三茗的一键恢复竟然不是改的mbr

distance · 发表于 2008-11-19 21:18:56

难道它直接修改的bios？重建mbr以后它一切照旧，还提示你mbr被修改，是否恢复。晕，能这样直接改bios来引导的吗？

lvyanan · 发表于 2008-11-19 22:15:04

不可能这样做，你更新一下分区引导扇试试，它会不会驻留在那里？

distance · 发表于 2008-11-19 22:34:26

分区引导扇区应该在mbr以后才启动啊，而这个明显在它之前，我把grldr的mbr写进去，等在三茗引导界面出来以后，才开始执行grldr，明显在mbr之前。

tinypixy · 发表于 2008-11-19 23:02:57

装过三茗，也出现过问题。说一下仅供参考。由于忘记密码，没法卸载，考虑重写MBR，我的引导比较复杂，先是这个三茗的，然后又是一个其他的Grub4DOS 的引导的PE。我用DiskGen DOS重建了MBR，重启后Grub4DOS 的没了，三茗的还在，后进入PE以WinPM重写MBR，三茗消失。
由于没有光驱，所以以上操作是在Grub4DOS引导的界面下的DOS和PE下进行的。

netwinxp · 发表于 2008-11-19 23:10:23

那个所谓的写MBR已经被转向了，不再是真的写MBR，把该硬盘做非启动盘，然后再写入MBR即可穿透，或者进入PE(由于不使用INT 13H和没被偷偷加入过滤器，所以可以真正不被转向)重写或编辑MBR也可穿透，同样用I/O口直接传送ATA命令可以穿透。
现在的还原软件，一般使用MBR或BIOS(还原卡)修改INT 13H并在WINDOWS下面用过滤器钩住磁盘驱动，所以在没完全弄懂工作原理的情况下不可妄下结论。

[ 本帖最后由 netwinxp 于 2008-11-19 23:18 编辑 ]

distance · 发表于 2008-11-19 23:17:54

原帖由 tinypixy 于 2008-11-19 23:02 发表
装过三茗，也出现过问题。说一下仅供参考。由于忘记密码，没法卸载，考虑重写MBR，我的引导比较复杂，先是这个三茗的，然后又是一个其他的Grub4DOS 的引导的PE。我用DiskGen DOS重建了MBR，重启后Grub4DOS 的没 ...

这玩意还确实难缠，呵呵。

distance · 发表于 2008-11-19 23:19:49

原帖由 netwinxp 于 2008-11-19 23:10 发表
那个所谓的写MBR已经被转向了，不再是真的写MBR，把该硬盘做非启动盘，然后再写入MBR即可穿透，或者进入PE(由于不使用INT 13H和没被偷偷加入过滤器，所以可以真正不被转向)重写或编辑MBR也可穿透，同样用I/O口直 ...

谢谢指点，明白了，不是每个保护软件都这么猛吧，都能连写mbr也拦截掉？

netwinxp · 发表于 2008-11-19 23:22:08

这就是还原软件所需要的基本功能，如果没有该功能，那只能归为一键还原类。

distance · 发表于 2008-11-19 23:25:54

三茗确实加载了一个名为ntdisk.sys的驱动。安装时候有拦截到，是写到driver目录的。

distance · 发表于 2008-11-19 23:30:18

顺便请教个问题，用这个三茗，硬盘必须改成lba模式，不知道有什么影响吗？这个模式能搜到的资料很少，都很老，这种模式有什么弊端吗?

netwinxp · 发表于 2008-11-19 23:52:36

除了早期硬盘(传送的是真正的CHS地址)，现在的都是LBA模式，也就是说实际上BIOS传给硬盘的地址是用的是LBA地址。

lvyanan · 发表于 2008-11-20 13:16:52

原帖由 distance 于 2008-11-19 23:19 发表

谢谢指点，明白了，不是每个保护软件都这么猛吧，都能连写mbr也拦截掉？

以前的引导型病毒都能做到这一点，追溯源头，巴基斯坦病毒是鼻祖，要做到这一点其实并不难，拦截INT13h中断，监视对硬盘首扇区的读写操作，将读写该扇区的操作重定向到某个特定扇区即可。

distance · 发表于 2008-11-20 14:21:38

原帖由 netwinxp 于 2008-11-19 23:52 发表
除了早期硬盘(传送的是真正的CHS地址)，现在的都是LBA模式，也就是说实际上BIOS传给硬盘的地址是用的是LBA地址。

安装这个三茗的时候，第一次运行，它会先改一个注册表参数，似乎是某个地方改为lba，重启后才能继续安装。安装以后又强调必须把bios里面的模式改为lba，如果现在都是lba，是不是不用到bios里改也能正常使用？回头我试试看。

distance · 发表于 2008-11-20 14:24:21

原帖由 lvyanan 于 2008-11-20 13:16 发表

以前的引导型病毒都能做到这一点，追溯源头，巴基斯坦病毒是鼻祖，要做到这一点其实并不难，拦截INT13h中断，监视对硬盘首扇区的读写操作，将读写该扇区的操作重定向到某个特定扇区即可。

其实想想，如果在系统里随便重写mbr就把它给删了，这种保护也确实太脆弱了，呵呵。

lvyanan · 发表于 2008-11-20 15:20:21

原帖由 distance 于 2008-11-20 14:24 发表

其实想想，如果在系统里随便重写mbr就把它给删了，这种保护也确实太脆弱了，呵呵。

破解也很简单，用非本硬盘上的系统启动主机，更换MBR后，即可解除。

lgfzy · 发表于 2008-11-20 15:39:25

目前应该没有还原软件能随便写入到BIOS中！

distance · 发表于 2008-11-20 19:45:27

用pe重写了mbr以后，重启，进入系统三茗自动启动卸载程序把程序卸载了，原来它自己在启动界面里的卸载也就是恢复mbr，进入系统后加载的驱动没有检测到三茗的mbr就自动启动卸载。

distance · 发表于 2008-11-20 19:48:21

总体来说这个软件很不错，但启动时候滴一声很不爽，还有完全不能定制，只有一个模式。

hongnoh · 发表于 2008-11-24 12:01:28

好啊，可以没有什么东西。。

li670805 · 发表于 2008-12-1 15:16:49

这个软件是不错，可惜只能试用一个月。

c600 · 发表于 2008-12-2 07:32:20

原来流行的保护卡现在用的很少了都会在硬盘写下东西

zxw · 发表于 2008-12-4 14:43:52

三茗一键我一直在用，他的真实原理我一直没搞懂

zxw · 发表于 2008-12-4 14:47:36

很奇怪，重新安装ghostxp时，按F9会继续安装新的ghost系统

[ 本帖最后由 zxw 于 2008-12-5 19:19 编辑 ]

pywc · 发表于 2008-12-4 16:46:12

这个不好用算了吧别用啦

distance · 发表于 2008-12-5 21:46:11

原帖由 zxw 于 2008-12-4 14:47 发表
很奇怪，重新安装ghostxp时，按F9会继续安装新的ghost系统

ghost xp 不改写mbr，自己重写mbr吧，需要用三茗了再重新安装。

gmy · 发表于 2008-12-10 15:47:40

我在一家网吧遇到过一次，试图在DOS下清除或重写MBR，失败，重启后被恢复，估计是首启动是PXE，引导后立即做了恢复MBR的动作所至。

zxw · 发表于 2008-12-11 11:27:38

原帖由 gmy 于 2008-12-10 15:47 发表
我在一家网吧遇到过一次，试图在DOS下清除或重写MBR，失败，重启后被恢复，估计是首启动是PXE，引导后立即做了恢复MBR的动作所至。

ghost重装之前，我清除或重写MBR后，热键丢失，再ghost重装,就不行了

jzyjjp · 发表于 2008-12-18 08:45:06

我觉得重装系统时三茗很好删除呀。
方法是恢复镜像到c盘后（既装了系统，又删除了三茗的有关文件），
进dos运行fdisk/mbr或者spfdisk/mbr，
即可搞定，不信你试试

yjd · 发表于 2008-12-27 12:44:27

山茗还原不是收费的吗？
哪位有破解版下载地址给一个谢谢。

MLD · 发表于 2010-1-4 13:54:32

原帖由 yjd 于 2008-12-27 12:44 发表
山茗还原不是收费的吗？
哪位有破解版下载地址给一个谢谢。

下载地址：

【点这里下载一】

【点这里下载二】

[ 本帖最后由 MLD 于 2010-1-4 13:59 编辑 ]

		自动登录	找回密码
密码			注册