轻松破解还原卡Word文档格式.docx

1、这样等我们安装完了软件、修改够了系统再把它插 上，呵呵，还原功能就又回来了，当然了计算机在没装还原卡时你所有的操作都会保留 下来的。 网管：千万不能为了自己维修方便而不上机箱的螺丝，我的网吧机箱螺丝上 地紧紧的都被有些来上网的家伙拔掉几块CPU、内存和还原卡了。后来没办法，只好做 个箱子把机箱锁起来。 学生：最近，网吧机箱不光上了螺丝，而且还贴了封条，加了 锁，装了箱。我的“物理”破解法只有告一段落了。其实很多种类的还原卡，跟BIOS设 置存在某种关联，如果在BIOS设置界面的 “BIOS Features Setup”中存在“Boot From LAN First”项目，就要求将其设置为“E

2、nable”（将引导顺序设为网络最优先） ，如图1-13-5 假设我们将这个选项设置为“Disable”，那么这块还原卡将不再工作。这是真的，我就在几个网吧不同牌子的还原卡上测试成功过。如果还原卡的版本比较老 ，更是绝对没有问题的。那么这里禁止还原卡就等同于破解BIOS密码了。 破解BIOS密 码我们可以使用操作系统自带的DEBUG程序来清除密码。因为BIOS设置程序存在厂商、 版本的不同，所以就有如下表所示的多种破解方法： 方法一方法二方法三方法四方法 五 -O 70 11-O 70 23-O 70 10-O 70 10-O 70 16 -O 71 FF-O 71 34-O 71 FF-O

3、71 00-O 71 16 -Q-Q-Q-Q-Q 看一下具体的破解步骤吧：在DOS下输入“DEBUG”并回车， DOS提示符显示为“-”表示现在进入了DEBUG状态，然后依次输入“O 70 10”回车， “O 71 FF”回车，最后输入“Q”并再次回车。如图1-13-6 重启计算机以后，BIOS提 示出错，按BIOS的热键（一般是“DEL”按键,注意屏幕上一般有提示）进入BIOS设置界 面的时候并不要求我们输入密码，说明我们已经破解成功了。上述方法的含义就是向 BIOS中写入代码，迫使BIOS自身校验出错，这样再重启计算机时，会要求进入BIOS重新 配置参数，而此过程是不需要密码的。看来删除D

4、EBUG程序是势在必行了。 学 生：如果DEBUG程序被删除怎么办呢？我们先想办法进入DOS环境（双击运行“ c:”文件就可以进入DOS状态）。在DOS状态下，没有DEBUG程序不要紧， 还可以自己现场制作个破解BIOS的.com文件，实现对BIOS密码的清除工作。这听起来是 不是很神奇呢？ 在DOS环境下输入：“COPY CON CMOS.COM”（引号不输入，以下同） 后回车，如图1-13-7 系统会自动另起一行，我们继续输入以下内容：“ALT+176 ALT+17 ALT+230 p ALT+176 ALT+20 ALT+230 q ALT+205 ”，然后按键盘上的“ F6”键，再按回

5、车键保存。如图1-13-8 【注意：输入以上数据时候先按键盘的ALT按键 ，再按下数字小键盘区的数字按键，这里不能使用主键盘区的数字按键，输完一段数字 松开ALT按键，然后再按下ALT按键输入下一段】最后运行得到的文件 如图 1-13-9 ，重新启动计算机BIOS提示出错，就可以不需要密码进入BIOS设置界面啦。 不 过有些还原卡在BIOS修改以后，会提示“发现CMOS有修改，是否存储CMOS资料？”这样 的信息，如图1-13-10 那么这块还原卡就不能通过这种方式进行破解了。 看了一些还 原卡说明书，也找了一些还原卡资料，我还知道了还原卡一般是有初始化的管理员口令 的，部分还原卡的默认密码如

6、下：小哨兵：manager，远志：12345678，三茗：12345678。如果网管没有另外设定密码的话，我们就可以输入这些默认密码来控制还原 卡了。如图1-13-11 其实很多还原卡还有我们所不知道的超级管理员密码或者是管理员 密码清除程序。这个密码或者程序从生产还原卡的公司宣传材料或者网站上是找不到 的。你要是对某款还原卡发生了兴趣，不妨冒充还原卡的最终用户向此还原卡代理商索 取破解办法，相信代理商会有可靠的办法让你满意的。（这又叫做社会工程学入侵）我 在使用U盘（USB闪存盘）如图1-13-12 的时候发现了另外一个绕过还原卡保护功能的方 法。当U盘接在计算机上时，被识别成“移动硬盘”，

7、如图1-13-13 还原卡是不保护这 上面的数据的，我们可以任意的修改U盘中的数据。【小知识：使用USB接口的活动硬盘 如图1-13-14 也可以突破还原卡保护，我们把QQ聊天记录存放在活动硬盘上，以后到哪 家网吧都不会忘记和MM说过的每一句话了；我们把收集的黑客工具拷贝到活动硬盘，网 吧的计算机可能没有软驱、光驱，但主板一般是有USB接口的，这些工具就可以照旧使 用！】 还原卡提供保护功能的是卡上面的那块硬件芯片中保存的小程序，它和硬盘的 主引导记录MBR协同工作，将系统中断Int13H 【小知识：进制：H代表16进制，以十六 为基数，有十六个符号0，1，2，3，4，5，6，7，8，9，A，

8、B，C，D，E，F表示，逢十 六进一。Q代表8进制，以八为基数，有八个符号0，1，2，3，4，5，6，7表示，逢八进 一。B以二为基数，有两个符号0，1表示，逢二进一。中断：程序运行过程中出现了某 种紧急事件，必须中指现行程序而去转去执行一个处理该事件的程序，处理完成该事件 后再恢复并继续运行原有的程序，这个过程称作中断。中断向量表：中断服务程序的起 始地址称为中断入口，将中断程序的入口地址放在一起就组成中断向量表。】进行底层 拦截，这样WIN98引导后使用的就是由还原卡修改过的中断了。想破解还原卡的保护功 能，只要恢复Int13H的BIOS中断向量就可以了，简单过程就是：找到Int13H的原

9、始BIOS 中断向量值，填入中断向量表 【补充知识：DEBUG命令简单解释：】 命令用途格式 汇 编汇编语句Aaddress 显示显示内存Daddress 修改修改内存E address lise 执 行用任选断点执行G=address address 传送传送内存块内容M range address 终 止退出DEBUGQ 输出发送输出的字节O portaddress byte 寄存器显示寄存器/标示R register name 检索检索字符S rang list 跟踪执行并显示T =addressvalue 在 DOS下运行DEBUG程序： Debug -a 100 -xor ax,ax

10、 -int 13 -int3 然后输入T回车，并 不断的重复，直到显示的地址如F000:xxxx。记下这个地址，按Q键回车退出。这里假设 出现的第一个F000:1234就是要使用的。实际可能是在第2、3、4个才出现，通常认为就 是第一个，在（0:13H*4）=0:4cH处填入这个地址，运行Debug，输入如下命令 -e 0:4c34 12 00 f0 -q 如果在跟踪过程中发现了如下代码：CMP DL，80（判断是否操作 硬盘），可以修改成不存在的硬盘号如：CMP DL，FF，然后试试硬盘可写吗？可写的话 就OK了。 现在有些较新的还原卡经过上述操作，还是不能写盘，出现操作死机的情 况。一般是

11、因为Int8H、Int1CH、Int15H等中断对Int13H进行了向量保护。想办法将这 些中断修改为原始中断入口地址就可以了。如果想获得还原卡管理员密码的话，因为有 些还原卡的密码是存放在硬盘上某个空闲磁盘空间中的，与还原卡无关，我考虑了以下 几个步骤： 1.恢复系统中断向量并读取磁盘的MBR记录信息 2.分析MBR，这里建议结合 磁盘在安装还原卡前后各扇区数据变化情况 3.找到密码存放扇区并破解其加密算法不 过我感觉这实在是太深奥了，不是我这种笨脑瓜想明白的，就此作罢了。要注 意还原卡的安全问题，使用了还原卡固然可以减轻计算机系统维护的工作量，但是使用 还原卡的计算机并不是安全得像进了保险

12、箱，针对还原卡的保护和破解，就像矛与盾之 争一样。一方面不断有新的破解技术出现，另一方面也不断的有抵御破解手段的新的还 原卡生产出来。想更好的保护好计算机，那就只有不断的更新手中还原卡的版本，同时 ，禁止用户进入DOS模式或者干脆删除DEBUG命令也是一个折中的办法。 还原精 灵的破解 我今天到另外的一家网吧上网，发现他们的硬盘也是受“还原卡”保护的， 重启计算机一切修改都还原了，破解它这还不好办！我的眼睛就不住地往桌下没扣盖的 主机上打量。却看见这些计算机并没有安装什么插卡，真让我大吃一惊，莫非是用什么 软保护措施？还真让我猜中了。看 就是这个叫“还原精灵”的软件在捣鬼。我想删除 “还原精灵

13、”，在“添加删除程序”中找不到这款软件，在硬盘上也查找不到这款软件 的安装文件。右击任务栏右下角的图标，却被要求输入操作密码。 看来想办法破解此 软件的密码，是控制这台计算机的关键。如果仅仅是因为安装了一个新程序，提示要求 重启计算机，那就不要点击“确定”（，选择“以后重启”。在“开始关闭系统”选 择“重新启动计算机” 注意此时一定要按住键盘shift按键不放，这样计算机将跳过初 始化等操作，直接重新加载系统程序，从而绕过了还原精灵的保护。【以下为cy07添加 】如果想长期保存自己的文件，就必须卸掉还原精灵或者取得还原精灵的管理员密码， 要卸掉还原精灵其实不难，网上有专门清除还原精灵的程序，

14、可以到它的老家 下载，运行以后直接清除，就可以清除还原精灵了，不过需要注 意，由于还原精灵是在硬盘最重要的主引导记录MBR（ 来自网络！） 关于破解还原卡（通用） 请大家先看看后面的（可以穿透还原卡和还原软件的代码） 方法一:开机时（也就是在你曾经进入cmos的时刻）,同时按住ctrl+home,这样你就进入了 还原卡的密码输入窗口,只要输入正确的密码即可获得admin,以后随你怎样设置. 关于是密码的问题:一般还原卡都有默认密码的,默认密码怎么找,很简单,到网上搜索QQ:9750406 关键词还原卡就行了,找到你用的那个牌子的还原卡,进入站点,在一个比较偏僻的角落 一般可以找到默认密码的.

15、而一般机房管理员是不会修改其默认密码的,比如俺学校的 台湾远志牌的还原卡的默认密码是12345678, 小哨兵的是manager, 机房管理员一个也没改,好爽!不过我可没破坏任何东东,一旦惹怒了俺,嘿嘿.俺也不会破坏的, 恶意破坏计算机就是对自己的不尊重!如果管理员把密码改了呢?那就拿出宝刀- 方法二:此法实施过程看起来挺麻烦,不过熟悉了*作起来超不过15秒的- 高手sinister曰:其实所谓硬盘保护卡就是在ROM中写了一段HOOK INT 13的程序，屏蔽了 一些功能调用如AH=3，5等，在中断向量表中INT 13的SEG，OFFSET 描述为13h*4+2，13h*4，将此中的程序先保存

16、后，再替换为自己的代码， 当你AH=2的时，它便会call原始INT 13地址来完成*作. 只要找到原始INT 13入口便可以为所欲为. 不知看了这段感觉如何?慢慢消化吧. 主要矛盾:关键是要找到原始的int 13入口. 测试*作系统:win98 测试对象: 台湾远志还原卡 测试地点: 学校机房 测试目的: 控制还原卡,但不破坏. 注:本篇文章不对其实施过程中出现的任何不可预料的情况负责!具体过程如下:开机过程按住F8键,进入纯dos环境, 注;后为注释. 出现提示符c:, 键入c:debug, - a100 - xor ax,ax - int 13 - int3 寻找原始的int 13入口.

17、 然后输入t回车，不断的重复，直到显示的地址形如 F000:xxxx ,后面的指令为:mov dl,80 （练练眼力-。按q退出. 记下这一地址, 在（0:4cH 处填入这个地址。例如俺的得到的地址是F000:9A95 再次运行debug ,键入:-e 0:4c 95 9A 00 F0 ;e的作用将数据表95 9A 00 f0,写入地址0:4c开始的字节中. -q 注： 填的时候要仔细，填错的话会死机。ok,破解完成. 这时在提示符c:键入 win 进入win98系统即可,那么这次你在win98系统中的一切*作,随着下一次 的启动都会被还原卡存储起来。不过下一次进入系统的的时候，你还是需要重写

18、地址0:4c,才可以让还原卡存储你的东东。这时只需要在纯dos下进入debug,键入 4c 95 9A 00 F0 -q 即可。哈哈。这样也挺好，只有你才是这台computer的真正的主人 -。别人还是受还原卡的限制的except-you 。下面是找Int13入口的方法，我常用的几种：1。手工运行Debug,最好在纯DOS下：Debug - xor ax,ax 注意： 前面要加上功能号以选择Int13H内部的流程，避免进入其他不经过原始入口的流程 记下这一地址,按q 回车退出。这里假设了第一个F000:xxxx就是要找的入口，实际上可以在第2，3，4，。出现，要自己判断一下，通常认为就是第一个

19、。在（0:例如得到的地址是F000:1234 运行debug 4c 34 12 00 F0 =把得到的原始入口填入Int13H的中断向量表 填的时候要仔细，填错的话会死机。有些经过针对性处理的机器，要进一步鉴别。如在Int13内部调用Int1ch. 如果在trace过程中发现如下代码 CMP DL,80意思是判断是否针对硬盘操作 ，可以尝试修改成不存在的硬盘号，比如改成CMP DL,FF。其他的都不要修改. 试试 硬盘可写吗？如果可以的话就万事大吉了。另外，不能在Windows的虚拟DOS窗口中使用这种方法。如果在Windows的虚拟DOS窗口运行的话，请使用下一种方法。2。- s F000:

20、0 ffff 80 fa 80 强行搜索BIOS区，通过比较入口代码找到原始入口点 你可能会发现有好几处。根据我的多次破解经验，通常这个地址在F000:8000以后。试验一下: 如果U F000:xxxx地址后发现代码类似 -u F000:PUSHF CMP DL,80 JZ . . 有些不是这样，要注意鉴别。 的话，填入向量表试试。通常破解就完成了。本文通过对硬盘还原卡与还原精灵的工作原理的深入分析,以联想慧盾保护卡为例,剖析在Windows 98/Me/2000/XP系统下如何融会贯通使用“七剑式”解除硬件还原卡和软件还原卡对系统的保护。一、还原卡的工作原理：众所周知,学校、事业机关等单位

21、计算机中心为了简化系统维护,保护硬盘数据不被恶意修改,删除,多数喜欢采用保护卡来保护硬盘。保护卡也称还原卡,还原卡分为两种：一种是软件还原卡,如：还原精灵;另一种是硬盘还原卡,如联想慧盾。其原理基本相同,不同的只是取得控制权的先后不同。要想破解还原卡,就需要深入了解他的工作原理。本文重点讨论硬盘还原卡的原理及破解,并用C语言的语法格式来讲解,软件还原卡的原理及破解与此相似。下面我就谈谈它的工作原理。硬盘还原卡是一种硬件芯片,利用的是网卡的架构来做的。把它插在主板上与硬盘的MBR协同工作,启动时进行保护设置的代码都被“烧”在硬盘还原卡的BootRom（启动ROM芯片）中,它修改了引导区,引导区又

22、被称为MBR。 硬盘的0磁道属于隐藏磁道,该磁道的63个扇区属于隐藏扇区。无论是操作系统,还是一般的应用软件,都不能访问0磁道的63个扇区。高级格式化程序FORMAT只能格式化逻辑驱动器,对0磁道也无能为力。分区程序FDISK在运行时只操作0磁道的第一个扇区,向扇区内写入主引导记录和主分区表,对其他的62个扇区不进行操作。它位于硬盘的0头0柱1扇区,在扩展INT13中没有头、柱、扇区这个概念,它只有逻辑扇区,在扩展的INT13中MBR位于是0扇区,假如BIOS中设置的是硬盘启动的话,系统会首先载入这个扇区到内存,然后运行这个代码。还原卡就是在ROM中写了一段HOOK INT 3的程序代码,屏蔽

23、了一些功能调用,如AH=3,AH=5等,在中断向量表中INT13的SEG,OFFSET描述为13H*4 2,13H*4,将此中的程序先保存后,再替换为自己的代码,当你AH=2时,它便会CALL原始INT13地址来完成操作。这个原理与引导型病毒一样,都是利用了BIOS程序对0头0道1扇的程序的信任性的漏洞,但病毒的目的是破坏,而它的目的是保护,就如武器在坏人手里有破坏力一样,这个代码接管了INT13中断。安装了硬盘还原卡,在启动机子时BIOS程序首先扫描到硬盘还原卡,并把控制权交给硬盘还原卡,将原来的0头0道1扇保存在一个其他的扇区,将核心代码写入硬盘0头0道1扇,将用户设置信息写入别的扇区,等

24、到重新启动机子还原卡夺取控制权,添加或修改一些BIOS中断程序。然后,原来的0头0道1扇才夺取控制权来引导系统。所以一切对硬盘0头0道1扇的读写操作都是访问的是备份的0头0道1扇,即原来的0头0道1扇。另外,用户也不可能格式化真正的硬盘,还是因为被接管的INT13,所有对硬盘的操作都要通过INT13。二、如何解除还原卡的保护通过以上原理分析,我们发现保护程序是通过修改中断向量来达到保护硬盘不被真正写入的,其中int13是要害,它拦截了int13的处理程序,将自己的程序挂到上面,这也是无法写进数据的原因所在,有的卡同时还修改了时钟中断来达到反跟踪,利用早已被它修改过的时钟中断定时检查中断向量表,

25、一旦发现修改为别的值。就会一一还原从表面看还原卡把自己隐藏的很好,但是我们可以通过最底层的I/O端口读写0道,找到原始INT13入口,一切问题便迎刃而解。由于Windows 98/Me和Windows 2000/XP的启动方式和工作原理不同,下面分别讲述破解方法：对于Windows 98/Me系统,下面是找INT13入口的方法,我姑且称它们为“独孤七剑”：剑式一: 手工运行Debug开机按F8,进入纯DOS环境,出现提示符C:>,键入debug,敲回车键,显示如下。在命令提示符“-”下,键入如图所示内容：-a 100 <Enter& /进入汇编模式-0B2A:100 xor ax,

26、ax /输入一条汇编指令102 int 13 /调用int 13中断104 int 3 /调用int 3中断- 0B2A:105 /此处直接回车- t /此处直接回车然后输入t回车,不断的重复,直到显示的地址形如 F000:xxxx,后面的指令一般为mov dl,80,记下这一地址,按q 回车退出。这些操作步骤的作用是寻找原始的INT13入口（即INT13中断程序开始的地方）。例如得到的地址是F000:9854,再次运行debug,输入：4c 54 98 00 F0 /将数据“54 98 00 F0”写入地址0:4c开始的4个字节中,破解完成在提示符C:下键入“win”C:cd windows

27、 &windows&win &注重：破解完成后,不要重新启动,而是直接进入Windows系统,这次在Windows系统中的一切操作都会被还原卡存储起来。但下一次再进入系统时,还需要重写地址4c,才可以让还原卡存储以上内容。并且填的时候要仔细,填错的话会死机。通过T命令得到的地址在写入内存0:4c时,反写获得的地址（如地址是F000:9854,就应该反写成54 98 00 F0）。剑式二：在采用方法一的基础上,执行T命令时,假如在跟踪过程中发现如下代码 CMP DL,80,将其修改成CMP DL,FF 别的都不要修改,也可以破解硬盘还原卡的保护。另外,不能在Windows的虚拟DOS窗口中使用这种方法。假如在Windows的虚拟DOS