还原精灵.冰点还原

还原精灵.冰点还原 还原精灵.冰点还原.影子系统分析 本帖最后由 qinyun 于 2010-5-18 11:10 编辑 还原精灵.冰点还原分析 还原精灵的工作原理: 还原精灵修改了硬盘的引导扇区，硬盘的引导扇区又被称为MBR(主引导记录)，它位于硬盘的0磁头0柱面1扇区。 还原精灵的工作原理涉及到中断概念：中断是指CPU暂停当前运行的程序,转而执行中断提交的程序。 int 13是中断指令，其中int是指令助记符，13(十六进制数)是中断号。当用户对硬盘进行操作时，基本输入输出系统(BIOS)向CPU提出中断请求，CPU转而执行int 13提交的程序。 int 13提交给CPU执行的MBR位于是0扇区。如果在BIOS中设置了硬盘启动的话，系统会首先载入这个扇区的MBR到内存，然后运行这个代码，还原精灵就是用自己的引导代码 来代替标准的引导代码。这个方法与引导型病毒一样。不过，引导型病毒的目的是破坏系 统，而还原精灵的目的是保护系统。 还原精灵的代码接管了引导扇区后，每当我们向硬盘的文件分配表写入数据时，总是被导 入硬盘数据区，没有真正修改硬盘中的文件分配表FAT。例如：我们在做硬盘的写操作。 由于INT 13的服务程序被接管，当还原精灵发现是写硬盘操作，便将原先数据的目的地址 指向它自己定义的一段连续的空磁盘空间，并将先前备份的FAT中相关数据指向这片空间。所以还原精灵需要被保护的磁盘上有较大的空闲空间,它需要利用这段空间。进一步 地，用户不可能格式化真正的硬盘，因为所有对硬盘的操作都要通过还原精灵的处理。 根据以上原理，有人提出了一个破解还原精灵的方法： 从光盘引导系统后，在dos下将原先C盘的数据全部删除，然后往C盘里狂拷垃圾数据，直到C盘满为止，下次从硬盘启动时，因为保护区数据（即扇区中的数据）被替换为垃圾 数据而系统瘫痪？此时还原精灵就失效了。 大家认为这种说法是否可行？？？ 大家是否意识到，还原精灵只是修改13号中断，如果我从光盘引导系统，（假设我在还原 精灵里设置为自动还原C盘）然后把C盘的文件统统删除（注意，不是格式化），按照你 的说法， 1。如果是从硬盘引导，那么将会增加C盘非保护区的空间占用； 2。如果是从光盘或其他介质引导，那么此次删除操作则是将真正在保护区内的文件删除 咯？如果此时我再往C盘里狂复制数据，直到其满为止，那么保护区的数据也将被全部抹 掉 然后说一下还原精灵的蔽端吧 1 密码太容易破解 早在几年前 在网吧盛行还原精灵的时候，那时候的病毒和一些电脑高 手不是太多的时候破解还原精灵就非常的普遍了。不信的话你可以随便到些软件下载站找 一下破解还原精灵的工具和方法随处一抓都是一大把~~哈哈~~这个就不多做介绍 了！ 2 引导区容易出现错误 这是致命的错误啊！ 本人原来装的篮球3。0的系统一进用的还原精灵，后来用时间长了想换系统（本人喜新厌 旧啊，老大不要打我啊），把还原卸载了，把C盘格掉，换了个系统装（不是克隆系 统），装好系统，装好应用软件以后装还原，提示重新启动，重启后出现分区表错误，当 时头一蒙，用PQ查看一下硬盘，完了，分区表数据全部丢失，我的硬盘可是160大G啊，里面有很多本人喜欢的MP3、电影，最主要的是还有公司很多重要的数据啊，当时那个气 啊，一下爆发成MAX，当时因为对数据恢复这方面的知识浅薄，而且还急于恢复系统 就直接Format 分区装系统了，如果当时想恢复一下数据至少有%90以上的数据可以恢复吧。现在不说这个了。 一些使用过还原精灵软件或还原卡的硬盘，我们能够对硬盘进行分区，格式化，但是重新 启动电脑后就恢复原状态;或者是还原精灵密码丢失，我们无法正常卸载还原精灵;甚至是我们对硬盘低格后，虽然能够安装系统，但是无法从硬盘自检，检查激活分区，系统分区 都正常。对于此类故障，其原因就是硬盘主引导区 (MBR)的引导程序代码没有被更新，仍 然是被还原精灵软件所控制，这时我们只要从光盘引导启动系统，使用”FDISK /MBR”命 令就可以解决此类问。 另外使用”FDISK /MBR”命令进行重写主引导扇区时，此法可能会丢失硬盘中的数据，只 能在万不得已时使用，注意不要在多于四个分区的硬盘上． 其实有时候 “fdidsk/mbr”命令也不会起作用 原因：还原精灵确实卸载了还原精灵确实好用，恢复系统的时候很方便，不过它也会把系 统引导区加入自己的引导信息，所以在重装系统的时候不允许随便更改引导区，导致分区 表错误，有些经过一些程序编辑过的还原精灵即使你卸载了是卸不干净的！ 冰点还原工作原理： 冰点的还原是争夺南桥芯片的I0控制权来实现的,当装入正确的驱动后,冰点就可以正确的拿到I0控制器的控制权,就达到了任何关于硬盘的写入都要经过他的控制,这样就可以轻易的达到还原目的,同样,双系统或者GHOST恢复的话,正确装上了冰点的系统才会有还原功能,如果没有装的话,当然就没有啦.所以 GHOST下可以无限制的添加文件,而windows下添加文件就被还原了. 补充一点:冰点是随着windows的启动才启动的, windows启动加载驱动的时候冰点就通过 某种方式触发启动了,由于冰点有I0控制器的控制权,所以,他可以把任何写入硬盘的东西 放到任何地方,不知道大家有没看过temp(windows临时文件夹)下有个DF5.TMP对不?具体的文件名我记不到蛮清楚了,而且,我现在不在我的网吧里,这家网吧把C 盘屏蔽了!@#$%$%所以不能提供具体的名称了,大家可以自己看看 补充，冰点的转储一般是随着windows的临时文件夹的，所以，系统做完以后一定要把 windows临时文件夹转移到一个比较空闲的盘里，不然，就会出现丢失文件的情况的（下 载大文件后丢失文件就是这样引起的），因为，DF 把所有写入的文件都放在那里面，虽然 表面上看你丢在了别处，但是存储位置实际上还是在临时文件夹里，只是windows显示给你的路径给你了误导，它在硬盘上的实际位置应该是在临时文件夹下面。 DOS下面不可能操作冰点啊，就算是使用NTFSDOS修改了它，就可能启动不好了 另外，DF用于NTFS的时候就认为NTFS不被DOS支持，所以，没有提供DOS下的支持，甚至在FAT32的win98 的DOS下都不提供支持，DF的设计是面向windows的 你只有重刻系统一种方法了 最好把系统的文件格式改为NTFS，但是NTFS确实也存在丢失文件的，我曾经遇到过，但 是，NTFS丢失文件绝大部分是与硬件相关的，我遇上问题的那次是键盘的接口接触不好， 更换键盘，文件丢失现象就解决了， windows 2000/XP/2003下有个NTDETECT.COM文件,这个文件是在windows启动的时候负责读取硬件信息的程序,ntldr在每次启动的时候第一个加载的就是它,然后它会给分别读取 每个硬件的信息,决定ntldr需要加载的驱动程序,因为这个程序不是windows下的程序,设计的也很简便,所以,硬件如果有某些小问题,造成没有发现某些必须的硬件,某些驱动便不能加载,然后提示文件丢失(有时候BIOS能通过,能报错哪些硬件损坏,但 windows在启动的时候没有告诉你什么硬件坏了吧?要么启动失败,要么启动成功以后告诉你什么什么坏了),我们有时候遇到这样的事情,机器不能启动了,但,放几天又好了,或者放几天又坏了,就存在某些元件受潮?受热?很多小小小的不能小的问题集中起来就要出大问题的.我的说法很偏激,是一种比较的钻牛角尖的说法的,如果你每台机器都是那样的话那就不存在硬件上的问题了,但在我看来,丢失文件的几率真的很低啊(NTFS).所以,NTFS下丢文件,基本上是硬件引起的,不知道哪位兄弟能给出点意见啊.又或者我分析的不对了. 在补充点NTDETECT.COM 这个文件在启动的时候会往注册表里的一个键下面添加硬件环境 信息，具体我不清楚啦，以此来决定加载什么驱动的，没有检测什么哪个硬件就不会加载 相应的驱动，ntldr在加载系统文件的时候就有可能发生错误，说什么什么文件丢失，其 实，那个文件还是存在的，只是没有按NTDETECT.COM给出的列表加载进去而已。 缺点嘛 现在目前唯一发现的一点就是：操作起来非常麻烦，要想保存一次数据至少要重启 2次 不像还原精灵那样点一下“转储”就OK了 网址: 由弘一网童保存，尚未注册。注册