基于HPA技术的清华同方急救中心的改造 GHOST恢复系统

xhwfq

也来凑个热闹:
hpa分区用ulockhpa -u -c解锁后,再运行grub加载其它映像,就变得可见了.这时最担心的就是无意或有意的破坏.一个最简单的方法就是:
fakecd a:\ /l:x >nul (其中x为hpa所在的盘符),这样x盘的内容就与虚拟A盘一样了,从而实现对X盘内容的隐藏,但不影响ghost操作.当然,这只能骗骗菜鸟.

wang6610

原帖由 阿文 于 2006-11-6 08:27 PM 发表
对了，这个软件是可以精简的，我精简到了7MB，安装成功。官方说可能不支持137G以上硬盘，
这个就要找找新版了，大家找到没有啊？并且支持大SATA才行啊

3.1是最新的了吧?

老毛桃

原帖由 xhwfq 于 2006-11-6 20:55 发表
也来凑个热闹:
hpa分区用ulockhpa -u -c解锁后,再运行grub加载其它映像,就变得可见了.这时最担心的就是无意或有意的破坏.一个最简单的方法就是:
fakecd a:\ /l:x >nul (其中x为hpa所在的盘符),这样x盘的内容 ...

这个就相当于 DOS 中的 Subst 的功能了啊。

在 Linux.img 中设置上启动密码，要求输入密码正确才可以进入，当然 DOS 本身没有校验密码的功能，能写出校验的批处理，也不过十座座幌子，不过话又说回来，既然能够懂得绕过批处理执行，也未必是菜鸟。

就算他不是菜鸟，又想搞破坏，也有办法，将 Grub 的配置菜单设置上密码（或者将密码写入 Grub 文件内部），要么输入密码进入维护系统，比如 PE 或者安装在 HPA 分区中的 Windows 系统，或者 HPA 中的其它软盘镜像，要么就是重启或者关机；连启动 (HD0,0) 上的 Windows 选项都必须设置密码，这是显而易见的，因为这时候启动到 (HD0,0) 上的 Windows 的话，什么“保护”都显得那么无力了！

xhwfq

原帖由 老毛桃 于 2006-11-6 09:07 PM 发表

这个就相当于 DOS 中的 Subst 的功能了啊。

在 Linux.img 中设置上启动密码，要求输入密码正确才可以进入，当然 DOS 本身没有校验密码的功能，能写出校验的批处理，也不过十座座幌子，不过话又说回来，既然能 ...

更菜的破坏办法是:在windows下,运行SCOPK.exe

老毛桃

原帖由 xhwfq 于 2006-11-6 21:20 发表

更菜的破坏办法是:在windows下,运行SCOPK.exe

需要管理员权限才可以执行的吧，况且这样的工具完全可以删除，或者放到更加安全的地方啊

qdaijchf

由于LINUX.IMG的内核决定了HPA分区的脆弱性。因为进入经改造的HPA分区，LINUX.IMG的内核必须是DOS系统，要进入HPA分区，必须运行ULOCKHPA，要启动HPA分区中的系统，必须启动GRUB。无论怎样加密，无论怎样虚拟，A盘也好，B盘也好，都能轻而易举地绕过障碍，破坏HPA分区。

假设不用软盘、U盘、光盘启动，因为这样更容易破坏HPA分区。假设仅仅利用HPA系统本身就能搞掉HPA。按Ctrl+/，首先启动的是DOS系统，再 ulock，再虚拟，再密码，再grub，再密码，再启动HPA内的系统或可见分区中的系统。我只要按Ctrl+/，几乎同时再按F5键，就直接进入纯DOS，进入了纯DOS，就能del autoexec.bat，就能ulock，再能grub --config-file="root (fd0);chainloader +1;boot"再一次引导LINUX.IMG中的DOS，然后再进入卷标为HIDDENDRIVE的HPA分区，再 del *.*，再进入C 、D、E、F……，再del *.*，一切都完了。

建议作如下改进：
LINUX.IMG内核改成GRUB，也就是改成必须输入GRUB密码的GRUB引导盘，而不是DOS引导盘。或者这样说，首先输入GRUB密码启动GRUB，然后通过GRUB引导LINUX.IMG中的DOS系统，LINUX.IMG中再加入GRUB4DOS，接下来再……

老毛桃

原帖由 qdaijchf 于 2006-11-6 21:51 发表
建议作如下改进：
LINUX.IMG内核改成GRUB，也就是改成必须输入GRUB密码的GRUB引导盘，而不是DOS引导盘。或者这样说，首先输入GRUB密码启动GRUB，然后通过GRUB引导LINUX.IMG中的DOS系统，LINUX.IMG中再加入GRUB4DOS，接下来再……

这是个好方法，要测试也相当简单，仅仅测试 Linux.IMG 即可，虚拟机中可以完成这些任务。

改天有空再啃一啃 Grub 相关的帖子，看看怎么整

qdaijchf

经试验，把31D35改成31D22，按Ctrl+b能启动HPA系统。等到loading……后，分别在DOS和 windows中用PQ 、PM，包括 windows磁盘管理中，都未发现HPA分区，磁盘总容量也相应减少了。说明可以更改启动热键，但不可以删除这个文件，删除后HPA分区就无法锁住，在 windows中回来的这个分区可见但无法打开，变成了未格式化的了。

该睡觉了，各位晚安！做个好梦！美梦成真！

[ 本帖最后由 qdaijchf 于 2006-11-6 10:11 PM 编辑 ]

老毛桃

原帖由 qdaijchf 于 2006-11-6 22:05 发表
经试验，把31D35改成31D22，按Ctrl+b能启动HPA系统。等到loading……后，分别在DOS和 windows中用PQ 、PM，包括 windows磁盘管理中，都未发现HPA分区，磁盘总容量也相应减少了。说明可以更改启动热键，但不可以删除这个文件，删除后HPA分区就无法锁住，在 windows中回来的这个分区可见但无法打开，变成了未格式化的了。

该睡觉了，各位晚安！做个好梦！美梦成真！

啊？睡了啊？先别呀，告诉你我的直接启动 Grub 的软盘镜像做好了

chenshipeng

原帖由 老毛桃 于 2006-11-6 10:30 PM 发表

啊？睡了啊？先别呀，告诉你我的直接启动 Grub 的软盘镜像做好了

可以传上来共享一下吗？谢谢。

jinyan

原帖由 老毛桃 于 2006-11-5 07:51 PM 发表
嘿嘿，刚刚又发现，loading ... 和 “正在初始化” 等字样也可以修改掉，甚至可以修改 LINUX.IMG 的文件名

我试过了，不行啊，你是怎样做的啊

老毛桃

原帖由 chenshipeng 于 2006-11-6 23:16 发表



可以传上来共享一下吗？谢谢。

可以成功启动，不过需要完善一下，两个配置文件，menu.lmt 对应 UnLock 前的，menu.hpa 则是 UnLock 后的，密码为 maotao

按下热键后直接进入了 Grub 界面，输入正确的密码，启动 Linux.img 中的 IO.SYS，然后。。。

注:autoPass.bat 是在 DOS 中需要输入密码的批处理，改名成 Autoexec.bat 即可

menu.lmt 是一开始启动时，Grub 程序（mtldr）读取的菜单配置文件

menu.hpa 是 HPA 分区激活后，Grub 程序（Grub.exe）读取的菜单配置文件

只要在 menu.lmt 中设置了菜单项密码和全局密码，就安全多了

jinyan

原帖由 wang6610 于 2006-11-6 08:55 PM 发表


3.1是最新的了吧?

据说是3.15版
http://www.thtfpc.com.cn/neibu/x ... nload/200606063.iso

qdaijchf

再提供一个科学幻想，希望成为现实。

把windows安装进HPA分区，启动时离不开可见分区中的C盘，因为HPA分区不是主分区。能不能把可见分区C盘中的一些必要的启动文件放进IMG文件中，再放进HPA分区，把它叫做PRIC.IMG。

启动时用grub先把PRIC.IMG仿真成被激活的主分区C盘，然后启动HPA分区系统。

嘿嘿，空想而已。

老毛桃

原帖由 qdaijchf 于 2006-11-7 07:45 发表
把windows安装进HPA分区，启动时离不开可见分区中的C盘，因为HPA分区不是主分区。能不能把可见分区C盘中的一些必要的启动文件放进IMG文件中，再放进HPA分区，把它叫做PRIC.IMG。

启动时用grub先把PRIC.IMG仿真成被激活的主分区C盘，然后启动HPA分区系统。

嘿嘿，空想而已。

可以确切的说，不是空想，完全可以实现的，可以先启动 HPA 分区中的 Linux.IMG，直接引导到 Grub 界面，这个我已经实现了。

在 Grub 界面中，输入正确的密码，加载 Linux.IMG 中的 IO.SYS，从而引导到 DOS7.0（Win98）。这个我也已经实现了。

然后通过 Autoexec.bat 的运行，将 HPA 分区 Unlock，并运行 Grub.EXE，读取 HPA 分区中的菜单配置文件 MENU.HPA。这个我也已经实现了。

再下一步，可以使用 Grub 启动放在 HPA 分区中的一个虚拟硬盘的镜像，可以做的很小（Virtual PC 能做出 3MB 大小的硬盘镜像），这个虚拟硬盘当然必须是主分区，并且支持 NTLoader，好了，下面的事就好办了。。。

老毛桃

原帖由 老毛桃 于 2006-11-7 08:26 发表

可以确切的说，不是空想，完全可以实现的，可以先启动 HPA 分区中的 Linux.IMG，直接引导到 Grub 界面，这个我已经实现了。

在 Grub 界面中，输入正确的密码，加载 Linux.IMG 中的 IO.SYS，从而引导到 DOS7. ...

我晕，自己说了一大堆，发现有产生一个念头，就是直接将 Linux.IMG 换成硬盘镜像，不知道行不行，倒是没有测试，现在在单位。。。

qdaijchf

看来老毛桃又有事干了。

等你把这事解决了，我再来一个科学设想。

老毛桃

非常抱歉，启动 HPA 分区中的虚拟硬盘镜像失败。我已经将虚拟硬盘中的引导默认文件名 ntldr 改名了，boot.ini 也改名了，不管用。

可能是我的 Grub 没有学到家，不知道再深一步的操作。等会试试 BCDW 可不可以办得到

qdaijchf

不急，不急，慢慢研究。

有空我也得好好学习一下GRUB的使用。

chenall

启动HPA上的系统应该没有什么问题吧.不知上面所说的主分区限制不知具体是什么限制?
我的HPA分区根目录下有NTLDR BOOT.INI bootfont.bin NTDETECT.COM
这几个NT的启动文件,直接在GRUB下
chainloader /ntldr
可以正常启动菜单显示的是HPA分区上BOOT.INI的内容.接下来启动系统应该不是问题啊.

我的HPA分区是扩展分区.FAT32格式的.

老毛桃

原帖由 chenall 于 2006-11-7 10:55 发表
启动HPA上的系统应该没有什么问题吧.不知上面所说的主分区限制不知具体是什么限制?
我的HPA分区根目录下有NTLDR BOOT.INI bootfont.bin NTDETECT.COM
这几个NT的启动文件,直接在GRUB下
chainloader /ntldr
可 ...

其实你被骗了，它真正运行的是你硬盘的第一主分区上的 NTLDR，配置的文件也是那里的 Boot.ini，不信你将两个 Boot.ini 的内容改成不一样的，再看看

chenall

我两个BOOT.INI不一样.
启动的确实是HPA分区上的BOOT.INI

qdaijchf

原帖由 chenall 于 2006-11-7 11:50 AM 发表
我两个BOOT.INI不一样.
启动的确实是HPA分区上的BOOT.INI

把第一主分区中的 NTLDR BOOT.INI  bootfont.bin  NTDETECT.COM全删除（试完后从回收站还原），再试一下，到底是不是HPA分区中的文件在起作用？马上见分晓。

[ 本帖最后由 qdaijchf 于 2006-11-7 12:07 PM 编辑 ]

xiaoy

打扰一下，我刚把315下载完成    精简了些传上来与大家分享
FTP://bscx:bscx@61.161.83.202/bscx/软件类/特别专区/hpa315.rar
我还没有试，应该可用！

[ 本帖最后由 xiaoy 于 2006-11-7 12:10 PM 编辑 ]

chenall

我已经将原主分区的那几个启动文件删除,再试还是可以启动成功,使用的是HPA分区上的BOOT.INI菜单.

老毛桃

原帖由 xiaoy 于 2006-11-7 12:07 发表
打扰一下，我刚把315下载完成    精简了些传上来与大家分享
FTP://bscx:bscx@61.161.83.202/bscx/软件类/特别专区/hpa315.rar
我还没有试，应该可用！

我还没有搞清楚楼主提供的那个版本是多少，也没有仔细检查，不知道可否告知。

另外，楼上兄弟的这个版本相对于楼主的版本来说，到底有哪些变化或改进呢？

老毛桃

原帖由 chenall 于 2006-11-7 12:10 发表
我已经将原主分区的那几个启动文件删除,再试还是可以启动成功,使用的是HPA分区上的BOOT.INI菜单.

我倒！

那可否将那个 HPA 分区上的 Boot.ini 贴出来看看？

chenall

注:
我的HPA分区里面的内容是使用GHOST恢复过去的.
这个GHO文件之前是一个扩展分区,里面放一些维护工具.一直使用正常,内置的BOOT.ini启动菜单也可以使用.
这个维护工具分区的GHO文件311MB.

文件太大了要不然就传上来研究一下.
boot.ini内容.

1. 
   
2. [boot loader]
   
3. timeout=10
   
4. default=c:\chldr
   
5. 
   
6. [operating systems]
   
7. multi(0)disk(0)rdisk(0)partition(0)\WINDOWS="第一分区上的NT系统(c:\windows)" /fastdetect
   
8. multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="第二分区上的NT系统(c:\windows)" /fastdetect
   
9. multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="第三分区上的NT系统(c:\windows)" /fastdetect
   
10. multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="当前分区(C:\WINDOWS)" /fastdetect
    
11. multi(0)disk(0)rdisk(0)partition(0)\WINNT="第一分区上的NT系统(WINNT)" /fastdetect
    
12. multi(0)disk(0)rdisk(0)partition(1)\WINNT="第二分区上的NT系统(WINNT)" /fastdetect
    
13. multi(0)disk(0)rdisk(0)partition(2)\WINNT="第三分区上的NT系统(WINNT)" /fastdetect
    
14. multi(0)disk(0)rdisk(0)partition(3)\WINNT="当前分区(C:\WINNT)" /fastdetect
    
15. c:\chldr="GRUB 多功能引导菜单"
    

复制代码

附件是我的HPA分区中的启动文件.

[ 本帖最后由 chenall 于 2006-11-7 12:25 PM 编辑 ]

老毛桃

原帖由 chenall 于 2006-11-7 12:22 发表
注:
我的HPA分区里面的内容是使用GHOST恢复过去的.
这个GHO文件之前是一个扩展分区,里面放一些维护工具.一直使用正常,内置的BOOT.ini启动菜单也可以使用.
这个维护工具分区的GHO文件311MB.

文件太大了要不然 ...

我只想看看你的 HPA 分区中的 BOOT.INI 是怎么写的。另外，你将这两个文件放到你的 HPA 分区看看。将他们放到你的 HPA 分区的根目录，然后将 HPA 分区的 NTLDR 和 boot.ini 删除，包括主分区的 ntldr、boot.ini 也要去掉（或者改名）。

再使用 Grub 加载我提供的 msldr，看看会不会出现启动菜单。我现在在单位，没法测试，先谢谢了。如果成功的话，这将会是一个极好的消息

老毛桃

原帖由 chenall 于 2006-11-7 12:22 发表
注:
我的HPA分区里面的内容是使用GHOST恢复过去的.
这个GHO文件之前是一个扩展分区,里面放一些维护工具.一直使用正常,内置的BOOT.ini启动菜单也可以使用.
这个维护工具分区的GHO文件311MB.

文件太大了要不然 ...

我晕，你的 boot.ini 怎么这么多项？

1. [boot loader]
   
2. timeout=10
   
3. default=c:\chldr
   
4. 
   
5. [operating systems]
   
6. multi(0)disk(0)rdisk(0)partition(0)\WINDOWS="第一分区上的NT系统(c:\windows)" /fastdetect
   
7. multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="第二分区上的NT系统(c:\windows)" /fastdetect
   
8. multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="第三分区上的NT系统(c:\windows)" /fastdetect
   
9. multi(0)disk(0)rdisk(0)partition(3)\WINDOWS="当前分区(C:\WINDOWS)" /fastdetect
   
10. multi(0)disk(0)rdisk(0)partition(0)\WINNT="第一分区上的NT系统(WINNT)" /fastdetect
    
11. multi(0)disk(0)rdisk(0)partition(1)\WINNT="第二分区上的NT系统(WINNT)" /fastdetect
    
12. multi(0)disk(0)rdisk(0)partition(2)\WINNT="第三分区上的NT系统(WINNT)" /fastdetect
    
13. multi(0)disk(0)rdisk(0)partition(3)\WINNT="当前分区(C:\WINNT)" /fastdetect
    
14. c:\chldr="GRUB 多功能引导菜单"

复制代码

难道还有其他的分区中存在 ntldr 或者其他分区也为主分区？