破解硬盘还原卡与还原精灵

本文通过对硬盘还原卡与还原精灵的工作原理的深入分析,以联想慧盾保护卡 为例,剖析在Windows 98/Me/2000/XP系统下如何融会贯通使用“七剑式”解除硬件 还原卡和软件还原卡对系统的保护。 一、还原卡的工作原理： 众所周知,学校、事业机关等单位计算机中心为了简化系统维护,保护硬盘数据不被 恶意修改,删除,多数喜欢采用保护卡来保护硬盘。保护卡也称还原卡,还原卡分为两 种：一种是软件还原卡,如：还原精灵;另一种是硬盘还原卡,如联想慧盾。其原理基 本相同,不同的只是取得控制权的先后不同。要想破解还原卡,就需要深入了解他的 工作原理。本文重点讨论硬盘还原卡的原理及破解,并用C语言的语法格式来讲解,软 件还原卡的原理及破解与此相似。下面我就谈谈它的工作原理。 硬盘还原卡是一种硬件芯片,利用的是网卡的架构来做的。把它插在主板上与硬盘的 MBR协同工作,启动时进行保护设置的代码都被“烧”在硬盘还原卡的BootRom(启动 ROM芯片)中,它修改了引导区,引导区又被称为MBR。 硬盘的0磁道属于隐藏磁道,该 磁道的63个扇区属于隐藏扇区。无论是操作系统,还是一般的应用软件,都不能访问0 磁道的63个扇区。高级格式化程序FORMAT只能格式化逻辑驱动器,对0磁道也无能为 力。分区程序FDISK在运行时只操作0磁道的第一个扇区,向扇区内写入主引导记录和 主分区表,对其他的62个扇区不进行操作。它位于硬盘的0头0柱1扇区,在扩展INT13 中没有头、柱、扇区这个概念,它只有逻辑扇区,在扩展的INT13中MBR位于是0扇区, 假如BIOS中设置的是硬盘启动的话,系统会首先载入这个扇区到内存,然后运行这个 代码。还原卡就是在ROM中写了一段HOOK INT 3的程序代码,屏蔽了一些功能调用,如 AH=3,AH=5等,在中断向量表中INT13的SEG,OFFSET描述为[13H*4 2],[13H*4],将此中 的程序先保存后,再替换为自己的代码,当你AH=2时,它便会CALL原始INT13地址来完 成操作。 这个原理与引导型病毒一样,都是利用了BIOS程序对0头0道1扇的程序的信任性的漏 洞,但病毒的目的是破坏,而它的目的是保护,就如武器在坏人手里有破坏力一样,这 个代码接管了INT13中断。 安装了硬盘还原卡,在启动机子时BIOS程序首先扫描到硬盘还原卡,并把控制权交给 硬盘还原卡,将原来的0头0道1扇保存在一个其他的扇区,将核心代码写入硬盘0头0道 1扇,将用户设置信息写入别的扇区,等到重新启动机子还原卡夺取控制权,添加或修 改一些BIOS中断程序。然后,原来的0头0道1扇才夺取控制权来引导系统。所以一切 对硬盘0头0道1扇的读写操作都是访问的是备份的0头0道1扇,即原来的0头0道1扇。 另外,用户也不可能格式化真正的硬盘,还是因为被接管的INT13,所有对硬盘的操作 都要通过INT13。