基于HPA技术的清华同方急救中心的改造 GHOST恢复系统

qdaijchf

原帖由 老毛桃 于 2006-11-5 08:26 PM 发表
我装了个小苹果骨头版 XP 放在了 HPA 分区中。安装后的总占用空间不过 300MB。不过看一段时间再说，如果不满意的话，我就用 PE 算了。因为 HPA 分区不是主分区，还必须通过 C 盘上的部分文件来引导才可以，直接能 ...

能否这样试一试呢？
ulockhpa -u -c，fdisk /mbr，再用partition magic把此分区转换成主分区 ,看看能否进入HPA分区？假如能，那么可以完完整整地把系统装进HPA分区了，可以完全脱离第一主分区了。

[ 本帖最后由 qdaijchf 于 2006-11-5 08:45 PM 编辑 ]

qdaijchf

时间不早了，老毛桃休息去了，我也该休息了，明天还要干活呢。

[ 本帖最后由 qdaijchf 于 2006-11-8 09:23 AM 编辑 ]

qdaijchf

原帖由 gyjyxj 于 2006-11-6 12:17 AM 发表
请楼主公开一下技术，让大家一起来改进

请从第一贴开始到最后一帖，仔细阅读，并把其中的附件搞下来，所有的技术都在了，但是你还得会编辑IMG和BAT文件。

qdaijchf

哪位有完整的一套键盘扫描码，请贴上来。这样可以任意修改启动热键了。

谁能贴上来，改日我就把最精简的 windows3.2 放上来，里面所有无用的东西都去掉了，只剩下一个资源管理器，况且一启动，它的桌面就是资源管理器，没有其它的，复制、移动、剪辑、重命名等基本功能，对于拯救系统中的数据很有用。

比如，当你的系统不能启动了，想重装系统或恢复系统，但系统盘中有重要数据资料不能丢失，用DOS吧，有的文件夹进不去或者不易找到你的文件，用windows pe吧，功能虽然强，但容量大，启动起来比较慢。我那个容量小，2.88m的IMG文件中能放下，启动又快，移动数据资料很方便，况且是中文版的噢。

而且可以把它放进HPA分区，与一键恢复搭配使用，应该还算不错哦。

qdaijchf

原帖由 老毛桃 于 2006-11-6 02:58 PM 发表

我做了个批，你自己设置吧，设密码相当方便。

谢谢版主！

qdaijchf

fdisk /mbr后，可能不会蓝屏。

因为联想电脑的 hpa分区被我删除后，启动(hdd0,0)上的windows xp就出现蓝屏，后来fdisk /mbr后就能正常启动。

qdaijchf

改过之后，修复引导信息。重新启动时，必须等到loading……，又自动重启，这时HPA分区才被隐藏，然后用pm肯定不会看到。

我估计你进入HPA分区后，或者打开HPA分区修改后，重新启动时，直接从软盘或光盘启动了pm或diskgen。也就是说抢在急救中心自动锁住HPA分区前，先启动了光盘或软盘或U盘上的DOS。

这仅仅是我的猜测而已，可能猜错，也许被我蒙对了。

qdaijchf

也许是31D35最前面的3和2E026最前面的2，不能去掉，不知是否被你去掉了。

qdaijchf

电脑每次重新启动时，都会自动检测HPA分区是否存在，或是否被锁住。假如不存在，直接启动普通分区中的系统。假如存在，并已经被锁住，那么就启动scloader.com，并出现热键引导提示。假如存在HPA分区，但没有被锁住，那么就启动plug.com把HPA分区锁住，并自动重启。

qdaijchf

由于LINUX.IMG的内核决定了HPA分区的脆弱性。因为进入经改造的HPA分区，LINUX.IMG的内核必须是DOS系统，要进入HPA分区，必须运行ULOCKHPA，要启动HPA分区中的系统，必须启动GRUB。无论怎样加密，无论怎样虚拟，A盘也好，B盘也好，都能轻而易举地绕过障碍，破坏HPA分区。

假设不用软盘、U盘、光盘启动，因为这样更容易破坏HPA分区。假设仅仅利用HPA系统本身就能搞掉HPA。按Ctrl+/，首先启动的是DOS系统，再 ulock，再虚拟，再密码，再grub，再密码，再启动HPA内的系统或可见分区中的系统。我只要按Ctrl+/，几乎同时再按F5键，就直接进入纯DOS，进入了纯DOS，就能del autoexec.bat，就能ulock，再能grub --config-file="root (fd0);chainloader +1;boot"再一次引导LINUX.IMG中的DOS，然后再进入卷标为HIDDENDRIVE的HPA分区，再 del *.*，再进入C 、D、E、F……，再del *.*，一切都完了。

建议作如下改进：
LINUX.IMG内核改成GRUB，也就是改成必须输入GRUB密码的GRUB引导盘，而不是DOS引导盘。或者这样说，首先输入GRUB密码启动GRUB，然后通过GRUB引导LINUX.IMG中的DOS系统，LINUX.IMG中再加入GRUB4DOS，接下来再……

qdaijchf

经试验，把31D35改成31D22，按Ctrl+b能启动HPA系统。等到loading……后，分别在DOS和 windows中用PQ 、PM，包括 windows磁盘管理中，都未发现HPA分区，磁盘总容量也相应减少了。说明可以更改启动热键，但不可以删除这个文件，删除后HPA分区就无法锁住，在 windows中回来的这个分区可见但无法打开，变成了未格式化的了。

该睡觉了，各位晚安！做个好梦！美梦成真！

[ 本帖最后由 qdaijchf 于 2006-11-6 10:11 PM 编辑 ]

qdaijchf

再提供一个科学幻想，希望成为现实。

把windows安装进HPA分区，启动时离不开可见分区中的C盘，因为HPA分区不是主分区。能不能把可见分区C盘中的一些必要的启动文件放进IMG文件中，再放进HPA分区，把它叫做PRIC.IMG。

启动时用grub先把PRIC.IMG仿真成被激活的主分区C盘，然后启动HPA分区系统。

嘿嘿，空想而已。

qdaijchf

看来老毛桃又有事干了。

等你把这事解决了，我再来一个科学设想。

qdaijchf

不急，不急，慢慢研究。

有空我也得好好学习一下GRUB的使用。

qdaijchf

原帖由 chenall 于 2006-11-7 11:50 AM 发表
我两个BOOT.INI不一样.
启动的确实是HPA分区上的BOOT.INI

把第一主分区中的 NTLDR BOOT.INI  bootfont.bin  NTDETECT.COM全删除（试完后从回收站还原），再试一下，到底是不是HPA分区中的文件在起作用？马上见分晓。

[ 本帖最后由 qdaijchf 于 2006-11-7 12:07 PM 编辑 ]

qdaijchf

再提供一个更安全的诡计：

热键Ctrl+/能被修改，修改之后HPA分区仍能被锁住，仍能被启动，这个昨晚我通过试验已经证实。

设计这样一个骗局：把Ctrl+/改成其它热键，比如Alt+B，但在引导信息的提示中这样显示:按F10启动HPA-SYSTEM ……                               版权所有：老毛桃

为了破掉人家的HPA分区，把组合键一个一个试过去，我想没有一个人能有如此耐心。

况且能删除HPA分区的人，所占的百分比毕竟很少。

[ 本帖最后由 qdaijchf 于 2006-11-7 01:36 PM 编辑 ]

qdaijchf

原帖由 老毛桃 于 2006-11-7 03:39 PM 发表

UlockHPA 后，直接运行 Grub，再加载 (HD0,0) 上的 NTLDR，启动到 Windows，就不需要 Fdisk /mbr 了，也不需要重启。退出 Windows 重启后，会自动保护

简洁明了。

qdaijchf

原帖由 老毛桃 于 2006-11-7 03:54 PM 发表

我也遇到过，不要重启，关闭计算机，再开电源就会好了

真传一句话。

qdaijchf

原帖由 老毛桃 于 2006-11-7 03:31 PM 发表


Grub 去加载 SETUPLDR.BIN 可以引导 WinPE.ISO 的

SETUPLDR.BIN引导WinPE.ISO，怎样配置？

qdaijchf

原帖由 zgzxp 于 2006-11-7 06:48 PM 发表
毛桃

下的同方部署中心是ISO文件还是压缩包啊

打“开我的电脑”，点击“工具”菜单，点击“文件夹选项”，点击“查看”菜单，把“隐藏已知文件类型的扩展名”前的“√”去掉，然后“确定”，再看你的那个文件，就知道了。

[ 本帖最后由 qdaijchf 于 2006-11-7 07:14 PM 编辑 ]

qdaijchf

都已经下载，谢谢老毛桃！

qdaijchf

一个很菜的问题，怎么把图片贴上来？我有老毛桃的照片，想把它贴上来。

[ 本帖最后由 qdaijchf 于 2006-11-7 09:11 PM 编辑 ]

qdaijchf

原帖由 zgzxp 于 2006-11-7 08:48 PM 发表
这个不能打开阿

进去吧　FTP://bscx:bscx@61.161.83.202/bscx

qdaijchf

原帖由 老毛桃 于 2006-11-7 08:49 PM 发表

我还做了个完整一点的版本，安装时就连《老九 WinPE 老毛桃修改版》也安装进去……，等好了我就上传！

功德无量！ 找找看，哪一个是老毛桃？



[ 本帖最后由 qdaijchf 于 2006-11-7 09:38 PM 编辑 ]

qdaijchf

loading……，这个提示能否修改，我没试过。但清华同方那个背景可以修改也可以完全删除，再有热键引导及版权信息也可以修改，这些我以及各位论坛朋友通过试验已经得到确认。

建议：
一. 用英文句号（尽量减少提示信息）代替热键提示信息，这个我虽然没试，但有百分之九十九的把握能行。或者用空格代替热键提示信息，我没试过，但有百分之五十一的把握能行。假如能用空格替代的话，那么屏幕上其实已经没有提示信息了。

二.用英文句号代替 loading…… 这段信息，或用空格代替，我没试过。

以上两点假如真的能通过的话，那么去掉屏幕上的所有图像、文字信息就能实现了。

[ 本帖最后由 qdaijchf 于 2006-11-8 03:24 PM 编辑 ]

qdaijchf

原帖由 wuyouman01 于 2006-11-8 12:08 PM 发表


DOS中运行hpatool死机！第一次安装HPA分区成功，并ulockhpa -u -c 进入过WINPE，且WINPE可以识别HPA分区，重启后无法ulockhpa -u -c，且不可以删除（只能删除全部分区），硬盘是sata120G的，可能ata支持不太好 ...

纯dos中运行hpatool应该不会死机,真的要删除HPA分区,请看114楼.

联想电脑的HPA分区用hpatool和ulockhpa两个程序都能删除,但必须运行fdisk /mbr,否则进不了系统,会出现蓝屏.

联想电脑HPA分区中的内容你是无法看到的,联想的专用工具能把里面的内容导出来,但导出来的文件无法打开,还是没用,这个我试过.hpatool创建的HPA分区只能用于联想电脑,它的热键引导是放在主板中的,除非你用联想的BIOS刷你的主版,不过太危险了.当然在非联想电脑上也可以用 hpatool创建隐藏分区，可是此隐藏分区锁不住，不管dos还是 windows都能发现它，因此根本无用。

我劝你用经老毛桃修改的清华同方急救中心.

我的也是联想的,双模式的,半年前被我干掉了HPA分区,因为系统恢复太慢了.

[ 本帖最后由 qdaijchf 于 2006-11-8 06:42 PM 编辑 ]

qdaijchf

原帖由 阿文 于 2006-11-8 12:50 PM 发表
不玩这东西了，昨晚搞了一个晚上．太不稳定了．
－－－－－－－－－－－－－－－－－－－－－－

公司修机，搞了好几台机装，一半以上的都隐藏不了，还是同样一个硬盘．４０Ｇ的硬盘，在其中一台机上装，正常隐 ...

因为有些电脑不支持HPA分区,131楼有检测工具。

经过备份和恢复后就隐藏不了了,估计与急救中心无关,可能与你的操作有关.

备份与恢复后热键引导提示有没有?要是没有了,说明被你破坏了，112楼有修复工具。

急救中心的ulockhpa这个程序,为什么没有重新启动这个参数,而用ulockhpa -u或ulockhpa -d来解锁或删除HPA分区后自动关机,加上-c这个不关机参数,运行后才不关机?因为直接重新启动可能无法锁住HPA分区,只有关机才能保证锁住.

[ 本帖最后由 qdaijchf 于 2006-11-8 01:36 PM 编辑 ]

qdaijchf

原帖由 xiaoy 于 2006-11-8 03:50 PM 发表
如果 FDISK /MBR 后， 就没有热键提示， 备份到HPA后就会，硬盘就会一直显示出原来的容量，  再不能隐藏HPA分区 ， 这个问题我也遇到过，我也想知道在没有提示的情况下如何设置锁定  我本打算用光盘来备份或恢复H ...

有以下几种办法：
1.　windows中运行 starcenter，让电脑重新启动，等出现 loading…… 之后又自动重启，HPA分区就锁住了。你真的不要那一行引导信息，那么等锁住后再 fdisk /mbr.

2. 直接在DOS中ulockhpa -l

[ 本帖最后由 qdaijchf 于 2006-11-8 06:38 PM 编辑 ]

qdaijchf

原帖由 lgtth 于 2006-11-8 06:43 PM 发表

那位朋友能提供GRUB的使用手册或介绍网 ...

这个对你是否有用？

qdaijchf

hdinfo是pcclone的检测工具，提示YES表明pcclone能创建HPA分区，提示NO表示pcclone无法创建HPA分区。

应该是hdinfo的一个BUG。

问一下wuyouman01：检测提示不支持，但急救中心3.15能安装，BIOS中提示的容量是否减少了？用pqmagic或pm或 diskgen等看一下磁盘，是不是磁盘的总容量减少了？

容量提示减少了，那么HPA分区真正创建成功了，并被锁住了。要是这样的话，我该把那个hdinfo的附件去掉了。免得再给大家产生误导。

[ 本帖最后由 qdaijchf 于 2006-11-8 09:03 PM 编辑 ]