[求助，非高手勿进！！]如何在win下直接显示PQ隐藏过的分区？

歌理 · 发表于 2008-6-8 23:27:28

都知道，隐藏分区有多种方法谁，用PQ或其他软件，在DOS或WIN下，修改分区表标志，可以达到隐藏目的。
用这个方法隐藏的分区，一般情况下，若要显示，用上述软件修改后，必须重启，才能在WIN下显示。

以上问题不是关键，我也知道。

刚才，试用了，DiskGenius.exe，真是高手，它能在不重启的情况下，随意隐藏或显示经过PQ在DOS下隐藏的分区！！

我试过好几种，包括DIskpart,也监视了它的注册表变动记录，但是还是不知道它的工作原理。

有哪位高手，告诉我它的工作原理，或者写了哪几注册表项（我分析它对注册表的改动，没有规律，该程序没有命令行方式）

我刚好这方面的要求，如在WIN下显示如一键还原精灵的隐藏分区

如果我知道它的工作原理或注册表规律，我想写个命令行程序，一定给大家分享。

（另外，我怀疑DISKpart是否不公开的命令，可以隐藏或显示分区）

期待。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。。

歌理 · 发表于 2008-6-9 01:14:17

邦一下，以下是从隐藏状态-显示的变化：

注册表报告

花费了 10 毫秒

已删除键
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\#{b3186b54-3556-11dd-8f34-0003ff3a7957}
键值: 类型: REG_BINARY 长度: 12 (0xc) 字节
C3 9E C3 9E 00 7A 09 FA 00 00 00 00             |  .....z......
--------------
位置总数: 1

已修改键
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed
新: 类型: REG_BINARY 长度: 80 (0x50) 字节
000000: 1A 56 64 9F 42 F0 70 DE CB 5F 47 24 D8 FB 58 32 |  .Vd.B.p.._G$..X2
000010: 6C 49 E2 91 60 72 65 D2 DD F7 AC A6 08 42 FC 1B |  lI..`re......B..
000020: E9 0F 0E A3 48 CF 10 A3 40 B6 06 C5 C4 A0 C1 8A  |  ....H...@.......
000030: F7 3B B8 9B FD BA 28 42 82 FD 61 6F 26 B1 49 18 |  .;....(B..ao&.I.
000040: C8 6B 1B CC C6 6C B8 E1 3A 67 0E 5D C8 5A FF EE |  .k...l..:g.].Z..
旧: 类型: REG_BINARY 长度: 80 (0x50) 字节
000000: ED 8B 73 D3 B2 E7 A2 77 62 B3 A6 4E 30 4E BA 99 |  ..s....wb..N0N..
000010: CD 62 E7 46 B4 95 D9 0E BC AA CA 56 2D 49 A2 F9 |  .b.F.......V-I..
000020: EF 52 DA 82 B9 B3 8F A1 52 1D 18 2D 09 9C 64 8A  |  .R......R..-..d.
000030: DC 81 D8 96 86 FD 59 A4 D7 F3 69 DB 7E 19 EB EC |  ......Y...i.~...
000040: 53 C2 79 65 CB 48 EE 24 FC E6 BA B1 86 3C 9D 2B |  S.ye.H.$.....<.+
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed
新: DWORD: 111 (0x6f)
旧: DWORD: 109 (0x6d)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful
新: DWORD: 59 (0x3b)
旧: DWORD: 58 (0x3a)
--------------
位置总数: 3

新建键
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\\DosDevices\G:
键值: 类型: REG_BINARY 长度: 12 (0xc) 字节
C3 9E C3 9E 00 7A 09 FA 00 00 00 00             |  .....z......
--------------
位置总数: 1

[ 本帖最后由歌理于 2008-6-9 01:41 AM 编辑 ]

歌理 · 发表于 2008-6-9 01:15:01

以下是从显示------隐藏的表

注册表报告

花费了 10 毫秒

已删除键
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\\DosDevices\G:
键值: 类型: REG_BINARY 长度: 12 (0xc) 字节
C3 9E C3 9E 00 7A 09 FA 00 00 00 00             |  .....z......
--------------
位置总数: 1

已修改键
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\CPC\Volume\{93b25aa0-353b-11dd-8f30-0003ff3a7957}\Generation
新: DWORD: 13 (0xd)
旧: DWORD: 12 (0xc)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed
新: 类型: REG_BINARY 长度: 80 (0x50) 字节
000000: 15 AF BC C1 E1 99 AF 53 65 C3 58 2D 45 62 B8 80 |  .......Se.X-Eb..
000010: C1 D0 51 A2 1B 6D 6A 63 0B 84 6E EC 30 93 0B DD |  ..Q..mjc..n.0...
000020: CD 84 75 03 A0 1F DB C2 5A 0A 6D 63 76 03 6D 24 |  ..u.....Z.mcv.m$
000030: 7E AE FC 48 47 38 68 B5 76 02 A4 4D 9E 7D 2C 0D |  ~..HG8h.v..M.},.
000040: EF 8D 4F 07 14 59 7A 58 A2 06 A9 49 1C B9 C6 1E |  ..O..YzX...I....
旧: 类型: REG_BINARY 长度: 80 (0x50) 字节
000000: 4C 18 9B DB 93 D4 8F C4 65 5C E3 30 D6 CE 4E BB |  L.......e\.0..N.
000010: 09 1A 93 60 7B C3 10 E4 D4 D3 32 00 0A C9 AC 67 |  ...`{.....2....g
000020: 0A C6 E7 57 1A 36 67 E8 7C 17 2C 71 79 AE A2 30 |  ...W.6g.|.,qy..0
000030: 9E 13 65 EA A6 B0 2C 4D 5D EB A9 83 70 46 CD 50 |  ..e...,M]...pF.P
000040: 0F 61 0D 00 51 7C 59 52 16 0D E0 7B DC 33 8E 4D |  .a..Q|YR...{.3.M
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesProcessed
新: DWORD: 103 (0x67)
旧: DWORD: 101 (0x65)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher\TracesSuccessful
新: DWORD: 57 (0x39)
旧: DWORD: 56 (0x38)
--------------
位置总数: 4

新建键
HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\#{b3186b52-3556-11dd-8f34-0003ff3a7957}
键值: 类型: REG_BINARY 长度: 12 (0xc) 字节
C3 9E C3 9E 00 7A 09 FA 00 00 00 00             |  .....z......
--------------
位置总数: 1

[ 本帖最后由歌理于 2008-6-9 01:41 AM 编辑 ]

歌理 · 发表于 2008-6-9 01:18:00

另外说明，经监视，

1、没有任何文件变化，

2、分区表隐藏标志被写了（用diskpart,可以看出，是否隐藏），用计算机磁盘管理也看见改变了。（回到DOS，用PQ查看，也是改变了）

（我的是G盘）

哪位高手邦分析一下

[ 本帖最后由歌理于 2008-6-9 01:20 AM 编辑 ]

歌理 · 发表于 2008-6-9 01:58:30

经试验，

HKEY_LOCAL_MACHINE\SYSTEM\MountedDevices\\DosDevices\G:
键值: 类型: REG_BINARY 长度: 12 (0xc) 字节
C3 9E C3 9E 00 7A 09 FA 00 00 00 00
此键值是能否在win下隐藏是否，其值域可由Diskpart自动生成。

现在关键问题，已经不是注册表，而是修改分区表后，如何能不重启，而让WINDOWS自动刷新？？

有谁知道WINDOWS （XP、VISTA）自动刷新的命令（相当于重启，当然不能重启）的命令是什么？

netwinxp · 发表于 2008-6-9 02:03:06

还改分区表项那么啰嗦，直接用123的showdriver就可以了，楼主想过头了。

[ 本帖最后由 netwinxp 于 2008-6-9 02:07 AM 编辑 ]

lianjiang · 发表于 2008-6-9 07:23:15

原帖由 netwinxp 于 2008-6-9 02:03 AM 发表
还改分区表项那么啰嗦，直接用123的showdriver就可以了，楼主想过头了。

似乎不支持带参数运行。有的话就好了。

歌理 · 发表于 2008-6-9 10:29:27

原帖由 netwinxp 于 2008-6-9 02:03 AM 发表
还改分区表项那么啰嗦，直接用123的showdriver就可以了，楼主想过头了。

能说详细点吗，或者给个链接？

netwinxp · 发表于 2008-6-9 11:19:53

http://bbs.wuyou.net/forum.php?mod=viewthread&tid=115906&highlight=
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=114684&highlight=
http://bbs.wuyou.net/forum.php?mod=viewthread&tid=122034

[ 本帖最后由 netwinxp 于 2008-6-9 11:25 AM 编辑 ]

歌理 · 发表于 2008-6-9 12:11:13

非常感谢！！
这么好的软件，这么多高手，以前怎么就没发现？

netwinxp · 发表于 2008-6-9 13:00:05

多看看帖(含烙铁)，少顶帖就会发现很多，现在大多数人喜欢YY现成品，所以很多有技术含量的帖子沉得很深。

歌理 · 发表于 2008-6-9 15:37:29

原帖由 netwinxp 于 2008-6-9 01:00 PM 发表
多看看帖(含烙铁)，少顶帖就会发现很多，现在大多数人喜欢YY现成品，所以很多有技术含量的帖子沉得很深。

有道理！！
SHOWDRIVE对我判断隐藏分区是否有文件非常的有用！
如果作者能提供个参数，关闭隐藏分区显示（即回到运行SHOWDRIV之前状态），那更加好了！

[ 本帖最后由歌理于 2008-6-9 03:45 PM 编辑 ]

netwinxp · 发表于 2008-6-9 15:55:40

断开映射磁盘把第三个参数设置为NULL，如果你熟悉VC的话，可以自行添加参数，把该功能加进去。

syncyao · 发表于 2008-6-11 09:32:27

请问楼主的注册表监视器是什么软件
我一直没有找到好的监视软件
推荐下吧

lxl1638 · 发表于 2008-6-11 12:20:46

原帖由歌理于 2008-6-8 11:27 PM 发表
都知道，隐藏分区有多种方法谁，用PQ或其他软件，在DOS或WIN下，修改分区表标志，可以达到隐藏目的。
用这个方法隐藏的分区，一般情况下，若要显示，用上述软件修改后，必须重启，才能在WIN下显示。

以上问 ...

低手路过：

┣━━┿━━┿━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┫
┃ │格式│EJEC [C-|U-|R:]                                                                            ┃
┃ ├──┼──────────────────────────────────────────────┨
┃ │功能│移除或弹出指定的USB或CDROM驱动器；本命令的功能未完善。                                     ┃
┃ ├──┼──────────────────────────────────────────────┨
┃ │参数│■参数"C-"将弹出所有可能的光驱的光盘；参数"U-"将移除所有可能的USB磁盘。                   ┃
┃EJEC│ │■参数"R:"将弹出或移除指定盘符的光驱或USB磁盘；省略参数会弹出或移除所有可能的光驱或USB磁盘。┃
┃ ├──┼──────────────────────────────────────────────┨
┃ │示例│EJEC 或 EJEC C- 或 EJEC U- 或 EJEC H:                                                    ┃
┃ ├──┼──────────────────────────────────────────────┨
┃ │备注│※本命令可以在命令行下使用。                                                             ┃
┣━━┿━━┿━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┫
┃ │格式│SHOW [硬盘号|标识符][:分区号],[盘符]                                                       ┃
┃ ├──┼──────────────────────────────────────────────┨
┃ │功能│显示系统存在的移动硬盘或固定硬盘的隐藏分区，并给这些分区分配盘符。                         ┃
┃ ├──┼──────────────────────────────────────────────┨
┃ │参数│■硬盘号: 本机中存在的硬盘，"0"表示"hd0"，"1"表示"hd1"，"2"表示"hd2"，依次类推；          ┃
┃ │ │■标识符: 表示硬盘类型的标识，固定硬盘用"F"表示，移动硬盘用"R"表示，标识符与硬盘号只取其一；┃
┃ │ │■分区号: "0"表示所有还没指派盘符的分区，"1"表示第1分区，"2"表示第2分区，依次类推；       ┃
┃SHOW│ │■盘  符: 用字母"C～Z"表示(不带":")，省略"盘符"或设置盘符不合理时由WinCMD.EXE自动分配盘符。 ┃
┃ ├──┼──────────────────────────────────────────────┨
┃ │示例│SHOW 0:1,H 或 SHOW R:1,U 或 SHOW F:0 或 SHOW                                              ┃
┃ ├──┼──────────────────────────────────────────────┨
┃ │备注│※某些机型在WinPE启动后已经可以识别移动硬盘，但没有为移动硬盘指派盘符，可以通过 SHOW 命令的 ┃
┃ │ │  "R"标识符为移动硬盘分配盘符，示例2表示给"移动硬盘的第1分区"指派为盘符"U:"；             ┃
┃ │ │※示例1表示"硬盘0隐藏分区1"指派为盘符"H:"，示例3表示自动为"固定硬盘的所有隐藏分区"指派盘符；┃
┃ │ │※删除盘符可用SUBJ命令，该命令与SUBJ命令配合，可载入隐藏分区的外置程序并保持原分区隐藏属性。┃
┣━━┿━━┿━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┫
┃ │格式│SUBJ <虚拟驱动器>,[指派给虚拟驱动器的路径] 　　　　　　　　　　　　                      ┃
┃ ├──┼──────────────────────────────────────────────┨
┃ │功能│将路径与驱动器号关联，相当于CMD的 SUBST 命令。                                           ┃
┃ ├──┼──────────────────────────────────────────────┨
┃SUBJ│参数│■如果省略"指派给虚拟驱动器的路径"，则删除指定的虚拟驱动器。                               ┃
┃ ├──┼──────────────────────────────────────────────┨
┃ │示例│SUBJ B:,D:\My_Tools                                                                      ┃
┃ ├──┼──────────────────────────────────────────────┨
┃ │备注│※虚拟时，虚拟驱动器须是不存在的；删除虚拟驱动器时，盘符必须准确，否则可能会删除物理驱动器。┃
┣━━┿━━┿━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━┫

lvyanan · 发表于 2008-6-11 15:12:40

学习了，谢谢指引

		自动登录	找回密码
密码			注册

[求助，非高手勿进！！]如何在win下直接显示PQ隐藏过的分区？

回复 #15 lxl1638 的帖子