第二项，没试过能否显示。
所以可见区的分区信息填在第一分区项是自然的。

第二，隐藏区得是真正的第一分区，即必须在U盘前部，否则可能启动不了。因为有的BIOS只能读取磁盘前部的数据。
有的网友向UltraISO作者提议将隐藏区后置，使U盘开头是可见区，后面才是隐藏区。那是不切实际的。

总之，UltraISO必须这么错位一下。


请大家测试一下：
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=270705&extra=page%3D1

[ 本帖最后由 zds1210 于 2012-12-3 10:32 编辑 ]

于山

制作U+v2深度隐藏后,U盘的速度不会变,这一点比UD好!

于山

2012.12.06,用新模版打包一个4PEN+DOS工具.
1,大小653MB;
2,4PE为:WIN7PE(全功能版),WIN8PE(网络版),2003PE(三卡外置),XPE(三卡外置);
3,DOS工具:MAXDOS V92等;
4,支持新旧主板(联想420E上测试通过);
5,可用UltraISO 9.5.3.2901 以USB-ZIP+ v2 深度隐藏方式写入U盘很OK的!
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=207172&extra=page%3D1

新加的WIN8PE桌面图:


[ 本帖最后由 2010yg 于 2012-12-6 11:04 编辑 ]

zds1210

原帖由 hero8000 于 2012-12-5 13:23 发表
哈哈，已经有人做了 UltraISO隐藏区挂载器 ， 试了一下 支持 USB--HDD+ V2深度隐藏。很方便呀

唯一的就是不支持USB--ZIP+ V2深度隐藏

hero8000

哈哈，已经有人做了 UltraISO隐藏区挂载器 ， 试了一下 支持 USB--HDD+ V2深度隐藏。很方便呀

2010sya

占位测试，回头汇报测试结果！

zds1210

搞谈不到，现在只是在设计方案。纸上谈兵，不好意思了。

Plantsoot

又有新的更新，这个支持下，独剑最近也在搞这个，可以参考P大的了。

2011Ginanger

来看看

sdmhtdcQQ

辛苦了

指南针

楼主，能否解释一下set /a pe=*393216 && set /a ps=*393220命令？我测试了发现读取的起始扇区不是32bit的而是64bit的

r7822

谢谢分享

r7822

谢谢分享

2013fengbai

好好学习一下

ziyun

又一个精品。谢谢楼主，太谢谢了，支持

ziyun

又一个精品。谢谢楼主，太谢谢了，支持

于山

2012.12.04,新上传一个4PE+DOS工具的ISO文件.
1,大小824MB;
2,4PE为:WIN7PE(全功能版),WIN7PE64(鱼非子),2003PE(三卡外置),XPE(三卡外置);
3,DOS工具:MAXDOS V92等;
4,支持新旧主板(联想420E上测试通过);
5,可用UltraISO 9.5.3.2901 以USB-ZIP+ v2 深度隐藏方式写入U盘很OK的!



http://bbs.wuyou.net/forum.php?mod=viewthread&tid=207172&extra=page%3D1

于山

原帖由 zds1210 于 2012-12-2 21:49 发表

我估计ubs-zip  V2也查看不到啊。因为就是连bootpart也查看不到。

为保险起见,写U盘之前,先用HP优盘格式化工具，格一下U盘，再写！

于山

原帖由 zds1210 于 2012-12-2 21:49 发表

我估计ubs-zip  V2也查看不到啊。因为就是连bootpart也查看不到。

USB--ZIP+ V2肯定能看到！这么简单的事,写一个U盘,用DG401与DG32分别看一下！
何必估计呢！

zds1210

原帖由 2010yg 于 2012-12-2 07:16 发表

今天在另一个地方重测一下，发现：
原来测的是USB--ZIP+ V2深度隐藏，可以用DG32来查看的！
而USB--HDD+ V2深度隐藏，确实看不到！是我搞混了，乱套了！
对不起！

我估计ubs-zip  V2也查看不到啊。因为就是连bootpart也查看不到。

于山

原帖由 765058729 于 2012-12-1 18:44 发表
我的实机也试了显示不了文件,于山老师的肯定不是深度隐藏，DG怎么可能和可见分区在一起显示

今天在另一个地方重测一下，发现：
原来测的是USB--ZIP+ V2深度隐藏，可以用DG32来查看的！
而USB--HDD+ V2深度隐藏，确实看不到！是我搞混了，乱套了！
对不起！

[ 本帖最后由 2010yg 于 2012-12-2 07:32 编辑 ]

于山

原帖由 765058729 于 2012-12-1 18:44 发表
我的实机也试了显示不了文件,于山老师的肯定不是深度隐藏，DG怎么可能和可见分区在一起显示

必须用DG32版才行!!!!!!!!!!!


[ 本帖最后由 2010yg 于 2012-12-1 19:39 编辑 ]

765058729

我的实机也试了显示不了文件,于山老师的肯定不是深度隐藏，DG怎么可能和可见分区在一起显示

[ 本帖最后由 765058729 于 2012-12-1 19:05 编辑 ]

zds1210

我实机测试，都能不显示啊。怪啊。

765058729

原帖由 2010yg 于 2012-11-30 18:35 发表




刚刚测试,DG32版肯定可以噢!
151868

于山老师，你的是不是深度隐藏，我的就不行显示空闲分区

于山

分柝USB-ZIP+ V2深度隐藏
1,从兼容方面:
发现USB-ZIP+ V2深度隐藏的兼容性顶好!在原来支持HDD+的苹果机等主板都能启动!
想起FbinstTool.exe制作的UD盘,也是格成ZIP的,其兼容性顶好!
2,从隐藏深度:
右击我的电脑---管理---磁盘管理看,USB-HDD+V2深度隐藏与USB-ZIP+V2深度隐藏都属未分配分区;
用DG打开看,都是空闲区,仅仅差别于grub命令不识别USB-HDD+V2深度隐藏分区而巳！
3,从维护方面:
USB--ZIP+ V2深度隐藏可以用DG32进行查看、编辑;
4,从制作方面:
USB-ZIP+ V2深度隐藏的模版很简洁,制作起来也很方便！

当然,从技术角度,USB-HDD+ V2也值得探索破解!

[ 本帖最后由 2010yg 于 2012-12-2 09:50 编辑 ]

于山

原帖由 pseudo 于 2012-11-19 09:44 发表


---------------------------------------------------------------------------------------------
0PE_NBv1.4.4(2012-11-20)已支持任意U+选项，0PE.ISO解开、不解开、半解开随意。

深度隐藏已“破解” ...

P帅这个测试过,肯定是OK! 但OPE.ISO的结构太复杂,熟悉菜单就好费劲!
识别隐藏区能否搞一个执行文件过程(一条命令,或一个调用过程)共享一下!
新版的NTBOOT-2012-02-13.iso能认别启动隐藏区???

[ 本帖最后由 2010yg 于 2012-12-1 09:40 编辑 ]

于山

原帖由 zds1210 于 2012-11-30 18:19 发表

于山大师，我今天实机测试自己制作的统一PE合盘U+V2深度隐藏，好像dg3.5版也不支持U+深度隐藏区的读写。

刚刚测试,DG32版肯定可以噢!


[ 本帖最后由 2010yg 于 2012-11-30 18:43 编辑 ]

于山

原帖由 zds1210 于 2012-11-30 18:19 发表

于山大师，我今天实机测试自己制作的统一PE合盘U+V2深度隐藏，好像dg3.5版也不支持U+深度隐藏区的读写。

大作发上来共享学习一下!
我没试过USB--HDD+V2深度隐藏,马上试一下!

zds1210

原帖由 2010yg 于 2012-11-30 12:38 发表
通过一天的测试,了解不少U+V2隐藏的技术.
用我的"GRUB4合盘模版"制作的2003PE.ISO, 以不同方式写U盘.
分别在联想E420机 和 苹果MacBook Air机上进行测试.
结果如下:
可支持:USB--ZIP+V2深度隐藏 和 高端隐藏 ...

于山大师，我今天实机测试自己制作的统一PE合盘U+V2深度隐藏，好像dg3.5版也不支持U+深度隐藏区的读写。

于山

通过一天的测试,了解不少U+V2隐藏的技术.
用我的"GRUB4合盘模版"制作的2003PE.ISO, 以不同方式写U盘.
分别在联想E420机 和 苹果MacBook Air机上进行测试.
结果如下:
可支持:USB--ZIP+V2深度隐藏 和 高端隐藏;
也支持USB--HDD+ V2高端隐藏;
但不支持USB--HDD+V2的深度隐藏!
而P帅的0PE_NBv1.4.4(2012-11-20)2in1_89MB,全部都支持!







[ 本帖最后由 2010yg 于 2012-11-30 13:21 编辑 ]

zds1210

以USB-HDD+V2深度隐藏方式写入U盘，成功启动。

于山

原帖由 pseudo 于 2012-11-29 22:07 发表
对于您#23楼链接的帖子提供的2003PE.ISO

以USB-FDD+V2深度隐藏方式写入，您试过是没问题的。

但USB-HDD+V2深度隐藏您还没提供成功启动的例子。
貌似zds1210兄弟试的结果是USB-HDD+V2高端隐藏成功，USB-H ...

恭喜你!
用你的0PE.ISO以USB-HDD+V2深度隐藏方式写入U盘,在苹果上引导成功!