还原精灵与还原卡的工作原理
电脑还原原理解析
要想实现硬盘还原,需要做到两个步骤:第一步是分析扇区,还原产品通过分区表和文件分配表,获取当前硬盘哪些扇区是已经使用过的,哪些扇区是暂未使用的。
第二步是拦截读写,还原产品通过还原驱动程序拦截硬盘读写驱动,并改变系统对硬盘的读写,实现对硬盘已经存在的数据的保护。
举个简单的例子。
Windows要将一段内容写入到硬盘的第100扇区,这时还原驱动会将它拦截下来,通过还原算法将这段内容转而写入到了硬盘中空闲的第1000扇区,并将这个扇区映射关系(100→1000)记录下来,这样实际上100扇区原先的内容并未改变。
之后当Windows要读取100扇区时,还原驱动通过查询将1000扇区的内容提交给Windows,Windows则认为它成功的从100扇区得到了想要的数据。
这样对用户甚至Windows来说硬盘随时都在发生着改变,然而实际上硬盘原有的数据都没有改变。
当Windows重新启动后,包括这个100→1000在内的所有记录都被清除了,在用户和Windows看来,硬盘没有发生任何变化,数据被还原了。
目前还原方式不外乎硬件还原和软件还原两种。
那么还原卡和还原软件有什么区别呢?我们一一分析。
现在流行的还原软件大致可分为两种,一种是以冰点为代表的纯驱动还原软件。
这一类的还原软件只有一个驱动程序,在Windows启动过程中加载。
这个驱动程序不仅要实现对硬盘驱动的拦截,它还要在程序加载时完成对硬盘已使用扇区和未使用扇区的分析。
它把还原的两个步骤结合到了一个驱动程序当中。
它还舍弃了从Windows开始启动后,到还原驱动程序启动前这段时间Windows对硬盘的读写(事实上这段时间几乎没有写操作)。
这是实现还原最简单的方法,简单就会存在安全性的问题,我们后面再分析。
第二种是以还原精灵为代表的类还原卡软件。
顾名思义,它们和还原卡很类似,它们的特点是通过修改硬盘的主引导记录(MBR)来启动还原。
启动还原的代码是在安装时写入到硬盘中去的。
巧用“还原精灵”来维护学校机房
巧用“还原精灵”来维护学校机房作者:靳文岚张学俊来源:《新校园·理论版》2008年第01期在很多学校中,大多数机房的学生机都没有光驱和软驱,给机房维护和管理带来诸多不便。
而最让人头痛的还是学生在上机时将硬盘执行格式化、分区、删除等命令,导致整个系统崩溃。
针对这一问题,一般学校的对策都是在学生机里加“还原卡”、“数据保护卡”等硬件,以保护计算机。
有没有更好的办法来解决这一问题呢?下面笔者就给大家介绍南京远志公司推出的一款纯软件版硬盘还原工具——“还原精灵”。
一、“还原精灵”的特点还原精灵是一种纯中文软件,它可以保护计算机的硬盘免受病毒侵害,重新恢复被删除或覆盖的文件,还可避免由于系统死机带来的数据丢失等问题。
而且,该软件安装简单,也不会影响硬盘分区和操作系统,从而能够最大限度地利用硬盘空间,具体特点如下:1.支持五种硬盘数据还原方式:不还原、自动还原、手动还原、定时还原(每隔xx天自动还原)和数据转储。
2.移除方式灵活。
在Windows下移除前会询问是先还原数据还是转储数据。
3.提供还原CMOS功能。
当CMOS更改时,可以选择转储、还原、分析。
4.提供对剩余可用空间、转储数据量的监控。
如果达到一定的比例时,有相应的警告;当保留空间快用完时,会提示是否要进行还原或转储;当转储数据量达到一定比例时,会提示您整理碎片。
5.提供MS-DOS和Windows两种方式进行系统设置,操作方便。
当还原时,会显示是还原到哪一天的具体时刻(时、分)。
6.可保护多个操作系统。
二、“还原精灵”的参数设置说明1.不还原:用户所做的修改均被保持,不恢复被保护分区内容。
2.自动还原:计算机重新启动后,保护区的内容将完全被自动恢复。
3.手动还原:当计算机重新启动后,系统会弹出选择菜单,用户可自由选择还原数据或保持数据选项。
这是默认的还原方式。
4.还原数据:可将保护分区的内容,恢复到安装还原精灵时或上次进行数据转储时的状态。
一键还原精灵的热键原理
一键还原精灵的热键原理
一键还原精灵是一种系统恢复工具,可以在计算机系统出现问题时将系统恢复到之前的状态。
热键是指通过按下特定的组合键来触发某个功能。
具体来说,一键还原精灵的热键原理可能是通过在操作系统的启动过程中,检测用户按下了特定的组合键,然后触发还原精灵的相关功能。
在大多数情况下,一键还原精灵的热键是在计算机的启动阶段被监测和处理的。
通常,计算机的主板或固件会提供一种方式来启用和配置一键还原精灵的热键。
当用户按下指定的组合键时,主板或固件会识别该按键事件,并在启动过程中触发相应的功能。
具体的热键原理可能因不同的计算机品牌和型号而有所差异。
因此,如果您想了解某个具体计算机上一键还原精灵的热键原理,建议查阅计算机的用户手册或联系计算机制造商以获取更详细的信息。
还原卡原理及其安装使用
还原卡概述硬盘还原卡也称硬盘保护卡,它主要的功能就是还原硬盘上的数据。
每一次开机时,硬盘保护卡总是让硬盘的部分或者全部分区能恢复先前的内容。
换句话说,任何对硬盘受保护的分区的修改都无效,这样就起到了保护硬盘数据的内容。
硬盘保护卡的原理简单来讲就是它接管对硬盘进行读写操作的一个INT13中断,保护卡在系统启动的时候首先用它自己的程序接管INT13中断地址。
这样,只要是对硬盘的读写操作都要经过保护卡的保护程序进行保护性的读写。
也就是先将FAT文件分配表、硬盘主引导区、CMOS信息、中断向量表等信息都保存到保护卡内的临时储存单元中。
用来应付我们对硬盘内数据的修改。
每当我们向硬盘写入数据时,其实还是完成了写入到硬盘的操作,可是没有真正修改硬盘中的FAT。
而是写到了备份的FAT表中,这就是为什么系统重启后所有写操作一无所有的原因了。
还原卡的主体是一种硬件芯片,插在主板上与硬盘的MBR(主引导扇区)协同工作。
大部分还原卡的原理都差不多,其加载驱动的方式十分类似DOS下的引导型病毒:接管BIOS的INT13中断,将FAT、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中或是在硬盘的隐藏扇区中,用自带的中断向量表来替换原始的中断向量表;再另外将FAT信息保存到临时储存单元中,用来应付我们对硬盘内数据的修改;最后是在硬盘中找到一部分连续的空磁盘空间,然后将我们修改的数据保存到其中。
硬盘保护卡在学校的机房管理中占有很重要的地位,基本上达到了“一卡无忧”的目标,使用了硬盘保护卡后极大的减少了机房的维护,基本无需担心病毒、误操作等问题。
当然,如果硬盘发生了物理性损坏,硬盘保护卡是无能为力的。
在教育、科研、设计、网吧等单位使用较多。
它可以让电脑硬盘在大多情况下 非物理损坏,恢复到最初的样子。
换句话说,不管是病毒、误改、误删、故意破坏硬盘的内容等,都可以轻易地还原。
软件做的“硬盘还原卡”“硬盘还原卡”是对硬盘中数据进行保护的一种板卡。
ic卡还原卡原理
ic卡还原卡原理IC卡还原卡原理IC卡(Integrated Circuit Card)是一种集成电路卡片,具备存储和处理数据的功能,广泛应用于各个领域。
当IC卡出现故障或需要更换时,可以通过还原卡的操作来恢复IC卡的正常使用。
本文将介绍IC卡还原卡的原理和操作过程。
一、IC卡还原卡的原理IC卡还原卡是一种特殊的卡片,它的内部集成了IC卡的相关芯片及电路。
通过还原卡与IC卡之间的接触,可以将还原卡中的信息传输到IC卡中,实现IC卡的还原操作。
具体来说,IC卡还原卡的原理包括以下几个步骤:1. 插入还原卡:首先将IC卡插入还原卡的卡槽中,确保卡片接触良好。
2. 读取IC卡信息:还原卡通过与IC卡接触,读取IC卡内部的存储信息,包括卡片标识、应用数据等。
3. 复制IC卡信息:还原卡将读取到的IC卡信息复制到自身的存储区域中,保留原有的数据和设置。
4. 写入IC卡信息:还原卡通过与IC卡接触,将自身存储区域的信息写入IC卡,实现还原操作。
5. 验证还原结果:还原完成后,通过与IC卡接触,验证还原结果是否成功。
二、IC卡还原卡的操作步骤使用IC卡还原卡进行还原操作时,一般需要按照以下步骤进行:1. 准备还原卡:确保还原卡内部的存储区域为空,无其他数据。
2. 插入IC卡:将需要还原的IC卡插入还原卡的卡槽中,确保卡片接触良好。
3. 选择还原功能:通过还原卡设备上的按钮或菜单,选择还原功能。
4. 等待还原完成:等待还原卡与IC卡之间的数据传输完成,期间不要移动或拔出卡片。
5. 验证还原结果:还原完成后,通过与IC卡接触,验证还原结果是否成功。
需要注意的是,IC卡还原卡只能还原IC卡内部的存储信息,而无法修复IC卡芯片或其他硬件故障。
如果IC卡存在硬件故障,需要更换IC卡。
三、IC卡还原卡的应用场景IC卡还原卡主要应用于以下场景:1. IC卡故障修复:当IC卡出现故障,无法正常使用时,可以通过还原卡进行修复,恢复IC卡的正常功能。
影子系统
影子系统、还原精灵、冰点还原优缺点比较影子系统工作原理:所谓影子系统,即重启系统一切测试(操作)将不复存在。
意即硬盘还原卡、还原精灵等性质一样。
由原系统进入影子系统,再退出影子系统返回原系统的整个过程,,所做的档案储存,上网记录,软体安装等等都不会被记录。
说其原理,应和还原精灵类似。
说其真正原理,我不和乱说,仅是通过测试猜测了一下,大家应该用过InstallWatch之类的监测软件吧,它是监控每个操作记录。
这类在重启时进行反操作。
PowerShadow Master(影子系统)是款很奇特的小软体,当你安装它并重新启动电脑以后,电脑会类似安装了双系统一样,多出一个启动项,选择其中PowerShadow Master的启动项后,原系统是完全一样的使用,但是你的一切操作,包括安装程式(甚至运行病毒)在下次用原系统启动时,都是无效的,对做程式安装测试非常有用,不会因为安装卸载而产生LJ档!所谓影子系统!-----重启系统一切测试将不复存在!但是系统到底怎么样是不是真的像传说中的那样厉害百毒不侵!现在我们来看一个测试~~1 PowerShadow的工作原理测试报告(转)1.先确保系统无毒,对C盘做个ghost备份2.在单一保护模式下,打开影子保护3.用冰刀(IceSword)等内核工具强行中止影子的所有进程4. 用冰刀等内核工具强制删除几个操作系统锁定的重要组成文件,假如系统安装在C:\WINDOWS\目录下,可以删除c:\文件, c:\ntldr文件,C:\WINDOWS\system32\drivers\目录下的所有文件,C:\WINDOWS\repair\目录下的所有文件(C:\WINDOWS\repair\目录是不可见目录,保存着注册表信息,在冰刀下可以删除)另外再删除几个C盘中的大文件5.核对一下C盘的容量,C盘所有文件占据的容量+C盘空闲空间容量,是否等于C盘硬件分区的总容量,如果小于C盘硬件分区总容量,说明影子系统把被删除的文件隐藏在C盘的其他地方了,破坏失败,不用再往下做了如果,C盘所有文件占据的容量+C盘空闲空间容量=C盘硬件分区总容量,继续往下做6.这一步很关键,关系到破坏最终能否成功用bcwipe等硬盘擦除软件擦除C盘的空闲空间,最好擦3遍以上,看擦除软件是否能成功擦除C盘的空闲空间7.如果成功擦除了C盘的空闲空间,关机重启,看看还能不能正常开机?那些被强制删除的文件还在不在?如果还能正常开机,被删除的文件自动恢复,影子系统确实厉害!为它鼓鼓掌!如果不能正常开机或有文件不能恢复,请用第1步的ghost备份恢复C盘为便于测试,把测试方式修改为不对系统具有破坏性,否则把系统文件破坏了,后面的测试不一定能进行得下去,步骤如下:1.拷贝几个大的影像文件到C盘,把C盘的空闲空间压缩到500M2.安装影子,重启时选择进入单一保护模式3.中止ShadowService.exe和ShadowTip.exe进程4.删除C盘原有的一个影像文件(700M),C盘显示空闲空间约为1200M5.用bcwipe擦除C盘空闲空间,失败!bcwipe显示写硬盘出错,这是从未发生过的事情6.另外拷贝一个光盘镜像文件(400M)到C盘,可以正常导入虚拟光驱运行,C 盘显示空闲空间约800M7.继续拷贝一个新影像文件(300M)到C盘问题出现了,系统频繁弹出如附图的对话框,提示windows 延缓写入失败,这种情况一般只有在硬盘空间不够时才出现,但此时即使算上新影像文件(300M),C盘应有500M左右的空闲空间8.不理会频繁弹出的“延缓写入失败”对话框,后来甚至出现C盘的主文件表$MFT 延缓写入失败,都不管,持续拷贝了将近10分钟,新影像文件(300M)居然拷贝到C盘,“延缓写入失败”对话框消失后,可以用播放器正常播放这个影像文件分析1:如果影子系统把被删除的原来的影像文件(700M)保存在C盘空闲空间的隐藏部分,那么C盘实际可用的空闲空间只有500M,刚才拷贝新影像文件(300M)到C 盘时,频繁弹出对话框似乎证明了这点,但是后来拷贝到C盘的两个文件加起来已经超过500M,为什么还能正常使用?9.调出工具查看内存,发现512M物理内存只有20M可用,几个工具都不能显示失踪的几百M内存被哪个进程使用了10.删除拷贝到C盘的新影像文件(300M),失踪的内存回来了,可用物理内存上涨到300多M分析2:先拷贝到C盘的光盘镜像文件因为没有超过C盘实际可用的空闲空间,保存在硬盘上,此时虽然显示C盘空闲空间有800M,但实际可用的空闲空间只有100M,后拷贝到C盘的新影像文件(300M)超过了C盘实际可用的空闲空间,被保存在内存中,删掉新影像文件(300M)后,“失踪”的内存就回来了11.用工具查看system进程,发现system进程加载了一个c:\windows\system32\driver\SnpShot.sys,这个文件是影子系统的组成文件,只有28K,system进程将此文件加载到内存中12.再拷贝一个超过512M物理内存的新影像文件2(700M)到C盘,此时C盘显示空闲空间有约800M,理论上应该能拷贝,实际上拷贝失败,这一次仍然频繁弹出“延缓写入失败”对话框,但持续近2个小时都无法拷贝完成(能拷贝完成才怪呢,内存只有512M,700M往哪放?),并且系统假死,因为可用内存被耗尽,只能reset重启13.重启时仍然进入单一保护模式,C盘原来的文件都在,后拷贝过去的文件都不在,为影子鼓鼓掌!分析3:影子启动单一保护模式后,C盘原有文件在硬盘上都不能动,即使删除也只是显示为删除,实际上这部分删除后多出来的空间是无法动用的,对后来写入的文件,如果能动用的硬盘空间够用就写在硬盘里,否则就写在内存里,如果内存也不够用则系统假死,重启后恢复原状结论:1.影子的核心进程不是ShadowService.exe和ShadowTip.exe,这两个是摆摆噱头的,影子真正的进程是system,这是系统核心进程,无法中止,即使不开启影子保护模式,system进程仍然加载SnpShot.sys,一旦加载即驻留内存,即使删除SnpShot.sys也没用2.影子需要Windows系统支持,在DOS下影子是可以被干掉的,比如用软盘、光盘、U盘启动DOS,但这几乎不可能在远程操作,不知道有没有DOS上网软件?3.影子启动保护后,如果能让system进程把SnpShot.sys从内存中卸下,则影子会被干掉,这可能是以后病毒的主攻方向4.影子没有改写硬盘MBR,这一点大家可以放心影子系统缺点:1、采用单一影子模式时,不能选择排除某个文件夹在外。
还原精灵工作原理
还原精灵工作原理
精灵是一种具备人工智能能力的机器人,它的工作原理可以概括为以下几个步骤:
1. 语音识别:当用户与精灵进行对话时,精灵会通过麦克风接收到语音信号。
接下来,语音信号会被转换成数字信号,并进行音频分析。
2. 语义理解:在这一步骤中,精灵会对用户的语句进行语义分析,以理解用户的意图和提取关键信息。
这可能涉及到自然语言处理、机器学习和深度学习等技术,以便对用户的语句进行正确的解读。
3. 对话管理:在这一阶段,精灵会根据用户的意图和系统的设定,确定如何响应用户的查询或请求。
精灵会从其存储的知识库中获取相应的信息,并通过语音或屏幕等方式提供回答或执行相应的任务。
4. 合成语音:精灵在生成回答时,可以选择将答案转换成合成语音,以便与用户进行语音交流。
这一过程通常会利用到语音合成技术,将文字转换为自然流畅的语音输出。
5. 输出反馈:精灵会通过语音方式将回答传达给用户,或者通过其他交互方式,如屏幕显示。
用户可以通过听或观察来获取精灵的回答,并与其进一步交互。
以上是一个简要的精灵工作原理的描述,综合运用了语音识别、
自然语言处理、语音合成等多种技术。
通过这些技术的结合,精灵能够理解用户的指令或查询,并给予相应的回应或执行相应的任务。
网吧电脑还原卡的原理(转载)
网吧电脑还原卡的原理(转载)今天给邻居修理电脑,此电脑室邻居买的二手电脑,打开机器看到里面有一块小哨兵还原卡。
我猜应该是网吧的电脑。
以前从来没有遇到过这种带还原卡的电脑。
于是百度了一下,看到这篇文章,感觉写的不错,于是转载过来。
还原卡的原理是在操作系统启动之前获得机器的控制权。
用户对硬盘的操作,实际上不是对原来数据的修改,而是对还原卡虚拟的空间进行操作,从而达到对系统数据保护的功能。
单纯功能的硬盘还原卡占用的系统资源多,要求硬盘有很大的剩余空间才行,已经逐渐被淘汰。
现在出现了网络还原卡,采用网卡实现还原卡,将网络和还原技术结合,实现远程的开机关机、重起、还原、对拷、监视、控制等功能。
其对拷功能支持一台和数百台机器的数据对拷,每秒可以达到数MB,比传统的维护方法省时省力,可以为大规模机群的管理提供支持。
使用还原卡,可以将计算机的系统分区或其他需要保护的分区保护起来,可以将还原卡设定为下次启动或过一定的时间后对系统进行自动还原,这样,在此期间内对系统所作的修改将不复存在,免去了系统每使用一段时间后就由于种种原因造成系统紊乱、经常出现蓝屏而不得不再次重装系统之苦。
这对于熟练用户来说也有一定的意义,对那些新手就更不用说了。
当然,还原卡一般也提供了安装模式以安装新的需要正常使用的软件。
其实,就笔者的使用经验来看,使用还原卡甚至比使用GHOST软件来恢复系统还要方便。
即使您需要经常安装/卸载一些软件,也可以很方便地用还原卡来恢复系统。
您可以将还原卡设定为每一星期还原一次,如果需要还原时,将系统时间改一下,那么下次启动时系统就会自动还原了。
还原卡好是好,但它还有一个致命的弱点,就是要想使还原卡发挥作用,必须在BIOS中将第一启动项(First Boot Device)设为“LAN” 启动。
而BIOS设置可以很容易地用Debug加以清除(只需在Debug下输入“o 70 71”和“o 71 70” 两行代码即可)。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
还原精灵与还原卡的工作原理分析:还原精灵的工作原理:它修改了引导区,引导区又被称为MBR,它位于硬盘的0头0柱1扇区,在扩展int 13中没有头、柱、扇区这个概念,它只有逻辑扇区,在扩展的int 13中MBR位于是0扇区,如果BIOS中设置的是硬盘启动的话,系统会首先载入这个扇区到内存,然后运行这个代码,还原精灵就是用的是自己的引导代码,这个方法与引导型病毒一样,病毒的目的是破坏,而它的目的是保护,就如武器在坏人手里有破坏力一样,这个代码接管了INT13中断,每当我们向硬盘写入数据时,其实还是写入到硬盘中,可是没有真正修改硬盘中的FAT。
由于INT13被接管,当还原精灵发现是写操作,如果没有激活管理身份,便将原先数据目的地址重新指向它自己定义的一段连续的空磁盘空间,并将先前背份的第二份FAT中的被修改的相关数据指向这片空间。
当我们读取数据时,和写操作相反。
所以还原精灵需要被保护的磁盘上有较大的空闲空间,它就需要利用这段空间!另外,用户不可能格式化真正的硬盘,还是因为被接管的INT13,所有对硬盘的操作都要通过INT13。
还原卡的原理也和还原精灵软件的方法类似,不做详细解释如何解除还原精灵与还原卡的保护呢?通过分析原理,我们发现保护程序是通过修改中断向量来达到保护硬盘不被真正写入的,其中int13是关键,它拦截了int13的处理程序,将自己的程序挂到上面,这也是无法写进数据的原因所在,有的卡同时还修改了时钟中断来达到反跟踪,它会利用早以被它修改过的时钟中断定时检查中断向量表,它一旦发现修改为别的值.就会一一还原。
所以我们从编程的角度来看,就有了下面这样一些解决方法(用qbasic在理论上都能使用下面的破解方法!)1、既然它拦截了int13的处理程序,将自己的程序挂到上面,那么我们只要把bios的int13的程序地址,在dos下填入中断向量表不就大功告成了,不过对于有的卡不方便用,而且需要你对汇编有一定的基础。
最重要的是这个方法用编程的方法来破解很有难度。
2、破解密码,这个方法比上一个我认为要简单,还原精灵把自己的密码放在0头0柱8扇区的位置,如何知道是这个位置呢?对于硬盘的0头0柱的63个扇区只有1扇区被使用,我们可以写个代码来分析这些扇区是否被改动,在安装还原精灵前,先保存这63个扇区,然后安装,再读取这些扇区与保存的比较,就可以找到存放真正MBR的扇区与存放密码的扇区,然后我们改动一下密码,再比较存放密码的扇区有什么不同,这样通过分析来找出密钥,很多还原卡也是把密码保存在前63个扇区里,不过扇区的位置和密钥不一定都一样,这个是肯定的!(凡是密码进行判断肯定有一段代码会把真假密码进行比较,可以使用一些调试工具来破解,如果加密技术不强也可以用什么能查看内存的软件来搜索,这种方法不大适合编程,只适合手动破解!)相关编程资料:中断INT13 读硬盘扇区功能用法 INT 13H,AH=02H读扇区说明:调用此功能将从磁盘上把一个或更多的扇区内容读进存贮器。
因为这是一个低级功能,在一个操作中读取的全部扇区必须在同一条磁道上(磁头号和磁道号相同)。
BIOS不能自动地从一条磁道末尾切换到另一条磁道开始,因此用户必须把跨多条磁道的读操作分为若干条单磁道读操作。
入口参数:AH=02H指明调用读扇区功能。
AL置要读的扇区数目,不允许使用读磁道末端以外的数值,也不允许使该寄存器为0。
DL需要进行读操作的驱动器号。
DH所读磁盘的磁头号。
CH磁道号的低8位数。
CL低5位放入所读起始扇区号,位7-6表示磁道号的高2位。
ES:BX读出数据的缓冲区地址。
返回参数:如果CF=1,AX中存放出错状态。
读出后的数据在ES:BX区域依次排列。
经过分析,还原精灵把主引导扇区的内容保存在0头0柱9扇区,把本身的密码保存在0头0柱8扇区偏移4FH的位置,用A5H作为密钥经过XOR运算加密!要破解还原精灵你可以读密码或者把第9扇区的内容恢复倒MBR,注: 还原精灵密码的算法和保存位置都不是我研究的,我只是根据资料写了个QB版本的. 我听说有人愿出5000RMB买这个程序!就是这么几行代码!哈哈,我免费公开!网络的精神就是自由与共享!'---------------获得还原精灵密码的原程序-----------------------------'程序语言:QBasic4.5,WIN98系统的MSDOS方式下运行通过,还原精灵5。
0版本!'启动QB请加参数 QB/L,程序不能在WINXP,win2000,winNt下运行'程序功能:获得还原精灵密码的程序作者:湖北-枝江qb45'$INCLUDE: 'qb.bi'DIM reg%(9)dta$ = SPACE$(512)'读硬盘0头0道8扇区的数据reg%(0) = &H201reg%(1) = SADD(dta$)reg%(2) = 8reg%(3) = &H80reg%(9) = VARSEG(dta$)CALL INT86XOLD(&H13, reg%(), reg%())PRINT "Pass Word = ";'进行解密输出FOR i = 1 TO 8pass$= CHR$(ASC(MID$(dta$, &H4F + i, 1)) XOR &HA5)if pass$=chr$(0) then exit forPRINT pass$;NEXT i3、INT13实际上是通过BIOS程序提供的标准服务,而BIOS的这个服务是建立在IO读写的基础上的,所以我们也可以直接用IO来读写硬盘,这样就绕过了INT13中断,无论是保护卡还是还原精灵,都形同虚设了,这个方法的难度在于在win系统下要读写IO必须得有ring0级权限!这个问题解决了那么破解就是最轻松的了,qbasic是DOS编程软件,它在DOS下可以读写端口IO,所以用qbasic可以在DOS下很轻松的解决问题,相关资料:对硬盘进行操作的常用端口是1f0h到1f7h号端口(一般情况下硬盘用这个端口,如果硬盘接在别的IDE口就不是这个端口号了),各端口含义如下:端口号读还是写具体含义1F0H 读/写用来传送读/写的数据(其内容是正在传输的一个字节的数据)1F1H 读用来读取错误码1F2H 读/写用来放入要读写的扇区数量1F3H 读/写用来放入要读写的扇区号码1F4H 读/写用来存放读写柱面的低8位字节1F5H 读/写用来存放读写柱面的高2位字节(其高6位恒为0)1F6H 读/写用来存放要读/写的磁盘号及磁头号第7位恒为1第6位恒为0第5位恒为1第4位为0代表第一块硬盘、为1代表第二块硬盘第3~0位用来存放要读/写的磁头号1f7H 读用来存放读操作后的状态第7位控制器忙碌第6位磁盘驱动器准备好了第5位写入错误第4位搜索完成第3位为1时扇区缓冲区没有准备好第2位是否正确读取磁盘数据第1位磁盘每转一周将此位设为1,第0位之前的命令因发生错误而结束写该位端口为命令端口,用来发出指定命令为50h 格式化磁道为20h 尝试读取扇区为21h 无须验证扇区是否准备好而直接读扇区为22h 尝试读取长扇区(用于早期的硬盘,每扇可能不是512字节,而是128字节到1024之间的值)为23h 无须验证扇区是否准备好而直接读长扇区为30h 尝试写扇区为31h 无须验证扇区是否准备好而直接写扇区为32h 尝试写长扇区为33h 无须验证扇区是否准备好而直接写长扇区我给大家一个用端口写硬盘的QBASIC例子,就算你在CMOS设置中关闭硬盘了,本程序照样能写硬盘主引导区,在这个程序运行后可以将MBR(主引导区)清零,对一个不懂的人是很危险的,在使用这个代码前请大家三思而行,如果造成数据损失,本人概不负责!这段程序可以解决无法分区的怪硬盘,还可以解决因为“还原精灵”死锁的硬盘,而且同样还能修复各种硬盘逻辑锁死锁的硬盘。
但是请注意,如果使用这个代码,你的硬盘中的C盘D 盘...什么的都没有了,你必须重新分区或者是使用分区恢复工具!'------------------用qbasic写硬盘的例子-------------'功能:将硬盘的MBR清0 程序语言:Qbasic 作者:qb45'申请一个硬盘操作OUT &H1F6, &HE0OUT &H1F2, 1OUT &H1F3, 0OUT &H1F4, 0OUT &H1F5, 0OUT &H1F7, &H30'等待硬盘空闲DO WHILE flag% <> &H58flag%= INP(&H1F7)IF INKEY$=CHR$(27) THEN ENDLOOPw%=0 '要写的直为0'执行写操作for i=1 to 256out &h1F0,w%next i'显示写成功的信息PRINT "ok!MBR =0"对于用端口来写硬盘这个才是解决问题的最好方法,但是这里也有很大的一个难度,你随便写一个扇区很容易,但是你如果是要把一个文件复制到硬盘考虑的事情就很多了,起码你得要熟悉FAT的原理和格式,找到空闲的扇区写入文件内容,然后在FAT中登记簇号.....总之很麻烦,但是如果你把这个东西弄得很清楚的话,做个数据恢复软件也是很轻松的!还原精灵如果推出了新版本,你又无法分析密钥的话,只要你先安装一个,然后记下密码,找到密码扇区保存,然后把这个扇区用来写入有保护的硬盘,密码就被改掉了,这个方法就简单多了!4,绕过还原,对于还原精灵,BIOS设置中如果不是硬盘优先启动,它是不起一点作用的!所以在BIOS中设置成软盘等启动系统,然后运行FDISK/MBR就可以达到效果!当然软盘里必须有FDISK这个分区程序.对于一部分还原卡,它的本质上更应该是网卡,不过它有BOOTROM启动芯片,所以启动的时候不是先启动硬盘,它里面的程序来起着与还原精灵一样的作用,它的密码保存得有个地方,所以一般来说它也在硬盘里有个密码扇区!不过它也可以把密码放在别的什么地方! 网卡类型的还原卡(很少见),那么只要进入BIOS设置里把boot from network这项关掉,就应该可以取消还原卡的作用,有的卡用的是FLASH ROM,这个是可以被电檫写的,我们可以下一个网卡ROM搽写程序或者是自己编写一个这样的程序(这个我不会编写,无法提供程序),就象升级BIOS一样来破坏掉还原卡,可以只写一部分,也可以写些垃圾数据,如果知道校验地址,也可以直接清除,效果更好!。