无忧启动论坛

标题: (新增加PE下拷贝63扇区MBR)某全盘加密软件的MBR,有兴趣者可以研究一下 [打印本页]
作者: panet8888    时间: 2011-2-23 12:50
标题: (新增加PE下拷贝63扇区MBR)某全盘加密软件的MBR,有兴趣者可以研究一下
本帖最后由 panet8888 于 2023-4-28 14:47 编辑

-----------------------------
当年考虑不周,实则不宜发到此处,特此把内容删了。




作者: renchmin    时间: 2011-2-23 16:02
这个不错的啊,希望高手能够研究一下。
作者: MR.L    时间: 2011-2-23 16:04
是的,很神奇的喔,公司就有这样的软件硬盘防护机制
作者: xianglang    时间: 2011-2-23 19:16
楼主试下写MBR看能不能写进去?如果写进去之后,加密还起不起作用?
作者: MR.L    时间: 2011-2-23 20:07
如果蛙哥能来看看就好了,我上次和蛙哥说过这个软件,但是蛙哥没有兴趣.
如果装了这个软件又是全盘加密的话,PE等于是废物,进PE没有任何用处,因为公司的电脑有监控,我也不敢乱搞
其实如果蛙哥开发出来这样的免费软件供大家使用,那真是莫大的幸福啊!因为这样就再也不怕什么门的出来了``````
作者: Pauly    时间: 2011-2-23 21:20
个人觉得加密应该是系统级的才对吧,需要在操作系统中安装对应的驱动来配合吧,否则就算在实模式下加密了硬盘数据,那 XP 启动之后也不能识别其中的数据啊
作者: panet8888    时间: 2011-2-23 21:54
标题: 回复 #4 xianglang 的帖子
写什么MBR,不敢在已装的机子上试写其它MBR,如果写坏了,启动不了的话会很麻烦。
但我试过把这MBR写在虚拟机上,只写了一扇区,结果分区在PE下认不了了。下次再多写几扇区看会不会连验证窗口也会出来。
作者: panet8888    时间: 2011-2-23 21:55
并不是这样的。
如果引导带DOS系统的,只要用硬盘引导,通过验证了,DOS下也能访问分区。但用硬盘引导PE就访问不了。
作者: xianglang    时间: 2011-2-23 22:42
原帖由 2011panet8888 于 2011-2-23 21:54 发表
写什么MBR,不敢在已装的机子上试写其它MBR,如果写坏了,启动不了的话会很麻烦。
但我试过把这MBR写在虚拟机上,只写了一扇区,结果分区在PE下认不了了。下次再多写几扇区看会不会连验证窗口也会出来。


既然你在虚拟机里写了这个MBR,再用BOOTICE之类在虚拟机里再写次MBR不就结了?
作者: lvyanan    时间: 2011-2-24 11:14
看过MBR第一扇区,一个常规的MBR引导程序,没有其它跳转到第二扇区代码的指令,加密功能可能另有蹊跷?
作者: panet8888    时间: 2011-2-24 11:54
原帖由 lvyanan 于 2011-2-24 11:14 发表
看过MBR第一扇区,一个常规的MBR引导程序,没有其它跳转到第二扇区代码的指令,加密功能可能另有蹊跷?



就是搞不懂。有一次系统崩了,因不经该软件验证就访问不了硬盘,所以就没办法修复。只能是把C盘格了,重装系统。那次用的是GHOST系统,恢复到C盘后启动还是有密码验证,但验证后引导不了系统,重建MBR后才能正常启动。



忽然想到,这个MBR是在硬盘引导后备份是,估计经验证后,该软件把MBR改成常规的MBR了。下次用PE引导,再备份一个试试。

[ 本帖最后由 2011panet8888 于 2011-2-24 12:12 编辑 ]
作者: lvyanan    时间: 2011-2-24 13:01
标题: 回复 #11 2011panet8888 的帖子
我也怀疑软件使用了INT13h中断截获技术,把对MBR扇区读写的请求,重定向到其他扇区,在硬盘系统引导下。获取的MBR扇区内容,肯定是重定向以后的假MBR扇区,真的被屏蔽了,这类似于以前的巴基斯坦引导型病毒的机制,好在程序还没有采用逻辑锁保护机制,否则就更讨厌了。
作者: freesoft00    时间: 2011-2-24 18:30
拷贝的扇区数太少了。最好是63扇区
作者: panet8888    时间: 2011-2-24 20:45
原帖由 freesoft00 于 2011-2-24 18:30 发表
拷贝的扇区数太少了。最好是63扇区


好的,明天就拷贝63扇区。
作者: lvyanan    时间: 2011-2-24 20:52
要用外部设备上的系统启动进去,这样获取的MBR扇区才是真实的!
作者: lvmenbo    时间: 2011-2-25 09:43
提示: 作者被禁止或删除 内容自动屏蔽
作者: panet8888    时间: 2011-2-25 21:07
原帖由 lvmenbo 于 2011-2-25 09:43 发表
楼主试下用光盘引导运行dos版的diskgenius能识别硬盘吗 如果能识别并能操作 那清除这个东西应该挺容易的吧



我想做的并不是要清除它,要清除它挺简单的,format c:  +  fdisk /mbr 就可以了,但我想知道它是藏在哪里的,是怎么工作的。
作者: lvyanan    时间: 2011-2-26 12:10
初步看过63S,第一扇区与前不同了,其中在你硬盘的第3e7e06号扇区开始的地方,程序读入了7F个扇区到内存,我推测这7F个扇区的内容,才是该加密软件的主体!
作者: panet8888    时间: 2011-2-26 12:40
7F这么大,想分析还是挺难的。
谢谢版主指点了。
作者: MR.L    时间: 2011-3-4 00:12
斗胆问一下楼主是否可以告知软件名字???
作者: 123help    时间: 2011-3-7 19:22
原帖由 牛人zero 于 2011-3-4 00:12 发表
斗胆问一下楼主是否可以告知软件名字???


貌似DriveCrypt Plus Pack
作者: fudi    时间: 2011-3-9 09:14
学习了啊~~~~~~~~~~~~~~~~~~~~~~~~~~~~
作者: panet8888    时间: 2011-3-13 09:51
本帖最后由 panet8888 于 2023-4-28 14:44 编辑
原帖由 牛人zero 于 2011-3-4 00:12 发表
斗胆问一下楼主是否可以告知软件名字???






欢迎光临 无忧启动论坛 (http://bbs.wuyou.net/) Powered by Discuz! X3.3