请问现在有能集成到bios的还原软件吗？

distance · 发表于 2008-11-11 14:44:11

原帖由 lvyanan 于 2008-11-11 08:46 发表

这里的MAC地址就是网卡的真实MAC地址，许多改MAC的软件，实际上并不是改真实MAC的，改MAC不是上策，最好不要轻易改动，在同一局域网内，相同MAC网卡之间是不能通讯的，正规企业生产的网卡，其MAC地址范围是由 ...

恩，windows里直接就有改mac地址的地方，估计这个肯定不是改的真实mac地址。呵呵

天风 · 发表于 2008-11-11 18:48:33

原帖由 distance 于 2008-11-11 14:41 发表

我记得以前捷波那个还原，只要启动时候按快捷键激活选择安装，就保护起来了，进系统不用任何操作也没法操作，仅仅bios一个模块就完事了。问题是它只能全盘保护。

只能全盘保护并且只能保护98，不能保护NT，如果保护NT需要驱动的。

distance · 发表于 2008-11-11 19:56:30

原帖由天风于 2008-11-11 18:48 发表

只能全盘保护并且只能保护98，不能保护NT，如果保护NT需要驱动的。

这就不解了，操作系统里面有没有安装驱动，bios的保护模块是如何得知的？比如远志这个，到系统里面装了驱动在启动时候才能执行保护。安装驱动改了mbr？那在bios里执行安装也可以改呀。保护模块在系统启动之前先启动了，还有什么权限拿不到的？直接拦截磁盘写操作不就完了，还管它是什么系统？

lvyanan · 发表于 2008-11-11 21:21:47

原帖由 distance 于 2008-11-11 19:56 发表

这就不解了，操作系统里面有没有安装驱动，bios的保护模块是如何得知的？比如远志这个，到系统里面装了驱动在启动时候才能执行保护。安装驱动改了mbr？那在bios里执行安装也可以改呀。保护模块在系统启动之前 ...

没有那么简单，一个系统要正常运行，一点都不能写盘是不行的，保护程序实际上是对受保护的扇区进行了记录，该区域是严格控制不执行写操作的，实际上就是通过控制类似FAT表之类的记录结构来实现，而对于未使用的扇区则是允许写入的，要实现这种形式的操作，牵涉到对磁盘文件结构的识别等高级控制手段问题，不是区区60K的ROM程序可以胜任得了的，必须要有一个嵌入在操作系统里的程序与之相呼应才可以达到目的。保护程序是通过截获INT13h来控制读写盘操作的，因此，它对于直接通过磁盘I/O进行的读写盘操作就无能为力了，机器狗就是这样突破保护卡的保护机制的。

netwinxp · 发表于 2008-11-11 21:59:15

MAC一般存在另外一片ROM里面，所以通常不用担心被误改，集成网卡可以在BIOS里面另外设置。居于BIOS的保护对不使用INT 13H的Windows无效，一般的保护软件还会挂钩windows磁盘驱动程序。

[ 本帖最后由 netwinxp 于 2008-11-11 22:01 编辑 ]

distance · 发表于 2008-11-11 22:59:49

原帖由 lvyanan 于 2008-11-11 21:21 发表

没有那么简单，一个系统要正常运行，一点都不能写盘是不行的，保护程序实际上是对受保护的扇区进行了记录，该区域是严格控制不执行写操作的，实际上就是通过控制类似FAT表之类的记录结构来实现，而对于未使用 ...

这么说，加载了驱动和rom配合就可以预防机器狗了？机器狗这两年才出来，而像这个保护软件都出来多年了。如果只考虑通过截获INT13h来拦截写盘操作，是不是不需要驱动呢？需要加载驱动感觉不爽，机器狗不用考虑，有别的办法预防。

distance · 发表于 2008-11-11 23:04:31

原帖由 netwinxp 于 2008-11-11 21:59 发表
MAC一般存在另外一片ROM里面，所以通常不用担心被误改，集成网卡可以在BIOS里面另外设置。居于BIOS的保护对不使用INT 13H的Windows无效，一般的保护软件还会挂钩windows磁盘驱动程序。

如果需要挂钩windows磁盘驱动程序，就得在系统里装驱动了，但它不是工作在更底层吗？是不是挂钩了驱动效率更高？

天风 · 发表于 2008-11-11 23:50:46

原帖由 distance 于 2008-11-11 23:04 发表

如果需要挂钩windows磁盘驱动程序，就得在系统里装驱动了，但它不是工作在更底层吗？是不是挂钩了驱动效率更高？

只见到JUZT-REBOOT这个可以不用WIN下安装驱动，直接从DOS安装，但是这是个软保，硬保没有得到ROM，如果你购买有卡可以尝试从RAM中抓取ROM。

http://www.juzt-reboot.com/rebootSW.htm

天风 · 发表于 2008-11-11 23:51:48

其实目前软保做得最好的应该是南京安悦的雨过天晴了。

lvyanan · 发表于 2008-11-12 08:58:36

原帖由 distance 于 2008-11-11 22:59 发表

这么说，加载了驱动和rom配合就可以预防机器狗了？机器狗这两年才出来，而像这个保护软件都出来多年了。如果只考虑通过截获INT13h来拦截写盘操作，是不是不需要驱动呢？需要加载驱动感觉不爽，机器狗不用考虑 ...

加载了驱动，也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作，磁盘直接I/O程序在进行读写盘操作时，不需要BIOS提供支持，而是直接进行硬件端口地址的寻址，直接控制和传送数据，要拦截此类磁盘操作是很难做到的。

distance · 发表于 2008-11-12 13:48:27

原帖由天风于 2008-11-11 23:50 发表

只见到JUZT-REBOOT这个可以不用WIN下安装驱动，直接从DOS安装，但是这是个软保，硬保没有得到ROM，如果你购买有卡可以尝试从RAM中抓取ROM。

http://www.juzt-reboot.com/rebootSW.htm

还是第一次听说这个，呵呵，保护卡加载驱动的话，不会去hook SSDT吧？这样很容易和其它安全软件造成冲突。时空论坛里面目前发现方正增霸似乎不错，不需要依赖网卡，但似乎都在找可用的驱动。
可以在dos安装，就说明在windows下安装驱动不是必须的，在windows安装驱动可能是为了实现更多功能或者提高拦截效率。

distance · 发表于 2008-11-12 13:52:21

原帖由 lvyanan 于 2008-11-12 08:58 发表

加载了驱动，也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作，磁盘直接I/O程序在进行读写盘操作时，不需要BIOS提供支持，而是直接进行硬件端口地址的寻址，直接控制和传送数据，要拦截此类磁盘操作 ...

用hips防机器狗倒是很容易，不允许它加载驱动就行了，呵呵。机器狗不管怎么变，它都要加载驱动。

distance · 发表于 2008-11-12 14:19:10

原帖由天风于 2008-11-11 23:51 发表
其实目前软保做得最好的应该是南京安悦的雨过天晴了。

刚搜了一下，发现这个软件开机居然有3个进程，我是一个多余的进程也不想要，呵呵。觉得完美的是在bios里面安装、控制，安装时候修改下mbr，系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突的驱动，这是我能接受的极限了。不然的话就不考虑这种保护方式了。

xuxuezeng · 发表于 2008-11-12 19:16:27

原帖由 distance 于 2008-11-12 14:19 发表

刚搜了一下，发现这个软件开机居然有3个进程，我是一个多余的进程也不想要，呵呵。觉得完美的是在bios里面安装、控制，安装时候修改下mbr，系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突 ...

我用过破解版,不知是什么原因,当雨过天晴用的时间很久后,被保护盘(一般是C盘)容量会变小,到一定时间后,系统就会蓝屏,还原后就正常了,总的感觉这个软件有点占硬盘.(没有设置开机自动备份功能)

netwinxp · 发表于 2008-11-12 19:26:43

原帖由 lvyanan 于 2008-11-12 08:58 发表
加载了驱动，也防不了机器狗之类的磁盘I/O程序对磁盘进行的直接读写操作，磁盘直接I/O程序在进行读写盘操作时，不需要BIOS提供支持，而是直接进行硬件端口地址的寻址，直接控制和传送数据，要拦截此类磁盘操作 ...

NT内核，想要直接I/O则必须通过.SYS文件，逮住.SYS也就断了机器狗的根本。

可以在dos安装，就说明在windows下安装驱动不是必须的，在windows安装驱动可能是为了实现更多功能或者提高拦截效率。

NT内核肯定用磁盘驱动而不是INT 13H来访问硬盘，所有对NT内核有效的保护卡必然要对磁盘驱动做手脚，不管怎么号称不需要驱动，不信的话可以用VSVC来分析已启动的服务，DOS下安装并不代表它不去修改WINDOWS。

[ 本帖最后由 netwinxp 于 2008-11-12 19:37 编辑 ]

distance · 发表于 2008-11-12 20:20:47

原帖由 xuxuezeng 于 2008-11-12 19:16 发表

我用过破解版,不知是什么原因,当雨过天晴用的时间很久后,被保护盘(一般是C盘)容量会变小,到一定时间后,系统就会蓝屏,还原后就正常了,总的感觉这个软件有点占硬盘.(没有设置开机自动备份功能)

保护都还是要占用空间的，蓝屏可能就是空间不够了，捷波那个号称占用空间是2048：1，不知道真假，雨过天晴这个应该占用的比较多。

distance · 发表于 2008-11-12 20:27:18

原帖由 netwinxp 于 2008-11-12 19:26 发表

NT内核，想要直接I/O则必须通过.SYS文件，逮住.SYS也就断了机器狗的根本。

NT内核肯定用磁盘驱动而不是INT 13H来访问硬盘，所有对NT内核有效的保护卡必然要对磁盘驱动做手脚，不管怎么号称不需要驱动，不信 ...

后来的机器狗用tmp文件加载驱动，开始我也不信，后来看到截图，确实是加载的tmp。看来驱动文件不一定要sys后缀。
nt内核的磁盘驱动就不调用那个中断了吗？可能你是对的，安装驱动也没事，别太大别冲突就好，最害怕的是冲突。

天风 · 发表于 2008-11-12 20:52:04

原帖由 distance 于 2008-11-12 14:19 发表

刚搜了一下，发现这个软件开机居然有3个进程，我是一个多余的进程也不想要，呵呵。觉得完美的是在bios里面安装、控制，安装时候修改下mbr，系统里什么也不用安装。实在不行系统里面安装一个很小的不会造成冲突 ...

安装完成后，可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

distance · 发表于 2008-11-12 22:32:20

原帖由天风于 2008-11-12 20:52 发表

安装完成后，可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

这样也行？回头试试。是不是也安装了驱动？我看有破解要替换其中两个文件，现在都删了，岂不是连破解都省了？

distance · 发表于 2008-11-13 00:32:20

雨过天晴似乎破解完美的只有060612，比较老了，不知道在sp3下能否正常使用？另外这东西和dos有什么关系？怎么都在讨论“在DOS下无法注册”等问题？

netwinxp · 发表于 2008-11-13 03:12:10

原帖由天风于 2008-11-12 20:52 发表

安装完成后，可以把WINDOWS目录中的程序全部删除。终止进程后删除之。只需要实模式的就行了。

观察一下NTLDR是否被修改过？除了启动那一小段，NT内核并不使用实模式的INT 13H，你把所有的IDE驱动删除的话，XP一定启动不了。

distance · 发表于 2008-11-13 14:20:31

原帖由 netwinxp 于 2008-11-13 03:12 发表

观察一下NTLDR是否被修改过？除了启动那一小段，NT内核并不使用实模式的INT 13H，你把所有的IDE驱动删除的话，XP一定启动不了。

试着安装了一下，既没有加载驱动，也没有修改NTLDR，加了一个自启动，两个服务，会有3个进程，现在我把自启动和服务都关了，目前没发现异常。windows目录没什么东西，都在程序目录，20多兆，不知道哪些能删除？开始按快捷键激活的界面程序不知道是否也依赖这个目录的内容？
最大的问题是太占空间了，就一个原始还原点c盘就少了200多兆，c盘没做任何修改按理说应该不占任何空间才对，难道它不是靠拦截写磁盘操作工作的？

distance · 发表于 2008-11-13 14:36:09

启动激活的界面管理不全，不能删除还原点，在卸载里面可以看到还原点，以为是删除还原点，结果不管选哪个都是把程序卸载了。误删了暂时不想再装了，最不满意还是太占空间。

distance · 发表于 2008-11-13 14:42:25

在没有加载驱动，也没有修改NTLDR，并且关了所有进程的情况下，修改c盘的内容，能正确还原。如果这个程序是靠拦截磁盘写操作的话，说明不装驱动也能拦截，或者它不是靠这个原理工作的？

lvyanan · 发表于 2008-11-13 14:45:19

我是这样猜测还原卡在windows下的保护机制的，首先截获win系统的磁盘读写模块，对于所有读写磁盘的请求，均进行审查，程序复制一份主目录表，作为临时工作主目录，其上标记出所有已使用的簇并进行监视和保护，凡是进行目录及文件操作的动作，只要是目标落到保护簇区的，允许读操作，写操作则要在空闲簇区另建一个样本文件来实施，以后的读写盘操作均先查询空闲簇区，有目标文件就直接操作，可以任意进行读写，没有目标文件时转而查询保护簇区的主目录表进行操作，操作中始终不改动保护簇区的任何数据。还原时只要把原始的主目录，重建一个新的临时工作主目录即可实现。

distance · 发表于 2008-11-13 15:49:14

原帖由 lvyanan 于 2008-11-13 14:45 发表
我是这样猜测还原卡在windows下的保护机制的，首先截获win系统的磁盘读写模块，对于所有读写磁盘的请求，均进行审查，程序复制一份主目录表，作为临时工作主目录，其上标记出所有已使用的簇并进行监视和保护，凡 ...

单纯这样的话，写操作多了就占用很多空间，有的保护卡或软件声称不占用任何空间，当然这是不可能的，总要占用一些空间，但有的软件确实占用非常少的空间。应该用了什么优化的算法，程序好坏应该跟这个算法关系很大。

netwinxp · 发表于 2008-11-13 16:32:28

在没有加载驱动，也没有修改NTLDR，并且关了所有进程的情况下，修改c盘的内容，能正确还原。

请用VSVC把核心驱动列出来，服务分应用层和核心层两类，是否有添加驱动你把它们列出来就清楚了。其实保护机制有点类似FBWF。

[ 本帖最后由 netwinxp 于 2008-11-13 16:39 编辑 ]

distance · 发表于 2008-11-13 16:43:59

原帖由 netwinxp 于 2008-11-13 16:32 发表
请用VSVC把核心驱动列出来——
服务分应用层和核心层两类，是否有添加驱动你把它们列出来就清楚了。

晕，已经卸载掉了，但我装有comodo监控，有驱动安装加载肯定知道，也可以肯定安装时候没有往system32及其子目录写文件。如果是安装驱动文件，又不是木马，一般应该安装到driver目录。是否重启以后在程序安装目录加载驱动现在就不知道了，这个我没有监控，对c盘已安装的程序给的权限很高。但我觉得这种可能性不大。

[ 本帖最后由 distance 于 2008-11-13 16:46 编辑 ]

distance · 发表于 2008-11-13 16:57:08

这里有一个号称“《网络还原专家》功能的实现完全不依赖于任何其它软件及操作系统。”
http://www.biosrepair.com/pic/pic60.htm

netwinxp · 发表于 2008-11-14 15:20:55

很简单的一个测试办法——直接用PE启动，如果对PE无效，那么那些所谓的免驱全是骗人的。由于可做手脚的WINDOWS的地方实在太多，你没有找到并不代表没有，而居于RAM的PE刚好可以避免被“偷偷”修改，所以它就成了“试金石”。

PS:因为XP对磁盘的访问是居于驱动程序的而且不使用实模式的INT 13H，所以那些号称“免驱”的保护卡从原理上来说是不可能的。
另外不要把类似“一键还原”的软硬件和保护卡等同，那些号称不需要任何支持的“还原卡”很可能就是“一键还原”的网卡BIOS版本。
除非是居于HPA的，否则所有的还原、保护都会由于无法拦截I/O指令而可能会被穿透。

[ 本帖最后由 netwinxp 于 2008-11-14 15:30 编辑 ]

		自动登录	找回密码
密码			注册