无忧启动论坛

 找回密码
 注册
搜索
系统gho:最纯净好用系统下载站广告联系 微信:wuyouceo QQ:184822951
查看: 13633|回复: 29

Ghost 11.5.0.2165最新版

[复制链接]
发表于 2009-1-29 00:17:32 | 显示全部楼层 |阅读模式
发表于 2009-1-29 02:38:21 | 显示全部楼层
这次更新了什么呢?。
回复

使用道具 举报

发表于 2009-1-29 06:17:37 | 显示全部楼层
看看,最好是体积减小点。不然装不下了……
回复

使用道具 举报

发表于 2009-1-29 08:57:14 | 显示全部楼层
想知道更新了点儿啥
回复

使用道具 举报

发表于 2009-1-29 10:44:53 | 显示全部楼层
Support for EXT3 Inode Sizes > 128 Byte

https://forums.symantec.com/syment/board/message?board.id=109&thread.id=19789

[ 本帖最后由 ljycslg 于 2009-1-29 10:57 编辑 ]
回复

使用道具 举报

发表于 2009-1-29 13:15:39 | 显示全部楼层
又更新了啊……
回复

使用道具 举报

发表于 2009-1-29 13:56:28 | 显示全部楼层
这个喜欢啊
要是更新变小了就好了。
回复

使用道具 举报

发表于 2009-1-29 16:12:17 | 显示全部楼层
第一个地址下不了,自己找到个:
http://www.brsbox.com/filebox/down/fc/64f92a3d9ed2d2ae12c6a36f2f97191a

[ 本帖最后由 Dreamcast 于 2009-1-29 16:17 编辑 ]
回复

使用道具 举报

发表于 2009-1-29 16:56:39 | 显示全部楼层
但不知道速度比起前几版如何
回复

使用道具 举报

发表于 2009-1-30 10:08:49 | 显示全部楼层
将ghost32.exe 11.5.0.2165用upx压缩了一个传上来,以节省光盘使用的空间,从3.78M压到了1.25M
不过fly大侠说了,这种软件最好是不修改,以免意外
所以,是否下载和使用完全取决于您,使用的风险由您自己承担,呵呵

Ghost32.part1.rar

292.97 KB, 下载次数: 260, 下载积分: 无忧币 -2

Ghost32.part2.rar

292.97 KB, 下载次数: 242, 下载积分: 无忧币 -2

Ghost32.part3.rar

292.97 KB, 下载次数: 257, 下载积分: 无忧币 -2

Ghost32.part4.rar

292.97 KB, 下载次数: 228, 下载积分: 无忧币 -2

Ghost32.part5.rar

100.76 KB, 下载次数: 196, 下载积分: 无忧币 -2

回复

使用道具 举报

发表于 2009-1-30 10:50:28 | 显示全部楼层
楼上是用什么版本的UPX压缩的,我用3.03W压缩后无法运行
回复

使用道具 举报

发表于 2009-1-30 11:00:11 | 显示全部楼层
压缩后,还得再处理一下的,不然自校验过不去,在bbs.unpack.cn中有帖子
我用的也是3.03
回复

使用道具 举报

发表于 2009-1-30 11:07:27 | 显示全部楼层
原帖由 星语风 于 2009-1-30 11:00 发表
压缩后,还得再处理一下的,不然自校验过不去,在bbs.unpack.cn中有帖子
我用的也是3.03


谢谢,压缩后体积小很多
回复

使用道具 举报

发表于 2009-1-30 11:17:32 | 显示全部楼层
http://esdownload.symantec.com/akdlm/CD/MTV/Symantec_Ghost_Solution_Suite_2.5_AllWin_CS.exe
http://esdownload.symantec.com/akdlm/CD/MTV/Symantec_Ghost_Solution_Suite_2.5_AllWin_EN.exe
回复

使用道具 举报

发表于 2009-1-30 13:37:14 | 显示全部楼层
感觉还不错,下来看看.
回复

使用道具 举报

发表于 2009-1-30 13:58:35 | 显示全部楼层
有一个关键BUG一直没有解决:
命令行下,恢复来自于FAT分区的GHO,此GHO为NTFS格式,如果GUI恢复正常,仅命令行下恢复失败。

这正是“一键GHOST”等软件仍然使用11.0.2,而未采用11.5的主要原因。
回复

使用道具 举报

发表于 2009-1-30 14:26:43 | 显示全部楼层
原帖由 gmy 于 2009-1-30 13:58 发表
有一个关键BUG一直没有解决:
命令行下,恢复来自于FAT分区的GHO,此GHO为NTFS格式,如果GUI恢复正常,仅命令行下恢复失败。

这正是“一键GHOST”等软件仍然使用11.0.2,而未采用11.5的主要原因。


刚测试了,11.5.0.2165已解决这个BUG。

[ 本帖最后由 tegl 于 2009-1-30 20:26 编辑 ]
回复

使用道具 举报

发表于 2009-1-30 14:33:45 | 显示全部楼层
回楼上,还没有测试,不能肯定。
我的运行环境是VM虚拟机,C盘NTFS,E盘FAT,命令行环境是仅加裁HIMEM.SYS。第一版11.5测试过失败。现在是第三版了吧,仅从历史更新上看没有提到,不知是否解决。
回复

使用道具 举报

发表于 2009-1-30 15:14:51 | 显示全部楼层
一直打心底里抵抗非默认扩展名
当系统分区挂掉时失去恢复引导点,如果备份是我做的我知道找什么扩展名来恢复,但如果是第三人来恢复呢,这个扩展名就显得过于个性化而无从找寻,只能是系统重做了
回复

使用道具 举报

发表于 2009-1-30 15:23:20 | 显示全部楼层
原帖由 流年转换 于 2009-1-30 15:14 发表
一直打心底里抵抗非默认扩展名
当系统分区挂掉时失去恢复引导点,如果备份是我做的我知道找什么扩展名来恢复,但如果是第三人来恢复呢,这个扩展名就显得过于个性化而无从找寻,只能是系统重做了


没办法,现在的病毒喜欢删除扩展名为.GHO的文件,逼不得已啊
回复

使用道具 举报

发表于 2009-1-31 21:45:14 | 显示全部楼层
将ghost32.exe 用upx压缩节省空间......
最好是不修改,以免意外。
我也以为这样,以免意外。
回复

使用道具 举报

发表于 2009-1-31 21:50:45 | 显示全部楼层
现在的病毒喜欢删除扩展名为.GHO的文件,正解·!
打心底里支持非默认扩展名,如XPSP3.12_,呵呵!
回复

使用道具 举报

发表于 2009-1-31 21:52:13 | 显示全部楼层
原帖由 is286 于 2009-1-29 08:57 发表
想知道更新了点儿啥

就是,明明白白下载!
回复

使用道具 举报

发表于 2009-2-1 13:41:41 | 显示全部楼层
感谢分享,更新了就是好的!!!
回复

使用道具 举报

发表于 2009-2-1 14:52:29 | 显示全部楼层
原帖由 星语风 于 2009-1-30 11:00 发表
压缩后,还得再处理一下的,不然自校验过不去,在bbs.unpack.cn中有帖子
我用的也是3.03



能否直接给个帖子链接?
回复

使用道具 举报

 楼主| 发表于 2009-2-1 14:56:36 | 显示全部楼层
Ghost32.exe如何成功压缩+兼谈某些壳对CertificateTable处理
↑           
            
2008.02.08
今天是农历戊子年大年初二,fly祝福朋友们春节快乐平安如意

拜完年,再看看UnPacKcN 论坛『 悬赏问答 』版h2bx86提出悬赏引用:
[求助] 用什么软件能把GHOST11中的GHOST32.exe 压缩(可执行文件压缩)
http://www.unpack.cn/viewthread.php?tid=22062简单分析后发现一个现象,特记录如下
_____________________________________________________________
一.压缩Ghost32.exe
   
         
ghost.exe是NE,已经使用UPX V1.20压缩。ghost32.exe是PE,先用最爱的UPX来压缩吧复制内容到剪贴板代码:
upx302w.exe --best ghost32.exe
3280264 ->   1244040   37.92%    win32/pe     ghost32.exe再看看其他压缩选项复制内容到剪贴板代码:
upx302w.exe ghost32.exe
3280264 ->   1262984   38.50%    win32/pe     ghost32.exe复制内容到剪贴板代码:
upx302w.exe -9 ghost32.exe
3280264 ->   1244552   37.94%    win32/pe     ghost32.exe如果你有时间可以用这个--ultra-brute选项,呵呵,很多圈复制内容到剪贴板代码:
upx302w.exe --ultra-brute ghost32.exe
3280264 ->   1055624   32.18%    win32/pe     ghost32.exe但是程序压缩后无法运行了,貌似有检验啊

_____________________________________________________________
二.调试


但是程序貌似有检验,压缩后无法运行了
怎么办?调试啊。拿出OnlyDBG,载入加壳后的文件
BP CreateFileA 跟踪来到这里复制内容到剪贴板代码:
004AB33A    FF15 38716300   call dword ptr ds:[637138] ; kernel32.CreateFileA
004AB340    8BF0            mov esi,eax
004AB342    83C8 FF         or eax,FFFFFFFF
004AB345    3BF0            cmp esi,eax
004AB347    74 34           je short 004AB37D
004AB349    57              push edi
004AB34A    33C0            xor eax,eax
004AB34C    895D F0         mov dword ptr ss:[ebp-10],ebx
004AB34F    8D7D F4         lea edi,dword ptr ss:[ebp-C]
004AB352    AB              stos dword ptr es:[edi]
004AB353    AB              stos dword ptr es:[edi]
004AB354    8D45 F0         lea eax,dword ptr ss:[ebp-10]
004AB357    50              push eax
004AB358    53              push ebx
004AB359    56              push esi
004AB35A    FF15 D8736300   call dword ptr ds:[6373D8] ; imagehlp.ImageGetCertificateHeader
004AB360    8BD8            mov ebx,eax
//原版ImageGetCertificateHeader后返回1,而加壳版返回0
004AB362    4B              dec ebx
004AB363    F7DB            neg ebx
004AB365    1ADB            sbb bl,bl
004AB367    56              push esi
004AB368    FEC3            inc bl
004AB36A    FF15 B0706300   call dword ptr ds:[6370B0] ; kernel32.CloseHandle原版和加壳版调用ImageGetCertificateHeader后返回的数据不同,可疑啊

_____________________________________________________________
三.CertificateTable


ImageGetCertificateHeader,搜索了一下没找到详细的信息
顾名思义,是获取PE中CertificateTable信息的

用OnlyDBG打开原版ghost32.exe,数据窗口中Ctrl+G:00400000
点右键->特殊->PE文件头,查看PEHeader信息复制内容到剪贴板代码:
00400168    00000000    DD 00000000          ;  Export Table address = 0
0040016C    00000000    DD 00000000          ;  Export Table size = 0
00400170    80F82D00    DD 002DF880          ;  Import Table address = 2DF880
00400174    F0000000    DD 000000F0          ;  Import Table size = F0 (240.)
00400178    00503800    DD 00385000          ;  Resource Table address = 385000
0040017C    482F0000    DD 00002F48          ;  Resource Table size = 2F48 (12104.)
00400180    00000000    DD 00000000          ;  Exception Table address = 0
00400184    00000000    DD 00000000          ;  Exception Table size = 0
00400188    00F83100    DD 0031F800          ;  Certificate File pointer = 31F800
0040018C    88150000    DD 00001588          ;  Certificate Table size = 1588 (5512.)
00400190    00000000    DD 00000000          ;  Relocation Table address = 0
00400194    00000000    DD 00000000          ;  Relocation Table size = 0
00400198    50772300    DD 00237750          ;  Debug Data address = 237750
0040019C    1C000000    DD 0000001C          ;  Debug Data size = 1C (28.)原来ghost32.exe需要取CertificateTable数据验证
奇怪的是LordPE显示此名为Security

CFF Explorer也是显示为Security

StudPE显示为Certificate Table

_____________________________________________________________
四.解决问题


ghost32.exe的SectionAlignment=FileAlignment复制内容到剪贴板代码:
00400124    00004000    DD 00400000          ;  ImageBase = 400000
00400128    00100000    DD 00001000          ;  SectionAlignment = 1000
0040012C    00100000    DD 00001000          ;  FileAlignment = 1000
00400130    0400        DW 0004              ;  MajorOSVersion = 4
00400132    0000        DW 0000              ;  MinorOSVersion = 0
00400134    0000        DW 0000              ;  MajorImageVersion = 0
00400136    0000        DW 0000              ;  MinorImageVersion = 0
00400138    0400        DW 0004              ;  MajorSubsystemVersion = 4
0040013A    0000        DW 0000              ;  MinorSubsystemVersion = 0
0040013C    00000000    DD 00000000          ;  Reserved
00400140    00803800    DD 00388000          ;  SizeOfImage = 388000 (3702784.)
00400144    00100000    DD 00001000          ;  SizeOfHeaders = 1000 (4096.)Certificate File pointer = 31F800 ,0031F800处数据在附加数据里面

UPX压缩保留了附加数据,但是把Certificate File pointer和Size信息都清0了,因此UPX压缩后的文件验证失败而无法运行起来
因此我们把UPX压缩后的文件修正新的CertificateTable信息即可
如何修正?很简单
WinHex打开原版ghost32.exe,->转到偏移量:0031F800,复制0031F800处一行16进制数值复制内容到剪贴板代码:
0031F800   88 15 00 00 00 02 02 00  30 82 15 76 06 09 2A 86   ?......0?v..*?
0031F810   48 86 F7 0D 01 07 02 A0  82 15 67 30 82 15 63 02   H嗺....爞.g0?c.
0031F820   01 01 31 0B 30 09 06 05  2B 0E 03 02 1A 05 00 30   ..1.0...+......0
0031F830   68 06 0A 2B 06 01 04 01  82 37 02 01 04 A0 5A 30   h..+....?...燴0再用WinHex打开UPX压缩后的ghost32.exe,查找16进制值
搜索刚才复制的0031F800处数据:88150000000202003082157606092A86复制内容到剪贴板代码:
00100600   88 15 00 00 00 02 02 00  30 82 15 76 06 09 2A 86   ?......0?v..*?
00100610   48 86 F7 0D 01 07 02 A0  82 15 67 30 82 15 63 02   H嗺....爞.g0?c.
00100620   01 01 31 0B 30 09 06 05  2B 0E 03 02 1A 05 00 30   ..1.0...+......0
00100630   68 06 0A 2B 06 01 04 01  82 37 02 01 04 A0 5A 30   h..+....?...燴0搜索到00100600处,比较此处上下数据与0031F800处相同
嗯,CertificateTable找到了
用LordPE打开UPX压缩后的ghost32.exe,修改Security RVA=00100600 Size=1588

点击Save,压缩后的ghost32.exe可以运行了

但是请注意:Ghost类软件尽量少改,万一备份的系统镜像有问题就不好了。

_____________________________________________________________
五.壳对CertificateTable处理


为了这个帖子,我测试了几个压缩壳对ghost32.exe的处理
UPX、NsPacK、AsPacK、UPacK、nPack、KByS、FSG、PECompact等等,都没有处理好CertificateTable引用:
Warning:RLPack has detected a security certificate apended to file.Since this certificate will not work after file packing it will be stripped!RlPacK虽然压缩是有提示,但也没处理好

如果有壳还在继续升级,希望壳们能够处理好CertificateTable问题
好了,就这样吧
一元复始万象更新
回复

使用道具 举报

发表于 2009-2-1 15:21:10 | 显示全部楼层
原帖由 pz 于 2009-2-1 14:56 发表
Ghost32.exe如何成功压缩+兼谈某些壳对CertificateTable处理
↑           
            
2008.02.08
今天是农历戊子年大年初二,fly祝福朋友们春节快乐平安如意

拜完年,再看看UnPacKcN 论坛『 悬赏问 ...



谢谢,刚搜索到,也测试了一下,压缩成功。
回复

使用道具 举报

发表于 2009-2-2 01:19:00 | 显示全部楼层
这个速度方面不知有没有什么变化!!
回复

使用道具 举报

发表于 2009-2-15 12:37:23 | 显示全部楼层
新的又来了,下来备用吧。
回复

使用道具 举报

发表于 2009-2-17 09:26:21 | 显示全部楼层
原帖由 流年转换 于 2009-1-30 15:14 发表
一直打心底里抵抗非默认扩展名
当系统分区挂掉时失去恢复引导点,如果备份是我做的我知道找什么扩展名来恢复,但如果是第三人来恢复呢,这个扩展名就显得过于个性化而无从找寻,只能是系统重做了

那是你不会用。如上面所说查看文件大小或者alt+t第一个选项就是自动扫描,不管什么扩展名只要是gho文件就行。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|捐助支持|无忧启动 ( 闽ICP备05002490号-1 )

闽公网安备 35020302032614号

GMT+8, 2024-3-28 21:47

Powered by Discuz! X3.3

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表