易強(qiáng)+彭永杰+肖靜

摘 要：隨著上機(jī)上網(wǎng)頻率日益提高、機(jī)器感染病毒的機(jī)會大大增加，由于病毒具有傳染性、潛伏性、可觸發(fā)性和破壞性，一旦出現(xiàn)在網(wǎng)絡(luò)中，破壞性非常大，可能對機(jī)房造成不可估量的損失。還原精靈是機(jī)房軟件系統(tǒng)保護(hù)與數(shù)據(jù)恢復(fù)的重要工具，正確運(yùn)用可大大降低機(jī)房軟件維護(hù)工作的繁瑣與重復(fù)。

關(guān)鍵詞：邏輯扇區(qū)；十六進(jìn)制編輯器；病毒；還原精靈；中斷

計算機(jī)公共機(jī)房特點(diǎn)是軟件內(nèi)容繁多、機(jī)器數(shù)目龐大、人員流動性高，機(jī)房管理者的日常工作往往都比較煩瑣，硬件維護(hù)維修工作隨機(jī)性大；而系統(tǒng)的安裝、軟件的更新和病毒查殺等工作，則往往零碎而繁復(fù)。如何在機(jī)房的管理和維護(hù)中，防止系統(tǒng)和應(yīng)用程序不被破壞、保護(hù)正常的上機(jī)環(huán)境、減少恢復(fù)系統(tǒng)的工作量，還原軟件的使用顯得尤為重要。作為機(jī)房管理者，筆者在工作中能夠接觸和使用到各種類型的保護(hù)系統(tǒng)和還原軟件，在實(shí)際使用中我們發(fā)現(xiàn)，無論是聯(lián)想各版本的硬盤保護(hù)系統(tǒng)，清華同方的同方易教以及七彩虹的智能主板系列功能其實(shí)大同小異，都基于最早的Recovery Genius（還原精靈）。

根據(jù)相關(guān)資料及筆者多年來使用經(jīng)驗(yàn)總結(jié)，還原軟件的工作原理大致如下：首先它修改引導(dǎo)區(qū)（MBR），它位于硬盤的0頭0柱1扇區(qū)，在擴(kuò)展int 13中沒有頭、柱、扇區(qū)這個概念，它只有邏輯扇區(qū)，在擴(kuò)展的int 13中MBR位于是0扇區(qū)，如果BIOS中設(shè)置的是硬盤啟動的話，系統(tǒng)會首先載入這個扇區(qū)到內(nèi)存，然后運(yùn)行這個代碼，還原軟件就是用的是自己的引導(dǎo)代碼，這個方法與引導(dǎo)型病毒一樣；這個代碼接管了INT13中斷，每當(dāng)我們向硬盤寫入數(shù)據(jù)時，其實(shí)還是寫入到硬盤中，可是沒有真正修改硬盤中的FAT。由于INT13被接管，當(dāng)還原精靈發(fā)現(xiàn)是寫操作，如果沒有激活管理身份（寫入權(quán)限），便將原先數(shù)據(jù)目的地址重新指向它自己定義的一段連續(xù)的空磁盤空間，并將先前背份的第二份FAT中的被修改的相關(guān)數(shù)據(jù)指向這片空間。當(dāng)我們讀取數(shù)據(jù)時，和寫操作相反。所以還原軟件需要被保護(hù)的磁盤上有較大的空閑空間，這就是聯(lián)想硬盤保護(hù)系統(tǒng)在安裝時必須為每個分區(qū)指定一定大小的暫存空間的原因。

由此我們發(fā)現(xiàn)保護(hù)程序是通過修改中斷向量來達(dá)到保護(hù)硬盤不被真正寫入的，其中int13是關(guān)鍵，它攔截了int13的處理程序，將自己的程序掛到上面，這也是無法寫進(jìn)數(shù)據(jù)的原因所在，有的硬件還原卡同時還修改了時鐘中斷來達(dá)到反跟蹤，它會利用早以被它修改過的時鐘中斷定時檢查中斷向量表，它一旦發(fā)現(xiàn)修改為別的值.就會一一還原。用戶也不可能格式化真正的硬盤，還是因?yàn)楸唤庸艿腎NT13，所有對硬盤的操作都要通過INT13。對于一部分還原卡，它的本質(zhì)上更應(yīng)該是網(wǎng)卡，不過它有BOOTROM啟動芯片，所以啟動的時候不是先啟動硬盤，它里面的程序來起著與還原精靈一樣的作用。對于這種類型的還原卡，以七彩虹主板C.P43 Twin的數(shù)據(jù)保護(hù)功能為例，只要進(jìn)入BIOS設(shè)置里把boot from network這項(xiàng)關(guān)掉，系統(tǒng)起動時就只能進(jìn)入提示符狀態(tài)，不能進(jìn)入桌面，其實(shí)就是找不到相應(yīng)的引導(dǎo)文件。

還原精靈也不是無懈可擊。在實(shí)際測試中我們繞過還原，在BIOS中設(shè)置從制作啟動盤或從光盤啟動，進(jìn)入Windows后，發(fā)現(xiàn)托盤中的還原精靈圖標(biāo)已變?yōu)榧t色，然后運(yùn)行卸載程序，重新啟動后，一般會成功。如果是多系統(tǒng)，雖然不會馬上移除，不過密碼已被初始化（12345678）。最簡單的方法莫過于直接運(yùn)行g(shù)host進(jìn)行鏡像恢復(fù)操作，雖然這時候在進(jìn)入操作系統(tǒng)前還能通過按HOME鍵調(diào)出管理菜單，但還原功能已經(jīng)失效，進(jìn)入系統(tǒng)后可以直接運(yùn)行安裝文件卸載。不過原有系統(tǒng)分區(qū)可能丟失，硬盤上所有的數(shù)據(jù)都會被破壞。

用WinHex編輯運(yùn)行在內(nèi)存的保護(hù)文件（如hddgmon.exe）也可以破解還原精靈。運(yùn)行winhex。這時你會發(fā)現(xiàn)有很多文件在內(nèi)存中運(yùn)行。選擇tools→ram ediutor→hddgmon→primary memoty→ok，就可以了。接著尋找我們要的頁面→search→find text，后綴為.dmb的就是原始密碼。

針對以上還原精靈的破解或者漏洞，現(xiàn)在的硬盤保護(hù)系統(tǒng)也就完善了相應(yīng)的功能：

1.保護(hù)模式下阻止更改CMOS參數(shù)設(shè)置，包括開機(jī)密碼和網(wǎng)絡(luò)啟動項(xiàng)。

2.保護(hù)模式下僅能從C：盤啟動，系統(tǒng)安裝過程中會出錯。

3.保護(hù)模式下防止低級格式化對硬盤數(shù)據(jù)的破壞，理論上防所有病毒，包括未知病毒。

4. 所有的功能及口令都工作在基于DOS實(shí)模式的管理界面下，使用者不能用DEBUG功能和WinHEX內(nèi)存編輯進(jìn)行口令追蹤。

這幾個方面的改進(jìn)從很大程度上彌補(bǔ)了還原精靈的不足，實(shí)際上可以看作是其功能的完善和擴(kuò)展。

參考文獻(xiàn)：

[1]俸遠(yuǎn)禎《計算機(jī)組成原理》電子工業(yè)出版社，1996，4.

[2]張夷人《微機(jī)組裝與維護(hù)》清華大學(xué)出版社，2003，7.