2024年3月20日发(作者:)

第6卷第2期 

贵阳学院学报(自然科学版l (季刊) 

Vo1.6 No.2 

JOURNAL OF GUIYANG COL】LEGE 

2011年6月 Natural Sciences(Quarterly) 

浅议如何破解还原卡的保护机制 

柴兴文,廖薇 

(贵阳学院经济管理系,贵州 贵阳550005) 

摘要:通过对硬盘还原卡与还原精灵的工作原理的深入分析,以联想慧盾保护卡为例,剖析在Win— 

dows2000/XP系统下如何融会贯通使用“七剑式”解除硬件还原卡和软件还原卡对系统的保护。 

关键词:还原卡;破解;保护机制 

中图分类号:TP303 文献标识码:A 文章编号:1673—6125(2011)02-0059-03 

Discussion on How to Crack the Protection Mechanism to Recovery Card 

CHAI Xing—wen.UAO Wei 

(Dept.of Economies and Management,Guiyang University,Guiyang550005,China) 

Abstract:By analyzing the working principles of restore card and recovery genius,this article takes Lenovo l ̄rotection 

card“Hui Dun”as all example to analyze how to adapt in the Windows20OO/XP system“seven sword types”to crack 

the operating system protection to the hardware restore cards and the software restore cards. 

Key words:recovery card;crack,protection mechanism 

于隐藏磁道,该磁道的63个扇区属于隐藏扇区。 

1还原卡的工作原理 

无论是操作系统,还是一般的应用软件,都不能访 

问0磁道的63个扇区。高级格式化程序FORMAT 

众所周知,学校、事业机关等单位计算机中心 只能格式化逻辑驱动器,对0磁道也无能为力。分 

为了简化系统维护,保护硬盘数据不被恶意修改, 

区程序FDISK在运行时只操作0磁道的第一个扇 

删除,多数喜欢采用保护卡来保护硬盘。保护卡也 

区,向扇区内写入主引导记录和主分区表,对其他 

称还原卡,还原卡分为两种:一种是软件还原卡, 

的62个扇区不进行操作。它位于硬盘的0头0柱 

如:还原精灵;另一种是硬盘还原卡,如联想慧盾。 

1扇区,在扩展INT13中没有头、柱、扇区这个概 

其原理基本相同,不同的只是取得控制权的先后不 念,它只有逻辑扇区,在扩展的INT13中MBR位于 

同。要想破解还原卡,就需要深入了解它的工作原 是0扇区,如果BIOS中设置的是硬盘启动的话,系 

理。 

统会首先载人这个扇区到内存,然后运行这个代 

硬盘还原卡是一种硬件芯片,利用的是网卡的 码。还原卡就是在ROM中写了一段HOOK INT 3 

架构来做的。把它插在主板上与硬盘的MBR协同 

的程序代码,屏蔽了一些功能调用,如AH=3, 

工作,启动时进行保护设置的代码都被“烧”在硬 

AH=5等,在中断向量表中INT13的SEG,OFFSET 

盘还原卡的BootRom(启动ROM芯片)中,它修改 描述为[13H 4+2],[13H 4],将此中的程序先 

了引导区,引导区又被称为MBR。硬盘的0磁道属 

保存后,再替换为自己的代码,当你AH=2时,它 

收稿日期:2011—02—24 

作者简介:柴兴文(1976一),男,贵州贵阳人,贵阳学院经管系讲师,主要从事电子商务、经济管理、证券投资方向的教学与研究。 

59— 

便会CALL原始INT13地址来完成操作。 

这个原理与引导型病毒一样,都是利用了BI. 

OS程序对0头0道1扇的程序的信任性的漏洞, 

但病毒的目的是破坏,而它的目的是保护,就如武 

器在坏人手里有破坏力一样,这个代码接管了 

INT13中断。 

安装了硬盘还原卡,在启动机子时BIOS程序 

首先扫描到硬盘还原卡,并把控制权交给硬盘还原 

卡,将原来的0头0道1扇保存在一个其他的扇 

区,将核心代码写入硬盘0头0道1扇,将用户设 

置信息写入别的扇区,等到重新启动机子还原卡夺 

取控制权,添加或修改一些BIOS中断程序。然 

后,原来的0头0道1扇才夺取控制权来引导系 

统。所以一切对硬盘0头0道1扇的读写操作都 

是访问的是备份的0头0道1扇,即原来的0头0 

道1扇。另外,用户也不可能格式化真正的硬盘, 

还是因为被接管的INT13,所有对硬盘的操作都要 

通过INT13。 

2如何解除还原卡的保护 

通过以上原理分析,我们发现保护程序是通过 

修改中断向量来达到保护硬盘不被真正写入的,其 

中INT13是关键,它拦截了INT13的处理程序,将 

自己的程序挂到上面,这也是无法写进数据的原因 

所在,有的卡同时还修改了时钟中断来达到反跟 

踪,利用早已被它修改过的时钟中断定时检查中断 

向量表,一旦发现修改为别的值,就会一一还原。 

从表面看还原卡把自己隐藏得很好,但是我们可以 

通过最底层的I/O端口读写0道,找到原始INT13 

人口,一切问题便迎刃而解。下面是找INT13人口 

的方法: 

2.1手工运行Debug 

开机按F8,进入纯DOS环境,出现提示符C:\ 

>,键入debug,敲回车键,在命令提示符“一”下, 

键人如下所示内容: 

a 100<Enter>//进入汇编模式 

0B2A;100 xor ax,ax//输入一条汇编指令 

0B2A;102 int 13 //调用int 13中断 

0B2A;104 int 3//调用int 3中断 

0B2A;105//此处直接回车 

t//此处直接回车 

然后输人t回车,不断的重复,直到显示的地 

址形如F000:xxxx,后面的指令一般为“ITIOV dl, 

8O”,记下这一地址,按q回车退出。这些操作步 

60一 

骤的作用是寻找原始的INT13人口(即INT13中 

断程序开始的地方)。在(0:13H 4)=0:4cH处 

填入这个地址。 

例如得到的地址是F000:9854,再次运行de— 

bug,输入: 

e 0:4e 54 98 00 F0//将数据“54 98 00 

FD”写入地址0:4c开始的4个字节中,破解完成 

’。

q 

在提示符C:\>下键入“win” 

C:\>cd windows<Enter> 

C:\windows>win<Enter> 

注意:破解完成后,不要重新启动,而是直接进 

入Windows系统,这次在Windows系统中的一切操 

作都会被还原卡存储起来。但下一次再进入系统 

时,还需要重写地址O:4c,才可以让还原卡存储以 

上内容。并且填的时候要仔细,填错的话会死机。 

通过T命令得到的地址在写入内存0:4e时,反写 

获得的地址,如地址是F000:9854,就应该反写成 

54 98 00 170。 

2.2在采用方法一的基础上,执行T命令时,如果 

在跟踪过程中发现如下代码“CMP DL,80”,将其 

修改成“CMP DL,FF”,别的都不要修改,也可以破 

解硬盘还原卡的保护。以上两种方法不能在Win— 

dows的虚拟DOS窗口中使用这种方法,而必须以 

光盘启动DOS。如果在Windows的虚拟DOS窗口 

运行的话,请使用下一种方法。 

2.3进入Windows的虚拟DOS窗口,在命令提示 

符下输入一下命令: 

—-

Debug 

S F000:O FFFF 80 fa 80 

你可能会发现有好几处。试验一下:如果U 

F000:xxxx地址后发现代码类似 

U FO00:XXXX<Enter> 

PUSHF 

CMP DL,80 

JZ…… 

的话,填人向量表,通常破解就完成了。 

例如得到的地址是17000:9854,则 

e 0:4e 54 98 00 F0<Enter> 

—。

q 

如果发现Int8H,IntlCH,Intl5H等向量对 

Intl3H进行了向量保护,出现不能写盘的情况,可 

以采取以下解决办法,把Int8H,IntleH,Intl5H也 

改回原始中断点(也是BIOS中断),再尝试写盘。 

如果想获得保护卡密码的话,可以参考以下步 

项“Advanced BIOS Features(高级BIOS功能设 

骤:第一,找到Intl3h原始点设回中断向量表。第 

定)”,将“First Boot Device(设置首先检测哪个设 

二,读出MBR,然后分析这份MBR,找到存放加密 

备启动)”的值设为“USB Floppy”,然后按F10,弹 

密码的扇区得出解密算法。 

出“Save&Exit Setup(存储后退出设置程序)”对 

2.4进入Windows的虚拟DOS窗口,在命令提示 

话框,直接按回车或者键入Y键,再按回车,保存 

符下输入一下命令: 

退出。在软驱中放人DOS启动盘启动,进入DOS 

debug 

界面如下,键人“C:”,按回车键: 

—.

a 100 A:、>C:<Enter> 

0213:100 XOR AX。AX 

C:\>cd windows<Enter> 

0213:102 INT 13 C:\Windows>win<Enter> 

0213:104 INT 3 

则直接进入Windows系统,跳过还原卡保护程 

0213:105 

序的装载,则可以解除还原卡的保护,但下次启动 

d 0:4c 

还是会受到还原卡的保护。只有将系统配置文件 

假设返回值是鼠标箭头所指的白色区域5D 

con_ifg.sys中有关还原卡保护程序加载的项删除, 

04 12 O2,则: 

并修改注册表,这样才能达到解除还原卡保护的目 

A 0212:045D 

的。 

0212:045D JMP fO00:9854 

2.6最后就是如果有机会接触机箱的话,可以开 

0212:0454 

机拔除还原卡,解除还原卡的保护功能。 

—。

q 

2.7 使用在Windows窗口下运行的第三方破解工 

通过以上步骤之后就可以解除还原卡的保护 具,如packofdisk.exe(硬盘还原卡保护破解),执行 

了,但下次进入系统时,还需重写地址0:4C,才能 

硬盘还原卡破解程序后,选择硬盘和欲操作的方式, 

让还原卡存储以上内容。 

点击确定,重新启动。该程序不但可以破解多种硬 

2.5以Award BIOS 6.0为例,开机时,按“DEL” 

件还原卡或软件还原卡对硬盘的保护,甚至能完全 

健,进入BIOS系统设置程序,移动高亮条到第二 

格式化硬盘,是还原卡和还原精灵的真正克星。 

(上接第3O页) 

学成分进行了分析,其中化学成分主要包括烯烃和 

由表2可知,已鉴定的化合物占总组分的 

醇等,如石竹烯,B一榄香烯,反式橙花叔醇,以及 

97.8%,其中相对含量较高的成分有石竹烯 

烷烃类化合物,如三十六烷等,上述成分具有多种 

(23.21%),B一榄香烯(13.43%)和反式橙花叔醇 药理活性㈣,本研究为综合开发利用飞龙掌血这 

(18.83%)等。 

贵州优势苗药资源提供了科学依据。 

3.2讨论 

3.2.1 本研究通过水蒸气蒸馏法正交设计实验, 

参考文献: 

考察了粉碎度、料液比和提取时间对飞龙掌血叶挥 

[1]国家中医药管理局中华本草编委会.中华本草[M]. 

发油提取率的影响,最终确立了收率较高的实验条 

上海:上海科技出版社,2o05. 

件,飞龙掌血叶挥发油得率为0.4%。 

[2]贾敏如,李星炜.中国民族药志要[M].北京:中国医 

药科技出版社,2005. 

3.2.2由于挥发油含有的未知物多,组成复杂,本 

[3]V.&Saxena,&N.Sharma-Autimicrobial activity ofthe 

实验通过选择色谱分离的参数,优化了色谱条件, 

essential oil fo Toddalia asiatica[J].Fitoterapia,1999, 

选用了非极性柱HP一5毛细管色谱柱进行分离, 

7O:64—66. 

考察了多个程序升温的条件,最终确定了“2.2.1” 

[4]方开泰.均匀设计与均匀设计表[M].北京:科学出 

项下的条件,在此条件下,各色谱峰分离较好,而且 

版社,1994. 

在60min以内达到洗脱完全。 

[5]滑艳,邓雁如,汪汉卿.各种挥发油的药理活性及在医 

3.2.2本文首次对贵州产飞龙掌血叶挥发油的化 

学方面的应用[D].武汉:华中农业大学,2003. 

61—