无忧启动论坛

标题: 三茗的一键恢复竟然不是改的mbr [打印本页]

作者: distance 时间: 2008-11-19 21:18
标题: 三茗的一键恢复竟然不是改的mbr
难道它直接修改的bios？重建mbr以后它一切照旧，还提示你mbr被修改，是否恢复。晕，能这样直接改bios来引导的吗？

作者: lvyanan 时间: 2008-11-19 22:15
不可能这样做，你更新一下分区引导扇试试，它会不会驻留在那里？

作者: distance 时间: 2008-11-19 22:34
分区引导扇区应该在mbr以后才启动啊，而这个明显在它之前，我把grldr的mbr写进去，等在三茗引导界面出来以后，才开始执行grldr，明显在mbr之前。

作者: tinypixy 时间: 2008-11-19 23:02
装过三茗，也出现过问题。说一下仅供参考。由于忘记密码，没法卸载，考虑重写MBR，我的引导比较复杂，先是这个三茗的，然后又是一个其他的Grub4DOS 的引导的PE。我用DiskGen DOS重建了MBR，重启后Grub4DOS 的没了，三茗的还在，后进入PE以WinPM重写MBR，三茗消失。
由于没有光驱，所以以上操作是在Grub4DOS引导的界面下的DOS和PE下进行的。

作者: netwinxp 时间: 2008-11-19 23:10
那个所谓的写MBR已经被转向了，不再是真的写MBR，把该硬盘做非启动盘，然后再写入MBR即可穿透，或者进入PE(由于不使用INT 13H和没被偷偷加入过滤器，所以可以真正不被转向)重写或编辑MBR也可穿透，同样用I/O口直接传送ATA命令可以穿透。
现在的还原软件，一般使用MBR或BIOS(还原卡)修改INT 13H并在WINDOWS下面用过滤器钩住磁盘驱动，所以在没完全弄懂工作原理的情况下不可妄下结论。

[ 本帖最后由 netwinxp 于 2008-11-19 23:18 编辑 ]

作者: distance 时间: 2008-11-19 23:17

原帖由 tinypixy 于 2008-11-19 23:02 发表
装过三茗，也出现过问题。说一下仅供参考。由于忘记密码，没法卸载，考虑重写MBR，我的引导比较复杂，先是这个三茗的，然后又是一个其他的Grub4DOS 的引导的PE。我用DiskGen DOS重建了MBR，重启后Grub4DOS 的没 ...

这玩意还确实难缠，呵呵。

作者: distance 时间: 2008-11-19 23:19

原帖由 netwinxp 于 2008-11-19 23:10 发表
那个所谓的写MBR已经被转向了，不再是真的写MBR，把该硬盘做非启动盘，然后再写入MBR即可穿透，或者进入PE(由于不使用INT 13H和没被偷偷加入过滤器，所以可以真正不被转向)重写或编辑MBR也可穿透，同样用I/O口直 ...

谢谢指点，明白了，不是每个保护软件都这么猛吧，都能连写mbr也拦截掉？

作者: netwinxp 时间: 2008-11-19 23:22
这就是还原软件所需要的基本功能，如果没有该功能，那只能归为一键还原类。

作者: distance 时间: 2008-11-19 23:25
三茗确实加载了一个名为ntdisk.sys的驱动。安装时候有拦截到，是写到driver目录的。

screenshot.jpg (34.37 KB, 下载次数: 205)

作者: distance 时间: 2008-11-19 23:30
顺便请教个问题，用这个三茗，硬盘必须改成lba模式，不知道有什么影响吗？这个模式能搜到的资料很少，都很老，这种模式有什么弊端吗?

作者: netwinxp 时间: 2008-11-19 23:52
除了早期硬盘(传送的是真正的CHS地址)，现在的都是LBA模式，也就是说实际上BIOS传给硬盘的地址是用的是LBA地址。

作者: lvyanan 时间: 2008-11-20 13:16

原帖由 distance 于 2008-11-19 23:19 发表

谢谢指点，明白了，不是每个保护软件都这么猛吧，都能连写mbr也拦截掉？

以前的引导型病毒都能做到这一点，追溯源头，巴基斯坦病毒是鼻祖，要做到这一点其实并不难，拦截INT13h中断，监视对硬盘首扇区的读写操作，将读写该扇区的操作重定向到某个特定扇区即可。

作者: distance 时间: 2008-11-20 14:21

原帖由 netwinxp 于 2008-11-19 23:52 发表
除了早期硬盘(传送的是真正的CHS地址)，现在的都是LBA模式，也就是说实际上BIOS传给硬盘的地址是用的是LBA地址。

安装这个三茗的时候，第一次运行，它会先改一个注册表参数，似乎是某个地方改为lba，重启后才能继续安装。安装以后又强调必须把bios里面的模式改为lba，如果现在都是lba，是不是不用到bios里改也能正常使用？回头我试试看。

作者: distance 时间: 2008-11-20 14:24

原帖由 lvyanan 于 2008-11-20 13:16 发表

以前的引导型病毒都能做到这一点，追溯源头，巴基斯坦病毒是鼻祖，要做到这一点其实并不难，拦截INT13h中断，监视对硬盘首扇区的读写操作，将读写该扇区的操作重定向到某个特定扇区即可。

其实想想，如果在系统里随便重写mbr就把它给删了，这种保护也确实太脆弱了，呵呵。

作者: lvyanan 时间: 2008-11-20 15:20

原帖由 distance 于 2008-11-20 14:24 发表

其实想想，如果在系统里随便重写mbr就把它给删了，这种保护也确实太脆弱了，呵呵。

破解也很简单，用非本硬盘上的系统启动主机，更换MBR后，即可解除。

作者: lgfzy 时间: 2008-11-20 15:39
目前应该没有还原软件能随便写入到BIOS中！

作者: distance 时间: 2008-11-20 19:45
用pe重写了mbr以后，重启，进入系统三茗自动启动卸载程序把程序卸载了，原来它自己在启动界面里的卸载也就是恢复mbr，进入系统后加载的驱动没有检测到三茗的mbr就自动启动卸载。

作者: distance 时间: 2008-11-20 19:48
总体来说这个软件很不错，但启动时候滴一声很不爽，还有完全不能定制，只有一个模式。

作者: hongnoh 时间: 2008-11-24 12:01
好啊，可以没有什么东西。。

作者: li670805 时间: 2008-12-1 15:16
这个软件是不错，可惜只能试用一个月。

作者: c600 时间: 2008-12-2 07:32
原来流行的保护卡现在用的很少了都会在硬盘写下东西

作者: zxw 时间: 2008-12-4 14:43
三茗一键我一直在用，他的真实原理我一直没搞懂

作者: zxw 时间: 2008-12-4 14:47
很奇怪，重新安装ghostxp时，按F9会继续安装新的ghost系统

[ 本帖最后由 zxw 于 2008-12-5 19:19 编辑 ]

作者: pywc 时间: 2008-12-4 16:46
这个不好用算了吧别用啦

作者: distance 时间: 2008-12-5 21:46

原帖由 zxw 于 2008-12-4 14:47 发表
很奇怪，重新安装ghostxp时，按F9会继续安装新的ghost系统

ghost xp 不改写mbr，自己重写mbr吧，需要用三茗了再重新安装。

作者: gmy 时间: 2008-12-10 15:47
我在一家网吧遇到过一次，试图在DOS下清除或重写MBR，失败，重启后被恢复，估计是首启动是PXE，引导后立即做了恢复MBR的动作所至。

作者: zxw 时间: 2008-12-11 11:27

原帖由 gmy 于 2008-12-10 15:47 发表
我在一家网吧遇到过一次，试图在DOS下清除或重写MBR，失败，重启后被恢复，估计是首启动是PXE，引导后立即做了恢复MBR的动作所至。

ghost重装之前，我清除或重写MBR后，热键丢失，再ghost重装,就不行了

作者: jzyjjp 时间: 2008-12-18 08:45
我觉得重装系统时三茗很好删除呀。
方法是恢复镜像到c盘后（既装了系统，又删除了三茗的有关文件），
进dos运行fdisk/mbr或者spfdisk/mbr，
即可搞定，不信你试试

作者: yjd 时间: 2008-12-27 12:44
山茗还原不是收费的吗？
哪位有破解版下载地址给一个谢谢。

作者: MLD 时间: 2010-1-4 13:54

原帖由 yjd 于 2008-12-27 12:44 发表
山茗还原不是收费的吗？
哪位有破解版下载地址给一个谢谢。

下载地址：

【点这里下载一】

【点这里下载二】

[ 本帖最后由 MLD 于 2010-1-4 13:59 编辑 ]

作者: q67512 时间: 2010-1-4 18:17
多谢楼上提供下载地址。

作者: netwinxp 时间: 2010-1-4 21:02

原帖由 gmy 于 2008-12-10 15:47 发表
我在一家网吧遇到过一次，试图在DOS下清除或重写MBR，失败，重启后被恢复，估计是首启动是PXE，引导后立即做了恢复MBR的动作所至。

MBR会接管INT 13H(INT 42H)，WINDOWS则另有磁盘控制器驱动程序的过滤程序，所以只有用直接I/O或其他启动介质启动才可以真正清理掉。

作者: 天涯海角1216 时间: 2010-1-10 21:35
标题: 回复 #34 zhxy9804 的帖子
网吧的是硬件三茗，是写入BIOS里了

作者: jmzz 时间: 2010-1-15 17:14
还有机器狗问题啊？试试德天信山的，可以先下载他们金钟罩测试测试

作者: 俊峰之巅 时间: 2010-1-15 19:33
多谢楼上提供下载地址。

作者: junyee 时间: 2010-2-16 23:21

原帖由 zhxy9804 于 2010-1-10 22:57 发表

网吧用的硬件三茗要么是pci单独插上，要么就是一个小模块插在网卡上，不是写入bios，可惜，现在面对机器狗是一点办法也没有

我手里还一大摞，老板送的，谁要i我给你邮过去。

有这和好的事？？？

作者: diguolaobing 时间: 2010-4-3 22:23
以前用过破解的，不过不太彻底，还是到一月就完了

作者: netwinxp 时间: 2010-4-7 08:56
标题: 回复 #35 zhxy9804 的帖子
网卡ROM或者独立PCI卡ROM在系统自检的时候会被加载成扩展BIOS，它们改写了INT 13H，INT 13H不能拦截winwdows写硬盘操作(因为windows采用独立的磁盘控制器驱动)，所以还要在其板卡驱动程序加入磁盘控制器驱动的过滤程序来拦截，酱紫做虽然可以DOS、windows双拦截，但是它无法拦截直接I/O操作，除非让windows运行在虚拟机模式才有可能以高特权级拦住IO操作。

作者: 94first 时间: 2010-4-10 13:50
看完了。。

虽然看完了。
但是
云里雾里的。。

欢迎光临无忧启动论坛 (http://wuyou.net./)