破解U+v2深度隐藏，纯grub4dos启动PE

pseudo

原帖由 pseudo 于 2012-11-17 19:37 发表
...
★首个U+v2深度隐藏纯grub4dos启动PE

U+v2高端隐藏纯grub4dos启动比较简单，iso解不解开都行。

深度隐藏情形，分区表无隐藏分区信息。
经由UltraISO自家的EZBoot当能识别隐藏区，但对纯grub4dos，得处理一下才能让grub4dos识别。
方法之一是动态重建分区表，但要确保不能写U盘。

目前仅作简单粗糙的处理，暂时盘上只能放整个不解开的iso。等有时间再支持解开iso的。

0PE_NBv1.4.3(2012-11-12)只开个头，表明深度隐藏完全可以对付。
后面自会有高人给出更完善、通用的方案。我坐等现成的，呵呵。
...

---------------------------------------------------------------------------------------------
0PE_NBv1.4.4(2012-11-20)已支持任意U+选项，0PE.ISO解开、不解开、半解开随意。

深度隐藏已“破解”。预期稍后所有PE都轻松支持深度隐藏。到时启动深度隐藏PE就是小儿科，大家都不用提了。


首个U+v2深度隐藏纯grub4dos启动PE

U+v2高端隐藏纯grub4dos启动比较简单，iso解不解开都行。

深度隐藏情形，分区表无隐藏分区信息。
经由UltraISO自家的EZBoot当能识别隐藏区，但对纯grub4dos，得处理一下才能让grub4dos识别。
方法之一是动态重建分区表，但要确保不能写U盘。

目前仅作简单粗糙的处理，暂时盘上只能放整个不解开的iso。等有时间再支持解开iso的。

0PE_NBv1.4.3(2012-11-12)只开个头，表明深度隐藏完全可以对付。
后面自会有高人给出更完善、通用的方案。我坐等现成的，呵呵。
---------------------------------------------------------------------------------------------
0PE_NBv1.4.4(2012-11-20)已支持任意U+选项，0PE.ISO解开、不解开、半解开随意。

★破解U+v2深度隐藏，纯grub4dos启动PE原理


QUOTE:
原帖由 zds1210 于 2012-11-20 20:48 发表
测试了一下，真支持U+V2深度隐藏区啊。哈哈。不错。希望能把技术共享一下。


先打广告：
0PE支持任意U+选项。跟ud一样，隐不隐藏不用提了，内置外置更不用提。快是必须的。
0PE无论放在那里，都可以一个grldr加一个0PE.ISO（其中0PE.ISO可以整体不解开使用，也可全解开、半解开），非常清爽、统一。

非深度隐藏，例如高端隐藏很简单，这里不提。下面介绍实现纯grub4dos启动U+v2深度隐藏PE的原理。

深度隐藏情形，分区表无隐藏分区信息。
经由UltraISO自家的EZBoot当能识别隐藏区，但对纯grub4dos，得处理一下才能让grub4dos识别。方法之一是重建分区表。

将iso以U+v2深度隐藏写入U盘，用diskgenius、winhex查看U盘，可看到分区表中隐藏分区对应的分区表项16字节被清零。我想，EZBoot要能找回分区，其分区信息必然藏在盘上某处。结果，发现第97扇区末，有疑似分区表项的数据。把数据填入第一扇区分区表中被清零的分区表项处，完成分区表重建，隐藏分区就找回来了，其上文件、目录都能正常访问，是个普通fat16分区。
破解完成，没想到那么容易。如果这样不够准确，以后改进就行，原理是一样的。

剩下的问题是如何在不改动分区表前提下，启动隐藏区里的PE。

方法之一是动态重建分区表，大致思路是：

1、构造含物理盘元数据(分区表、文件分配表等)的虚拟盘
2、改虚拟盘分区表
3、g4d正常访问虚拟盘，获取盘上相关文件元数据
4、按元数据访问物理盘，获取相关文件内容

0PE_NBv1.4.3(2012-11-12)版实现了这种方式。但此方式复杂，或者说走了弯路。经不点大人点拨，改为以下不重构分区表的方式：

1、找到隐藏分区的分区表项信息（第97扇区末）
2、解析分区表项，得到分区起始扇区、总扇区数等信息
3、将隐藏区映射为一个虚拟软盘
4、直接访问虚拟软盘上的文件，启动PE

0PE_NBv1.4.4(2012-11-20)实现了此方式启动PE。
核心grub4dos代码：

[Copy to clipboard] [ - ]
CODE:

dd if=(hd0)96+1 of=(md)768+1 bs=1 count=8 skip=502
set /a pe=*393216 && set /a ps=*393220
map (128)%pe%+%ps% (17)
map --hook
rootnoverify (17)
#now you can load PE from (fd17)
...


此法及其核心代码也适用于其它PE。
预期稍后所有PE都轻松支持深度隐藏。到时启动深度隐藏PE就是小儿科，大家都不用提了。


顺便说一下错位问题。

隐藏区在U盘开头位置，可见区在隐藏区之后。隐藏区、可见区分别是U盘的第一、二分区。
但分区表中第一个分区表项却是可见区的信息，即以可见区为第一分区。
这本身就是错位的。
有人发现某些场合下隐藏区、可见区会被互换，可能与此有关。其实互换有理，换了才是顺的。

那为什么UltraISO要让它错位呢？我想是因为

第一，既然要抹掉本该在第一分区表项的信息，那么本该在第二分区表项的信息还是前移吧，免得前面空着。
况且windows对多硬盘分区的U盘一般也只显示一个分区，可见区放在第二项，没试过能否显示。
所以可见区的分区信息填在第一分区项是自然的。

第二，隐藏区得是真正的第一分区，即必须在U盘前部，否则可能启动不了。因为有的BIOS只能读取磁盘前部的数据。
有的网友向UltraISO作者提议将隐藏区后置，使U盘开头是可见区，后面才是隐藏区。那是不切实际的。

总之，UltraISO必须这么错位一下。


请大家测试一下：
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=270705&extra=page%3D1

[ 本帖最后由 zds1210 于 2012-12-3 10:32 编辑 ]

pseudo

只是用常见工具作了压缩，没加密。

如果常见工具打不开，那一般是因为工具版本不当。
如果遇到所有版本都不行的，可提出来大家讨论。

pseudo

回复 #14 2010ihotte 的帖子
您好像没注意看帖哦。

深度、高端隐藏是U+的概念，跟ud不好并存于一个u盘吧。

回复 #15 hero8000 的帖子
U+已无技术障碍，还提“工具”这个词就表示您有点out了。

[ 本帖最后由 pseudo 于 2012-11-27 15:19 编辑 ]

pseudo

那几乎可以说与U+无关了。
那么问题转化为grub4dos和Ubuntu是否识别那个隐藏区。

grub4dos功能强，容易设法识别隐藏区，所以启动前期(实模式阶段)不成问题。
但后期（保护模式阶段），取决于Ubuntu是否直接或间接地识别隐藏区。不识别的话就只能启动到一半。

[ 本帖最后由 pseudo 于 2012-11-27 21:50 编辑 ]

pseudo

您可以试试#1楼给出的PE，UltraISO打开0pe.iso，直接hdd+v2深度隐藏写入。

然后启动进PE，在PE里以windows资源管理器为工具更新u盘内容（盘符u:），看看这样是否符合您的需求。
我想不出更新还需要什么工具比windows资源管理器更方便。

只要不动grldr文件位置，不增大u:盘空间，这种更新预期没问题。甚至动grldr文件也未必有问题。

当然我没实际试过。您有需求和兴趣的话似乎值得一试。

pseudo

要预留大空间也不用等别人推出什么工具。

一个土办法是先加些垃圾文件到0pe.iso，用大iso制作启动u盘。
进pe后再删垃圾，u:盘不就有剩余空间了么。
删除后必要时整理磁盘碎片。

pseudo

原帖由 pseudo 于 2012-11-28 14:12 发表
您可以试试#1楼给出的PE，UltraISO打开0pe.iso，直接hdd+v2深度隐藏写入。
然后启动进PE，在PE里以windows资源管理器为工具更新u盘内容（盘符u:） ...

原帖由 hero8000 于 2012-11-29 10:04 发表
...经过测试，确实无法查看文件，进入PE也无法查看，无法直接通过资源管理器更新。...

您看到#1楼图片美女帅哥字样了吗？

如果没有，可能您没按#21楼所说去制作，建议核对一下。

如果您看到美女帅哥了，但没看到u:盘，那可能是我的处理有bug。
等其他网友也有同样反馈，问题会得到处理。

迄今在原理上没觉得还有什么难题。

[ 本帖最后由 pseudo 于 2012-11-29 14:12 编辑 ]

pseudo

#23楼您说的是
USB-HDD+ V2,深度隐藏
#30楼的图则是
USB-ZIP+ V2,深度隐藏
您意思是不管HDD还是ZIP都能启动码？

pseudo

我想了解，您#23楼提到的pe的iso，
已经在某个（不必所有）主板上支持直接以USB-HDD+ V2（非usb-fdd+v2）、深度（非高端）隐藏方式写入，
并正常启动了吗？
当然，从您前面多个回帖给出的资料看，是该作肯定推断，但那样推断有点不严密。

[ 本帖最后由 pseudo 于 2012-11-29 20:05 编辑 ]

pseudo

原帖由 hero8000 于 2012-11-29 14:17 发表
...刚刚用实体机测试，可以看到文件，而且在里面建立了一个空文件，证明是可以访问的。 ...

嗯，您有了成功的例子，说明有可行性。
其它我们就不深究啦。

pseudo

对于您#23楼链接的帖子提供的2003PE.ISO

以USB-FDD+V2深度隐藏方式写入，您试过是没问题的。

但USB-HDD+V2深度隐藏您还没提供成功启动的例子。
貌似zds1210兄弟试的结果是USB-HDD+V2高端隐藏成功，USB-HDD+V2深度隐藏没成功。

期待谁有机器，能提供一个USB-HDD+V2深度隐藏成功实例。

pseudo

原帖由 2010yg 于 2012-11-29 20:15 发表
...也用你的0PE_NBv1.4.4(2012-11-20)2in1_89MB测试以USB-ZIP+ V2深度隐藏写2G的U盘...

谢谢您提供了一个zip的例子。