轻松破解还原卡.docx
- 文档编号:8151348
- 上传时间:2023-01-29
- 格式:DOCX
- 页数:16
- 大小:29.45KB
轻松破解还原卡.docx
《轻松破解还原卡.docx》由会员分享,可在线阅读,更多相关《轻松破解还原卡.docx(16页珍藏版)》请在冰豆网上搜索。
轻松破解还原卡
破解三茗还原卡
还原卡及还原精灵的破解还原卡及还原精灵的破解学生:
今天上机我发现了一个重大
问题:
在网吧的计算机上保存不住任何文件!
发现这个情况也是偶然的:
明明在计算机
上安装了很多软件,突然间死机了,重启之后刚才安装的软件一个也找不到了,系统就
象被网管重新安装了一遍那么干净。
我决心找出其中的原因,不然的话,我每次上机都
要为自己安装一些习惯使用的软件如Netants(网络蚂蚁),这也太烦人了吧。
哈哈,
还真叫我发现其中的奥妙,因为计算机操作系统容易受错误操作、非法关机、病毒入
侵、恶意破坏等问题的影响,所以网管在每台计算机上安装了叫做硬盘还原卡(也叫做
数据保护卡)的硬件设备,其界面为如图1-13-1。
硬盘还原卡被制作成可以插入计算
机扩展插槽的外置插卡形状如图1-13-2,下面的这一种是三合一的卡(网卡+保护卡+
数据克隆)如图1-13-3,只要将此卡插入计算机,并指定其保护的磁盘区域,以后即
使用户任意重新分区,格式化、修改配置、删除文件、感染病毒等等,只要重新启动计
算机,一切就象什么也没有发生过,硬盘自动恢复成了系统的初始状态。
正因为还原卡
有如此神奇功效,网吧、学校机房等场所都纷纷安装了此类还原卡,认为从此天下太平
了。
其实可害“哭”了象我们这样的网吧上网族,比如正在运行着程序突然当机了,没
办法,RESET重启吧,原先辛辛苦苦下载的数据一下子就没了。
损失惨重、教训惨痛啊
!
并且在还原卡的保护下,我们想修改计算机的配置信息都改不了。
那还提什么系统入
侵呀,破解还原卡的工作是势在必行了。
不知道大家注意过没有,网吧的计算机因为经
常坏需要维修,所以机箱盖板的螺丝基本是不上的,壳子就松松垮垮的套在机箱上。
因
为还原卡是块插卡,又没有螺丝上着,赤手空拳的就可以对付它了。
我就瞅机会把还原
卡拽下来了。
如图1-13-4瞧这只黑手,在高速的拔卡过程中被看到了,哈哈!
注意:
千万不要在机器通电的时候这么干,要不然主板冒烟可不是闹着玩的。
哈哈,卡子移出
了看你还能有什么本事!
这样做有些品牌的还原卡会在引导的时候提示“移出还原卡”
,回车确定以后还原卡功能就被彻底从系统中清除了。
还有些还原卡被拔下来后,根本
没有什么提示,还原功能就失效了。
这样等我们安装完了软件、修改够了系统再把它插
上,呵呵,还原功能就又回来了,当然了计算机在没装还原卡时你所有的操作都会保留
下来的。
网管:
千万不能为了自己维修方便而不上机箱的螺丝,我的网吧机箱螺丝上
地紧紧的都被有些来上网的家伙拔掉几块CPU、内存和还原卡了。
后来没办法,只好做
个箱子把机箱锁起来。
学生:
最近,网吧机箱不光上了螺丝,而且还贴了封条,加了
锁,装了箱。
我的“物理”破解法只有告一段落了。
其实很多种类的还原卡,跟BIOS设
置存在某种关联,如果在BIOS设置界面的“BIOSFeaturesSetup”中存在“Boot
FromLANFirst”项目,就要求将其设置为“Enable”(将引导顺序设为网络最优先)
,如图1-13-5假设我们将这个选项设置为“Disable”,那么这块还原卡将不再工作。
这是真的,我就在几个网吧不同牌子的还原卡上测试成功过。
如果还原卡的版本比较老
,更是绝对没有问题的。
那么这里禁止还原卡就等同于破解BIOS密码了。
破解BIOS密
码我们可以使用操作系统自带的DEBUG程序来清除密码。
因为BIOS设置程序存在厂商、
版本的不同,所以就有如下表所示的多种破解方法:
方法一方法二方法三方法四方法
五-O7011-O7023-O7010-O7010-O7016-O71FF-O7134-O71FF-O71
00-O7116-Q-Q-Q-Q-Q看一下具体的破解步骤吧:
在DOS下输入“DEBUG”并回车,
DOS提示符显示为“--”表示现在进入了DEBUG状态,然后依次输入“O7010”回车,
“O71FF”回车,最后输入“Q”并再次回车。
如图1-13-6重启计算机以后,BIOS提
示出错,按BIOS的热键(一般是“DEL”按键,注意屏幕上一般有提示)进入BIOS设置界
面的时候并不要求我们输入密码,说明我们已经破解成功了。
上述方法的含义就是向
BIOS中写入代码,迫使BIOS自身校验出错,这样再重启计算机时,会要求进入BIOS重新
配置参数,而此过程是不需要密码的。
网管:
看来删除DEBUG程序是势在必行了。
学
生:
如果DEBUG程序被删除怎么办呢?
我们先想办法进入DOS环境(双击运行“
c:
\”文件就可以进入DOS状态)。
在DOS状态下,没有DEBUG程序不要紧,
还可以自己现场制作个破解BIOS的.com文件,实现对BIOS密码的清除工作。
这听起来是
不是很神奇呢?
在DOS环境下输入:
“COPYCONCMOS.COM”(引号不输入,以下同)
后回车,如图1-13-7系统会自动另起一行,我们继续输入以下内容:
“ALT+176
ALT+17ALT+230pALT+176ALT+20ALT+230qALT+205<空格>”,然后按键盘上的“
F6”键,再按回车键保存。
如图1-13-8【注意:
输入以上数据时候先按键盘的ALT按键
,再按下数字小键盘区的数字按键,这里不能使用主键盘区的数字按键,输完一段数字
松开ALT按键,然后再按下ALT按键输入下一段】最后运行得到的文件如图
1-13-9,重新启动计算机BIOS提示出错,就可以不需要密码进入BIOS设置界面啦。
不
过有些还原卡在BIOS修改以后,会提示“发现CMOS有修改,是否存储CMOS资料?
”这样
的信息,如图1-13-10那么这块还原卡就不能通过这种方式进行破解了。
看了一些还
原卡说明书,也找了一些还原卡资料,我还知道了还原卡一般是有初始化的管理员口令
的,部分还原卡的默认密码如下:
小哨兵:
manager,远志:
12345678,三茗:
12345678。
如果网管没有另外设定密码的话,我们就可以输入这些默认密码来控制还原
卡了。
如图1-13-11其实很多还原卡还有我们所不知道的超级管理员密码或者是管理员
密码清除程序。
这个密码或者程序从生产还原卡的公司宣传材料或者网站上是找不到
的。
你要是对某款还原卡发生了兴趣,不妨冒充还原卡的最终用户向此还原卡代理商索
取破解办法,相信代理商会有可靠的办法让你满意的。
(这又叫做社会工程学入侵)我
在使用U盘(USB闪存盘)如图1-13-12的时候发现了另外一个绕过还原卡保护功能的方
法。
当U盘接在计算机上时,被识别成“移动硬盘”,如图1-13-13还原卡是不保护这
上面的数据的,我们可以任意的修改U盘中的数据。
【小知识:
使用USB接口的活动硬盘
如图1-13-14也可以突破还原卡保护,我们把QQ聊天记录存放在活动硬盘上,以后到哪
家网吧都不会忘记和MM说过的每一句话了;我们把收集的黑客工具拷贝到活动硬盘,网
吧的计算机可能没有软驱、光驱,但主板一般是有USB接口的,这些工具就可以照旧使
用!
】还原卡提供保护功能的是卡上面的那块硬件芯片中保存的小程序,它和硬盘的
主引导记录MBR协同工作,将系统中断Int13H【小知识:
进制:
H代表16进制,以十六
为基数,有十六个符号0,1,2,3,4,5,6,7,8,9,A,B,C,D,E,F表示,逢十
六进一。
Q代表8进制,以八为基数,有八个符号0,1,2,3,4,5,6,7表示,逢八进
一。
B以二为基数,有两个符号0,1表示,逢二进一。
中断:
程序运行过程中出现了某
种紧急事件,必须中指现行程序而去转去执行一个处理该事件的程序,处理完成该事件
后再恢复并继续运行原有的程序,这个过程称作中断。
中断向量表:
中断服务程序的起
始地址称为中断入口,将中断程序的入口地址放在一起就组成中断向量表。
】进行底层
拦截,这样WIN98引导后使用的就是由还原卡修改过的中断了。
想破解还原卡的保护功
能,只要恢复Int13H的BIOS中断向量就可以了,简单过程就是:
找到Int13H的原始BIOS
中断向量值,填入中断向量表【补充知识:
DEBUG命令简单解释:
】命令用途格式汇
编汇编语句A[address]显示显示内存D[address]修改修改内存Eaddress[lise]执
行用任选断点执行G[=address][address…]传送传送内存块内容Mrangeaddress终
止退出DEBUGQ输出发送输出的字节Oportaddressbyte寄存器显示寄存器/标示R
[registername]检索检索字符Sranglist跟踪执行并显示T[=address][value]在
DOS下运行DEBUG程序:
Debug-a100-xorax,ax-int13-int3然后输入T回车,并
不断的重复,直到显示的地址如F000:
xxxx。
记下这个地址,按Q键回车退出。
这里假设
出现的第一个F000:
1234就是要使用的。
实际可能是在第2、3、4个才出现,通常认为就
是第一个,在(0:
13H*4)=0:
4cH处填入这个地址,运行Debug,输入如下命令-e
0:
4c341200f0-q如果在跟踪过程中发现了如下代码:
CMPDL,80(判断是否操作
硬盘),可以修改成不存在的硬盘号如:
CMPDL,FF,然后试试硬盘可写吗?
可写的话
就OK了。
现在有些较新的还原卡经过上述操作,还是不能写盘,出现操作死机的情
况。
一般是因为Int8H、Int1CH、Int15H等中断对Int13H进行了向量保护。
想办法将这
些中断修改为原始中断入口地址就可以了。
如果想获得还原卡管理员密码的话,因为有
些还原卡的密码是存放在硬盘上某个空闲磁盘空间中的,与还原卡无关,我考虑了以下
几个步骤:
1.恢复系统中断向量并读取磁盘的MBR记录信息2.分析MBR,这里建议结合
磁盘在安装还原卡前后各扇区数据变化情况3.找到密码存放扇区并破解其加密算法不
过我感觉这实在是太深奥了,不是我这种笨脑瓜想明白的,就此作罢了。
网管:
要注
意还原卡的安全问题,使用了还原卡固然可以减轻计算机系统维护的工作量,但是使用
还原卡的计算机并不是安全得像进了保险箱,针对还原卡的保护和破解,就像矛与盾之
争一样。
一方面不断有新的破解技术出现,另一方面也不断的有抵御破解手段的新的还
原卡生产出来。
想更好的保护好计算机,那就只有不断的更新手中还原卡的版本,同时
,禁止用户进入DOS模式或者干脆删除DEBUG命令也是一个折中的办法。
学生:
还原精
灵的破解我今天到另外的一家网吧上网,发现他们的硬盘也是受“还原卡”保护的,
重启计算机一切修改都还原了,破解它这还不好办!
我的眼睛就不住地往桌下没扣盖的
主机上打量。
却看见这些计算机并没有安装什么插卡,真让我大吃一惊,莫非是用什么
软保护措施?
还真让我猜中了。
看就是这个叫“还原精灵”的软件在捣鬼。
我想删除
“还原精灵”,在“添加删除程序”中找不到这款软件,在硬盘上也查找不到这款软件
的安装文件。
右击任务栏右下角的图标,却被要求输入操作密码。
看来想办法破解此
软件的密码,是控制这台计算机的关键。
如果仅仅是因为安装了一个新程序,提示要求
重启计算机,那就不要点击“确定”(,选择“以后重启”。
在“开始>关闭系统”选
择“重新启动计算机”注意此时一定要按住键盘shift按键不放,这样计算机将跳过初
始化等操作,直接重新加载系统程序,从而绕过了还原精灵的保护。
【以下为cy07添加
】如果想长期保存自己的文件,就必须卸掉还原精灵或者取得还原精灵的管理员密码,
要卸掉还原精灵其实不难,网上有专门清除还原精灵的程序,可以到它的老家下载,运行以后直接清除,就可以清除还原精灵了,不过需要注
意,由于还原精灵是在硬盘最重要的主引导记录MBR(来自网络!
)
关于破解还原卡(通用)请大家先看看后面的(可以穿透还原卡和还原软件的代码)
方法一:
开机时(也就是在你曾经进入cmos的时刻),同时按住ctrl+home,这样你就进入了还原卡的密码输入窗口,只要输入正确的密码即可获得admin,以后随你怎样设置.关于是密码的问题:
一般还原卡都有默认密码的,默认密码怎么找,很简单,到网上搜索QQ:
9750406关键词"还原卡"就行了,找到你用的那个牌子的还原卡,进入站点,在一个比较偏僻的角落一般可以找到默认密码的.
而一般机房管理员是不会修改其默认密码的,比如俺学校的
台湾远志牌的还原卡的默认密码是12345678,
小哨兵的是manager,机房管理员一个也没改,好爽!
!
!
!
!
!
!
!
!
!
不过我可没破坏任何东东,一旦惹怒了俺,嘿嘿....俺也不会破坏的,
恶意破坏计算机就是对自己的不尊重!
!
!
!
如果管理员把密码改了呢?
那就拿出宝刀---
方法二:
此法实施过程看起来挺麻烦,不过熟悉了*作起来超不过15秒的-
高手sinister曰:
其实所谓硬盘保护卡就是在ROM中写了一段HOOKINT13的程序,屏蔽了
一些功能调用如AH=3,5等,在中断向量表中INT13的SEG,OFFSET
描述为[13h*4+2],[13h*4],将此中的程序先保存后,再替换为自己的代码,
当你AH=2的时,它便会call原始INT13地址来完成*作.
只要找到原始INT13入口便可以为所欲为.
不知看了这段感觉如何?
慢慢消化吧.
主要矛盾:
关键是要找到原始的int13入口.
测试*作系统:
win98
测试对象:
台湾远志还原卡
测试地点:
学校机房
测试目的:
控制还原卡,但不破坏.
注:
本篇文章不对其实施过程中出现的任何不可预料的情况负责!
!
!
!
!
具体过程如下:
开机过程按住F8键,进入纯dos环境,注";"后为注释.
出现提示符c:
键入c:
\debug,
-a100
-xorax,ax
-int13
-int3
;寻找原始的int13入口.
然后输入t回车,不断的重复,直到显示的地址形如F000:
xxxx
后面的指令为:
movdl,80(练练眼力-。
按q退出.
记下这一地址,在(0:
13H*4)=0:
4cH处填入这个地址。
例如俺的得到的地址是F000:
9A95
再次运行debug,键入:
-e0:
4c959A00F0;e的作用将数据表"959A00f0",写入地址0:
4c开始的字节中.
-q
注:
填的时候要仔细,填错的话会死机。
ok,破解完成.
这时在提示符c:
\键入
c:
\win
进入win98系统即可,那么这次你在win98系统中的一切*作,随着下一次
的启动都会被还原卡存储起来。
不过下一次进入系统的的时候,你还是需要重写地址0:
4c,才可以让还原卡存储你的东东。
这时只需要在纯dos下进入debug,键入
-e0:
4c959A00F0
-q即可。
哈哈。
。
。
这样也挺好,只有你才是这台computer的真正的主人-。
别人还是受还原卡的限制的except--you。
下面是找Int13入口的方法,我常用的几种:
1。
手工运行Debug,最好在纯DOS下:
Debug
-a100
-xorax,ax注意:
前面要加上功能号以选择Int13H内部的流程,避免进入其他不经过原始入口的流程
-int13
-int3
然后输入t回车,不断的重复,直到显示的地址形如F000:
xxxx。
记下这一地址,按q回车退出。
这里假设了第一个F000:
xxxx就是要找的入口,实际上可以在第2,3,4,。
。
。
。
出现,要自己判断一下,通常认为就是第一个。
在(0:
13H*4)=0:
4cH处填入这个地址。
例如得到的地址是F000:
1234
运行debug
-e0:
4c341200F0=======>把得到的原始入口填入Int13H的中断向量表
-q
注意:
填的时候要仔细,填错的话会死机。
有些经过针对性处理的机器,要进一步鉴别。
如在Int13内部调用Int1ch.
如果在trace过程中发现如下代码CMPDL,80[意思是判断是否针对硬盘操作],可以尝试修改成不存在的硬盘号,比如改成CMPDL,FF。
其他的都不要修改.
试试硬盘可写吗?
如果可以的话就万事大吉了。
另外,不能在Windows的虚拟DOS窗口中使用这种方法。
如果在Windows的虚拟DOS窗口运行的话,请使用下一种方法。
2。
Debug
-sF000:
0ffff80fa80强行搜索BIOS区,通过比较入口代码找到原始入口点
你可能会发现有好几处。
根据我的多次破解经验,通常这个地址在F000:
8000以后。
试验一下:
如果UF000:
xxxx地址后发现代码类似-uF000:
xxxx
PUSHF
CMPDL,80
JZ....
.
.
.
[有些不是这样,要注意鉴别。
]
的话,填入向量表试试。
通常破解就完成了。
本文通过对硬盘还原卡与还原精灵的工作原理的深入分析,以联想慧盾保护卡
为例,剖析在Windows98/Me/2000/XP系统下如何融会贯通使用“七剑式”解除硬件
还原卡和软件还原卡对系统的保护。
一、还原卡的工作原理:
众所周知,学校、事业机关等单位计算机中心为了简化系统维护,保护硬盘数据不被
恶意修改,删除,多数喜欢采用保护卡来保护硬盘。
保护卡也称还原卡,还原卡分为两
种:
一种是软件还原卡,如:
还原精灵;另一种是硬盘还原卡,如联想慧盾。
其原理基
本相同,不同的只是取得控制权的先后不同。
要想破解还原卡,就需要深入了解他的
工作原理。
本文重点讨论硬盘还原卡的原理及破解,并用C语言的语法格式来讲解,软
件还原卡的原理及破解与此相似。
下面我就谈谈它的工作原理。
硬盘还原卡是一种硬件芯片,利用的是网卡的架构来做的。
把它插在主板上与硬盘的
MBR协同工作,启动时进行保护设置的代码都被“烧”在硬盘还原卡的BootRom(启动
ROM芯片)中,它修改了引导区,引导区又被称为MBR。
硬盘的0磁道属于隐藏磁道,该
磁道的63个扇区属于隐藏扇区。
无论是操作系统,还是一般的应用软件,都不能访问0
磁道的63个扇区。
高级格式化程序FORMAT只能格式化逻辑驱动器,对0磁道也无能为
力。
分区程序FDISK在运行时只操作0磁道的第一个扇区,向扇区内写入主引导记录和
主分区表,对其他的62个扇区不进行操作。
它位于硬盘的0头0柱1扇区,在扩展INT13
中没有头、柱、扇区这个概念,它只有逻辑扇区,在扩展的INT13中MBR位于是0扇区,
假如BIOS中设置的是硬盘启动的话,系统会首先载入这个扇区到内存,然后运行这个
代码。
还原卡就是在ROM中写了一段HOOKINT3的程序代码,屏蔽了一些功能调用,如
AH=3,AH=5等,在中断向量表中INT13的SEG,OFFSET描述为[13H*42],[13H*4],将此中
的程序先保存后,再替换为自己的代码,当你AH=2时,它便会CALL原始INT13地址来完
成操作。
这个原理与引导型病毒一样,都是利用了BIOS程序对0头0道1扇的程序的信任性的漏
洞,但病毒的目的是破坏,而它的目的是保护,就如武器在坏人手里有破坏力一样,这
个代码接管了INT13中断。
安装了硬盘还原卡,在启动机子时BIOS程序首先扫描到硬盘还原卡,并把控制权交给
硬盘还原卡,将原来的0头0道1扇保存在一个其他的扇区,将核心代码写入硬盘0头0道
1扇,将用户设置信息写入别的扇区,等到重新启动机子还原卡夺取控制权,添加或修
改一些BIOS中断程序。
然后,原来的0头0道1扇才夺取控制权来引导系统。
所以一切
对硬盘0头0道1扇的读写操作都是访问的是备份的0头0道1扇,即原来的0头0道1扇。
另外,用户也不可能格式化真正的硬盘,还是因为被接管的INT13,所有对硬盘的操作
都要通过INT13。
二、如何解除还原卡的保护
通过以上原理分析,我们发现保护程序是通过修改中断向量来达到保护硬盘不被真正
写入的,其中int13是要害,它拦截了int13的处理程序,将自己的程序挂到上面,这也
是无法写进数据的原因所在,有的卡同时还修改了时钟中断来达到反跟踪,利用早已
被它修改过的时钟中断定时检查中断向量表,一旦发现修改为别的值。
就会一一还原
。
从表面看还原卡把自己隐藏的很好,但是我们可以通过最底层的I/O端口读写0道,
找到原始INT13入口,一切问题便迎刃而解。
由于Windows98/Me和Windows2000/XP
的启动方式和工作原理不同,下面分别讲述破解方法:
对于Windows98/Me系统,下面是找INT13入口的方法,我姑且称它们为“独孤七剑”
:
剑式一:
手工运行Debug
开机按F8,进入纯DOS环境,出现提示符C:
\\>,键入debug,敲回车键,显示如下。
在命令提示符“-”下,键入如图所示内容:
- a100<Enter>//进入汇编模式
- 0B2A:
100xorax,ax//输入一条汇编指令
- 0B2A:
102int13//调用int13中断
- 0B2A:
104int3//调用int3中断
-0B2A:
105//此处直接回车
-t//此处直接回车
然后输入t回车,不断的重复,直到显示的地址形如F000:
xxxx,后面的指令一般为
movdl,80,记下这一地址,按q回车退出。
这些操作步骤的作用是寻找原始的INT13
入口(即
INT13中断程序开始的地方)。
在(0:
13H*4)=0:
4cH处填入这个地址。
例如得到的地
址是F000:
9854,再次运行debug,输入:
-e0:
4c549800F0//将数据“549800F0”写入地址0:
4c开始的4个字节中,破
解完成
-q
在提示符C:
\\>下键入“win”
C:
\\>cdwindows<Enter>
C:
\\windows>win<Enter>
注重:
破解完成后,不要重新启动,而是直接进入Windows系统,这次在Windows系
统中的一切操作都会被还原卡存储起来。
但下一次再进入系统时,还需要重写地址
0:
4c,才
可以让还原卡存储以上内容。
并且填的时候要仔细,填错的话会死机。
通过T命令得
到的
地址在写入内存0:
4c时,反写获得的地址(如地址是F000:
9854,就应该反写成5498
00F0)。
剑式二:
在采用方法一的基础上,执行T命令时,假如在跟踪过程中发现如下代码CMPDL,80,
将其修改成CMPDL,FF别的都不要修改,也可以破解硬盘还原卡的保护。
另外,不能
在Windows的虚拟DOS窗口中使用这种方法。
假如在Windows的虚拟DOS
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 轻松 破解 还原