穿透還原卡和還原軟件的代碼

1、穿透還原卡和還原軟件的代碼.txt大悲無(wú)淚，大悟無(wú)言，大笑無(wú)聲。我們手里的金錢(qián)是保持自由的一種工具。女人在約會(huì)前，一定先去美容院；男人約會(huì)前，一定先去銀行。穿透還原卡和還原軟件的代碼穿透還原卡和還原軟件的代碼文章轉(zhuǎn)自：陪你醉生夢(mèng)死還原卡和還原軟件被廣泛運(yùn)用于各種公共場(chǎng)合的電腦上，比如學(xué)校機(jī)房和網(wǎng)吧。這些還原卡和還原軟件（以下我簡(jiǎn)稱(chēng)為虛擬還原技術(shù)）能夠記錄下一切對(duì)硬盤(pán)的寫(xiě)操作，不論您對(duì)硬盤(pán)進(jìn)行拷貝還是移動(dòng)刪除甚至是格式化分區(qū)等操作，只要一

2、重新啟動(dòng)，一切都會(huì)恢復(fù)到這個(gè)操作之前的情況，因此有些虛擬還原廠(chǎng)商還會(huì)在廣告詞中加上一句可以防范一切電腦病毒。這種虛擬還原的方法在大部分時(shí)候的確可以對(duì)公共機(jī)房的電腦起到很好的保護(hù)作用，難道真的沒(méi)有一種方法能夠穿透這種保護(hù)機(jī)制么？答案是否定的，下面請(qǐng)聽(tīng)我一一道來(lái)。一、虛擬還原技術(shù)的原理本文所說(shuō)的是一種普遍運(yùn)用于還原卡或還原軟件上的技術(shù)，當(dāng)然，不同品牌不同廠(chǎng)商生產(chǎn)的可能不盡相同，但原理卻是相通的。首先，還原卡和還原軟件會(huì)搶先奪取引導(dǎo)權(quán)，將原來(lái)

3、的0頭0道1扇保存在一個(gè)其他的扇區(qū)，（具體備份到那個(gè)扇區(qū)是不一定的），將自己的代碼寫(xiě)入0頭0道1扇，從而能在操作系統(tǒng)之前得到執(zhí)行權(quán)，這一點(diǎn)類(lèi)似于一個(gè)引導(dǎo)型病毒；然后，我們來(lái)看看虛擬還原技術(shù)在操作系統(tǒng)之前都做了些什么：1將中斷向量表中的INT13H的入口地址保存；2把自己用于代替INT13H的代碼寫(xiě)入內(nèi)存，并記住入口地址，當(dāng)然這種寫(xiě)入內(nèi)存并不是普通的寫(xiě)，而是一種我們稱(chēng)為常駐的方法，有關(guān)常駐程序的實(shí)現(xiàn)方法我們不另外花篇幅來(lái)描述了，3將中斷向

4、量表中INT13H的入口地址改為這段常駐程序的入口地址。補(bǔ)充一點(diǎn)，虛擬還原程序在修改INT13H的入口后往往都會(huì)修改一些其他中斷入口，當(dāng)然也是通過(guò)常駐程序來(lái)實(shí)現(xiàn)的，這些中斷用來(lái)實(shí)現(xiàn)對(duì)中斷向量表中INT13H入口地址監(jiān)控，一旦發(fā)現(xiàn)被修改，就馬上把它改回，這樣做同樣是用來(lái)防止被有心人破解。好了，你已經(jīng)看出來(lái)了，這段用來(lái)替代BIOS提供的INT13H的代碼才是虛擬還原技術(shù)的關(guān)鍵，那么這段代碼到底實(shí)現(xiàn)了些什么了，以下是本人對(duì)此拙淺的理解：1攔截

5、所有INT13H中對(duì)硬盤(pán)0頭0道1扇的操作這些包括讀寫(xiě)操作，把所有的對(duì)0頭0道1扇的操作改為對(duì)虛擬還原程序備份的那個(gè)扇區(qū)的操作，這樣做的目的是保護(hù)虛擬還原代碼不被破壞，并且不能被有心人讀出進(jìn)行破解，即使你用扇區(qū)編輯工具查看主引導(dǎo)區(qū)，實(shí)際上你看到的是這個(gè)備份的主引導(dǎo)區(qū)。2攔截所有INT13H中的寫(xiě)硬盤(pán)操作這里包括對(duì)8G以下的硬盤(pán)的普通通過(guò)磁頭、磁道、扇區(qū)定位的INT13H中的寫(xiě)操作，和擴(kuò)展INT13H中基于扇區(qū)地址方式的對(duì)大硬盤(pán)的寫(xiě)操作，

6、甚至包括擴(kuò)展INT13H中對(duì)一些非IDE接口的硬盤(pán)的寫(xiě)操作。至于攔截后做什么是虛擬還原技術(shù)實(shí)現(xiàn)的關(guān)鍵，在早期的DOS系統(tǒng)當(dāng)中完全可以什么都不做，也就是說(shuō)當(dāng)用戶(hù)寫(xiě)硬盤(pán)時(shí)實(shí)際上是什么都沒(méi)做，但現(xiàn)在的操作系統(tǒng)都要對(duì)硬盤(pán)進(jìn)行一些必要的寫(xiě)操作，比如對(duì)虛擬內(nèi)存的寫(xiě)操作。眾所周知，虛擬內(nèi)存實(shí)際上就是第6位磁盤(pán)驅(qū)動(dòng)器準(zhǔn)備好了第5位寫(xiě)入錯(cuò)誤第4位搜索完成第3位為1時(shí)扇區(qū)緩沖區(qū)沒(méi)有準(zhǔn)備好第2位是否正確讀取磁盤(pán)數(shù)據(jù)第1位磁盤(pán)每轉(zhuǎn)一周將此位設(shè)為1第0位之前的命

7、令因發(fā)生錯(cuò)誤而結(jié)束寫(xiě)該位端口為命令端口用來(lái)發(fā)出指定命令為50h格式化磁道為20h嘗試讀取扇區(qū)為21h無(wú)須驗(yàn)證扇區(qū)是否準(zhǔn)備好而直接讀扇區(qū)為22h嘗試讀取長(zhǎng)扇區(qū)(用于早期的硬盤(pán)每扇可能不是512字節(jié)而是128字節(jié)到1024之間的值)為23h無(wú)須驗(yàn)證扇區(qū)是否準(zhǔn)備好而直接讀長(zhǎng)扇區(qū)為30h嘗試寫(xiě)扇區(qū)為31h無(wú)須驗(yàn)證扇區(qū)是否準(zhǔn)備好而直接寫(xiě)扇區(qū)為32h嘗試寫(xiě)長(zhǎng)扇區(qū)為33h無(wú)須驗(yàn)證扇區(qū)是否準(zhǔn)備好而直接寫(xiě)長(zhǎng)扇區(qū)注:當(dāng)然看完這個(gè)表你會(huì)發(fā)現(xiàn)，這種讀寫(xiě)端口的方

8、法其實(shí)是基于磁頭、柱面、扇區(qū)的硬盤(pán)讀寫(xiě)方法，不過(guò)大于8G的硬盤(pán)的讀寫(xiě)方法也是通過(guò)端口1F0H~1F7H來(lái)實(shí)現(xiàn)的^_^四、一個(gè)通過(guò)對(duì)硬盤(pán)輸入輸出端口操作來(lái)讀寫(xiě)硬盤(pán)的實(shí)例讓我們來(lái)看一個(gè)關(guān)于INT13H讀寫(xiě)硬盤(pán)程序?qū)嵗?。在例子中詳?xì)說(shuō)明了硬盤(pán)的讀寫(xiě)操作所用到的端口，并且把通過(guò)INT13H讀出的主引導(dǎo)區(qū)得到的數(shù)據(jù)和通過(guò)輸入輸出讀主引導(dǎo)區(qū)得到的數(shù)據(jù)進(jìn)行比較，從而證實(shí)這兩種操作功能相同，程序片段如下：movdx1f6h要讀入的磁盤(pán)號(hào)及磁頭號(hào)mova

9、l0a0h磁盤(pán)0磁頭0outdxalmovdx1f2h要讀入的扇區(qū)數(shù)量moval1讀一個(gè)扇區(qū)outdxalmovdx1f3h要讀的扇區(qū)號(hào)moval1扇區(qū)號(hào)為1outdxalmovdx1f4h要讀的柱面的低8位moval0柱面低8位為0outdxalmovdx1f5h柱面高2位moval0柱面高2位為0（通過(guò)1F4H和1F5H端口我們可以確定用來(lái)讀的柱面號(hào)是0）outdxalmovdx1f7h命令端口moval20h嘗試讀取扇區(qū)outdx