[sysshield]系统安全盾

6618 · 发表于 2006-11-21 00:52:12

使用WANG兄上传的grldr在我的SATA硬盘下测试成功，并且能成功删除了我在C盘下放的供测试的EXE文件！

xdg3669 · 发表于 2006-11-21 00:57:08

原帖由不点于 2006-11-6 18:22 发表
GRUB4DOS 不直接访问硬件，都是通过 BIOS 来访问硬件。如果 BIOS 支持 SATA 硬盘，我们的 GRUB4DOS 就也支持 SATA 硬盘。

hd0 代表的是 BIOS 硬盘号码 80h，如果你的机器能够从 SATA 硬盘启动，这就表示你的 BIOS 是支持 SATA 硬盘的。

如果你的 BIOS 支持 SATA 硬盘，而你在使用 GRUB4DOS 时又遇到了障碍，那么你可以写一个详细的 BUG 报告。

另外，LINUX 下的设备名 sda 是 scsi 接口硬盘的意思，它不是 SATA 硬盘的意思。

和 SATA 硬盘的情况完全一样：只要 BIOS 支持 SCSI 硬盘，我们的 GRUB4DOS 就也支持。

在 GRUB 看来，所有的存贮介质（任何种类的硬盘，软盘，USB存贮设备，CDROM 设备，网络磁盘，内存磁盘等等）都是用 BIOS 的一个磁盘号码来表示的。

奇怪，中文版不行，英文版就能启动了？！

wang6071 · 发表于 2006-11-21 00:59:27

原帖由 6618 于 2006-11-21 12:52 AM 发表
使用WANG兄上传的grldr在我的SATA硬盘下测试成功，并且能成功删除了我在C盘下放的供测试的EXE文件！

同喜一下!下面的问题是用哪个镜像更合理,如何再精简一下镜像的大小,再优化一下批处理文件.最后成功后用Gzip压缩一下镜像(记得Grub支持Gzip压缩的img镜像启动),请各位无忧高手献计献策,各展所能打造一个超强的文件删除机.

另外,是目前的加一个删除选单合理(这样不怕出错),还是直接重启到dos,再在dos中恢复原有的boot.ini?(这样做就怕用户有某些软件保护会误删除掉boot.ini造成不能启动)

下面再上传一个Gzip供大家压缩镜像.

[ 本帖最后由 wang6071 于 2006-11-21 01:04 AM 编辑 ]

emca · 发表于 2006-11-21 07:20:39

Grldr 最好改名，这样不会与已经安装的其他引导模块冲突。

emca · 发表于 2006-11-21 07:21:39

如果流氓病毒监视了BAT文件的写入怎么办？流氓就是流氓啊……

wang6071 · 发表于 2006-11-21 07:55:29

原帖由 emca 于 2006-11-21 07:21 AM 发表
如果流氓病毒监视了BAT文件的写入怎么办？流氓就是流氓啊……

怕的是监视boot.ini的更改而非bat的写入,批处理可以是任意文件名(Dos下再改回来执行即可),放置目录可以放到硬盘的任意根目录分区(修改一下镜像中的批处理也可以放到任意目录中).

emca · 发表于 2006-11-21 08:16:17

1、我用前面兄弟们提供的东西，在安装有Vista（F:盘）的Windows XP环境中测试失败，Grub无法找到映像因而无法加载；
2、建议：
①将Grldr改名，比如Drldr，以免与其他引导模块冲突；相应的，在引导文件中，最好也对 Menu.lst 改名，以免有冲突；
②删除文件的批处理最后最好加一句还原系统正常的BOOT.INI的命令；与此相联系，可以将Boot.ini的默认引导选项改成删除顽固文件的引导项（Mydel.exe在Windows环境实现这个修改并不太困难），如果在命令行修改，也可借用深山红叶PE中的“X:\PROGRAMS\WinTools\系统修复\深山红叶PE硬盘安装\INIFILE.COM”这个工具来修改Boot.ini的默认引导项目。
③映像文件中，所有未用到的程序文件均可删除掉（只要是Config.sys和 Autoexec.bat中未引用的那些驱动和外部命令均可删除）以减小映像体积；
④建议将SSDT恢复功能融合到Mydel.exe程序中，这样只要想使用本工具，就强行恢复SSDT，以免流氓程序监视我们所需的文件的读写而导致失败。

zts59 · 发表于 2006-11-21 08:20:23

GZIP试了一下，压缩后可以正常启动。由于我只测试了两个文件，几乎是看不到过程。看来要加入提示和延时了。

关于那个DELTREE.EXE改名的问题，主要考滤使用者的广泛性。

对于刚入门的来说，他可能也不知道DELTREE.EXE是干什么用的

与其这样，不如稍稍改一改。

而且DELTREE的威力太大了点。　

zts59 · 发表于 2006-11-21 08:29:04

呵呵，其它的好像都好做，

就是ＶＩＳＴＡ没有测试环境，不知道它的启动形式。这个应该和ＧＲＬＤＲ有很大关系。

xdg3669 · 发表于 2006-11-21 08:32:07

原帖由 wang6071 于 2006-11-21 07:55 AM 发表

怕的是监视boot.ini的更改而非bat的写入,批处理可以是任意文件名(Dos下再改回来执行即可),放置目录可以放到硬盘的任意根目录分区(修改一下镜像中的批处理也可以放到任意目录中).

我遇到过这个问题，用的是GMY一键GHOST恢复，改了boot.ini成功了,但好像在建立隐藏文件夹建立备份时提示错误，重启后总是用改了的BOOT.ini，进入一键GHOST备份，无法选择进入正常的系统，后来只有恢复了原来的BOOT.ini，才能进入系统。

这个问题请楼主也要注意。

紫狐 · 发表于 2006-11-21 09:14:46

原帖由 6618 于 2006-11-20 11:53 PM 发表

刚才去DOS之家下了GMY的一键GHOST8.3里面有Grldr,不知是什么版本，也是不支持，出错界面一样。希望”紫狐“能传个E文件0.97版的Grldr试试。

GMY的那个就是E文的0.97，我测试过就他那个可以在SATA运行，不过在menu.lst里面不用写入（hd0，0）的，下载的0.0.42倒是不能在我的硬盘运行。

[ 本帖最后由紫狐于 2006-11-21 09:22 AM 编辑 ]

zts59 · 发表于 2006-11-21 12:08:22

EMCA 能不能把ＶＩＳＴＡ　ＢＯＯＴＭＧＲ引导文件打包上来？谢谢

6618 · 发表于 2006-11-21 12:14:01

原帖由紫狐于 2006-11-21 09:14 AM 发表
GMY的那个就是E文的0.97，我测试过就他那个可以在SATA运行，不过在menu.lst里面不用写入（hd0，0）的，下载的0.0.42倒是不能在我的硬盘运行。

奇了，也许是我搞错了，我在我机子试了是不行的，不过现在用了WANG兄上传的已行了，谢谢！

zts59 · 发表于 2006-11-21 15:07:51

ghregedt.exe

是GHOST8.3一起出的，能在DOS下修改注册表的工具，有1.2MB

可以考滤用来，恢文件关联、IE、……等等。

如果应用到对付流氓软件中去的话，更好了

6618 · 发表于 2006-11-21 17:08:03

原帖由 zts59 于 2006-11-21 03:07 PM 发表
ghregedt.exe

是GHOST8.3一起出的，能在DOS下修改注册表的工具，有1.2MB

可以考滤用来，恢文件关联、IE、……等等。

如果应用到对付流氓软件中去的话，更好了

这个工具我早就有了，但没怎么用，曾试过用它在DOS下导入注册表文件夹突破XP控制台的限制，不知楼主你有没有试过用它在DOS下恢复文件关联和恢复IE？成不成功？

[ 本帖最后由 6618 于 2006-11-21 10:55 PM 编辑 ]

zts59 · 发表于 2006-11-21 19:33:20

这个工具导入注册表文件(REG),应该可以做到的

6618 · 发表于 2006-11-21 21:18:39

原帖由 zts59 于 2006-11-21 07:33 PM 发表
这个工具导入注册表文件(REG),应该可以做到的

理论上是这样的，实际上是试试才知道，比如说用它在DOS下导入注册表修复文件关联，首先需要在WINDOWS系统导出正常的相关的文件关联，比如说把EXE 、CMD、BAT等导成一个注册表文件，改成8.3格式的文件名，然后到DOS下用该工具导入去看是否行得通.我曾用它在DOS下导入注册表文件突破XP控制台，后我又用它导入一个修复EXE文件关联的注册表文件，但出错，提示的大意是导入到第三行时参数出错，后我又导入了几个文件，均这样提示，我不知原因出在什么地方，今有朋友提到这个工具，我把困扰我多时的问题帖出来，请知道的朋友能指教指教：

console.rge的内容如下：——这个可以成功导入。（如下图，手机拍的照）
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
"SecurityLevel"=dword:00000001

exefile.reg的内容如下：——这个导入出错
Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\.exe]
@="exefile"
........

今晚我又试着导入一个IE的注册表文件，也是出错，也是导到第三行出错。

[ 本帖最后由 6618 于 2006-11-21 11:03 PM 编辑 ]

wang6071 · 发表于 2006-11-21 23:10:25

原帖由 6618 于 2006-11-21 09:18 PM 发表

理论上是这样的，实际上是试试才知道，比如说用它在DOS下导入注册表修复文件关联，首先需要在WINDOWS系统导出正常的相关的文件关联，比如说把EXE 、CMD、BAT等导成一个注册表文件，改成8.3格式的文件名，然后到 ...

Root是HKEY_LOCAL_MACHINE\SOFTWARE\Classes的映射,你将HKEY_CLASSES_ROOT换成
HKEY_LOCAL_MACHINE\SOFTWARE\Classes试试.

另外,不知道有没有命令行的更新img中的文件的工具,偶的想法是直接将待删除的批处理直接更新到img中,这样也许我们的img,grldr,menu.lst可以使用动态名字.

[ 本帖最后由 wang6071 于 2006-11-21 11:13 PM 编辑 ]

wang6610 · 发表于 2006-11-22 13:55:35

windows下是可以的(借助winimage)。

wang6610 · 发表于 2006-11-22 15:20:27

以下脚本可把%temp%\img\下的所有文件（包括子目录和文件）更新到当前目录autodel.IMG中。

start /wait /min D:\WinImage\WinImage autodel.IMG %temp%\img\. /i /h /y

[ 本帖最后由 wang6610 于 2006-11-22 03:32 PM 编辑 ]

zts59 · 发表于 2006-11-22 16:47:54

原帖由 wang6610 于 2006-11-22 03:20 PM 发表
以下脚本可把%temp%\img\下的所有文件（包括子目录和文件）更新到当前目录autodel.IMG中。

start /wait /min D:\WinImage\WinImage autodel.IMG %temp%\img\. /i /h /y

这个参数蛮好,以前只知道用图形界面.

有什么参数改镜像的引导信息呢?.例如改成NTLOAD或GRUB的?

wang6071 · 发表于 2006-11-22 21:04:46

wimimage的老家有一个dos程序Extract,可以使用

Extract -i autodel.img Dellist.bat 动态加入dellist.bat,可惜的是不能更新已有的dellist.bat,只能是新中入.不过这也不是问题,可以复制一个基本不变的autodel.img后再新增dellist.bat

Menu.lst可以用直接覆盖Grldr中内置菜单的方法,这样可以少掉一个menu.lst文件.(已用程序改写测试成功)

修改镜像的引号区无非也是直接将指定的引号信息填入镜像的引号扇区中，不同的是img与iso的引导扇区号可能不一样．

附件中TGrldr只支持名为Autodel.img的镜像加载，不需要Menu.lst配合．

[ 本帖最后由 wang6071 于 2006-11-22 09:13 PM 编辑 ]

emca · 发表于 2006-11-23 13:56:36

1、本人在安装有Windows XP和Vista双系统的环境下的测试失败屏幕显示图片。
可以看出Grub（最新的上面兄弟修改过的）是不能识别Vista的NTFS文件系统格式的，因此要等待最新的Grub版本，或者哪位兄弟能够对Grub文件进行修改。
2、使用修改的Grub后，Wangsea兄弟也得修改一下Delmyfile.exe程序，让它不会寻找Menu.lst。否则没有Menu.lst会出错。
另，能否直接用Vista的引导管理程序？但它是否适合于未安装过Vista的系统也是个问题（不能识别和引导）。
从本人试验得知，Vista的分区引导记录同时支持Vista的引导管理器，同时也仍然保留对Windows XP的Ntldr的支持，但后者优先级较低。因此如果把Vista的bootmgr改名，则如果有Ntldr，系统仍然能够正常引导。
附bootmgr，供前面想要的兄弟研究。

zts59 · 发表于 2006-11-23 20:34:33

谢谢下了,

如果像EMCA所说,VISTA BOOTMGR支持NTLDR引导的话,那么在GRUB新版没有出来之前,可以用这一方法来引导镜像?

wang6610 · 发表于 2006-11-23 22:53:55

原帖由 emca 于 2006-11-23 01:56 PM 发表
1、本人在安装有Windows XP和Vista双系统的环境下的测试失败屏幕显示图片。
可以看出Grub（最新的上面兄弟修改过的）是不能识别Vista的NTFS文件系统格式的，因此要等待最新的Grub版本，或者哪位兄弟能够对Gr ...

也可这样简单地解决:

WINDOWS下：
         可以拷贝Bootmgr为NTLDR(备用)

         把Bootmgr改为bootmm

         然后把TGrldr改为Bootmgr


启动DOS后：

      再把Bootmgr改为TGrldr

         把bootmm改为Bootmgr

以上可用批处理或程序自动完成。

[ 本帖最后由 wang6610 于 2006-11-23 10:55 PM 编辑 ]

wang6071 · 发表于 2006-11-24 00:57:38

最新版,可以采用动态文件名及普通文件名两种方式.

内置了镜像及引导文件,完善了Grldr内置菜单的动态修改使其支持动态名字．只有一个文件，直接运行后自动装载所需镜像执行．不与已有的Grldr其它引导冲突．

用了zts59兄弟的ifs及deltree,现在还需要一个支持dpmi装载后的reboot,shutdwon不支持装载dpmi后的重启，所以程序删除完成后停在dos界面下，需大家手动重启．

因为要支持动态文件名，所以删除文件的同时也将装载的镜像与grldr删除了，下次运行再动态创建．

boot.ini的修改保留原来的方式以避免出现失误启动不了windows的现象．

各位测试一下，有好图标的顺便传一个上来．

[ 本帖最后由 wang6071 于 2006-11-24 12:58 AM 编辑 ]

wang6610 · 发表于 2006-11-24 01:50:29

原帖由 wang6071 于 2006-11-24 12:57 AM 发表
最新版,可以采用动态文件名及普通文件名两种方式.

内置了镜像及引导文件,完善了Grldr内置菜单的动态修改使其支持动态名字．只有一个文件，直接运行后自动装载所需镜像执行．不与已有的Grldr其它引导冲突．

...

建议：

Grldr内置菜单中 map --mem (hd0,0) /AutoDel.img (fd0)的蓝色字符要去掉，因为有的人的系统盘可能不是第一硬盘第一分区。

红叶上面的不成功可能与多硬盘有关。

[ 本帖最后由 wang6610 于 2006-11-24 01:54 AM 编辑 ]

zts59 · 发表于 2006-11-24 08:59:44

王兄,这几天我试着用易语言写了一个类似你那个MYDELFILE.EXE.昨晚上才知道是浪费时间了.

WINDOWS文件生成是解决了,　

不过发现一个重要的问题!!!!
原因是,在DOS下加载了NTFS驱动(用NTFSPRO,NTFS4DOS,IFS)后,发现NTFS所在分区的卷序列号无法显示!　　而FAT32就有显示!

晕死了.

现在根本问题是DOS无法判断NTFS卷序列号,就是各分区的"XXXX-XXXX"等

你试试,我在虚拟机和真实机都测试都无法取得.

看来还是要在各分区生成删除列表了.

还有,那个重启命令之前要用UNLOAD.BAT,卸载IFS后,才可以重启了.

[ 本帖最后由 zts59 于 2006-11-24 09:06 AM 编辑 ]

zts59 · 发表于 2006-11-24 09:20:20

还有就是%5F6B%是不能在用做变量的,要用%-5F6B%.

好像数字开头的不能用作变量的.所以我用了%-5F6B%

emca · 发表于 2006-11-24 10:12:40

建议：
1、选择文件时，最好允许多选，以便按Ctrl功Shift能够同时选择多个病毒文件。否则一个文件操作一次，比较麻烦。
2、建议程序启动后强行恢复SSDT，以免被病毒监视Boot.ini等的读写。
3、对于本程序本次运行时自己生成的几个文件，不应当允许列入删除列表，以免出错（万一有用户以为根目录下的未知怪名字文件是病毒呢？）

		自动登录	找回密码
密码			注册