（新增加PE下拷贝63扇区MBR）某全盘加密软件的MBR，有兴趣者可以研究一下

panet8888 · 发表于 2011-2-23 12:50:04

本帖最后由 panet8888 于 2023-4-28 14:47 编辑

-----------------------------
当年考虑不周，实则不宜发到此处，特此把内容删了。

renchmin · 发表于 2011-2-23 16:02:46

这个不错的啊，希望高手能够研究一下。

MR.L · 发表于 2011-2-23 16:04:55

是的,很神奇的喔,公司就有这样的软件硬盘防护机制

xianglang · 发表于 2011-2-23 19:16:35

楼主试下写MBR看能不能写进去？如果写进去之后，加密还起不起作用？

MR.L · 发表于 2011-2-23 20:07:51

如果蛙哥能来看看就好了,我上次和蛙哥说过这个软件,但是蛙哥没有兴趣.
如果装了这个软件又是全盘加密的话,PE等于是废物,进PE没有任何用处,因为公司的电脑有监控,我也不敢乱搞
其实如果蛙哥开发出来这样的免费软件供大家使用,那真是莫大的幸福啊!因为这样就再也不怕什么门的出来了``````

Pauly · 发表于 2011-2-23 21:20:23

个人觉得加密应该是系统级的才对吧，需要在操作系统中安装对应的驱动来配合吧，否则就算在实模式下加密了硬盘数据，那 XP 启动之后也不能识别其中的数据啊

panet8888 · 发表于 2011-2-23 21:54:04

写什么MBR，不敢在已装的机子上试写其它MBR，如果写坏了，启动不了的话会很麻烦。
但我试过把这MBR写在虚拟机上，只写了一扇区，结果分区在PE下认不了了。下次再多写几扇区看会不会连验证窗口也会出来。

panet8888 · 发表于 2011-2-23 21:55:40

并不是这样的。
如果引导带DOS系统的，只要用硬盘引导，通过验证了，DOS下也能访问分区。但用硬盘引导PE就访问不了。

xianglang · 发表于 2011-2-23 22:42:21

原帖由 2011panet8888 于 2011-2-23 21:54 发表
写什么MBR，不敢在已装的机子上试写其它MBR，如果写坏了，启动不了的话会很麻烦。
但我试过把这MBR写在虚拟机上，只写了一扇区，结果分区在PE下认不了了。下次再多写几扇区看会不会连验证窗口也会出来。

既然你在虚拟机里写了这个MBR，再用BOOTICE之类在虚拟机里再写次MBR不就结了？

lvyanan · 发表于 2011-2-24 11:14:56

看过MBR第一扇区，一个常规的MBR引导程序，没有其它跳转到第二扇区代码的指令，加密功能可能另有蹊跷？

panet8888 · 发表于 2011-2-24 11:54:43

原帖由 lvyanan 于 2011-2-24 11:14 发表
看过MBR第一扇区，一个常规的MBR引导程序，没有其它跳转到第二扇区代码的指令，加密功能可能另有蹊跷？

就是搞不懂。有一次系统崩了，因不经该软件验证就访问不了硬盘，所以就没办法修复。只能是把C盘格了，重装系统。那次用的是GHOST系统，恢复到C盘后启动还是有密码验证，但验证后引导不了系统，重建MBR后才能正常启动。

忽然想到，这个MBR是在硬盘引导后备份是，估计经验证后，该软件把MBR改成常规的MBR了。下次用PE引导，再备份一个试试。

[ 本帖最后由 2011panet8888 于 2011-2-24 12:12 编辑 ]

lvyanan · 发表于 2011-2-24 13:01:18

我也怀疑软件使用了INT13h中断截获技术，把对MBR扇区读写的请求，重定向到其他扇区，在硬盘系统引导下。获取的MBR扇区内容，肯定是重定向以后的假MBR扇区，真的被屏蔽了，这类似于以前的巴基斯坦引导型病毒的机制，好在程序还没有采用逻辑锁保护机制，否则就更讨厌了。

freesoft00 · 发表于 2011-2-24 18:30:59

拷贝的扇区数太少了。最好是63扇区

panet8888 · 发表于 2011-2-24 20:45:43

原帖由 freesoft00 于 2011-2-24 18:30 发表
拷贝的扇区数太少了。最好是63扇区

好的，明天就拷贝63扇区。

lvyanan · 发表于 2011-2-24 20:52:00

要用外部设备上的系统启动进去，这样获取的MBR扇区才是真实的！

lvmenbo · 发表于 2011-2-25 09:43:28

楼主试下用光盘引导运行dos版的diskgenius能识别硬盘吗如果能识别并能操作那清除这个东西应该挺容易的吧

panet8888 · 发表于 2011-2-25 21:07:53

原帖由 lvmenbo 于 2011-2-25 09:43 发表
楼主试下用光盘引导运行dos版的diskgenius能识别硬盘吗如果能识别并能操作那清除这个东西应该挺容易的吧

我想做的并不是要清除它，要清除它挺简单的，format c: + fdisk /mbr 就可以了，但我想知道它是藏在哪里的，是怎么工作的。

lvyanan · 发表于 2011-2-26 12:10:15

初步看过63S，第一扇区与前不同了，其中在你硬盘的第3e7e06号扇区开始的地方，程序读入了7F个扇区到内存，我推测这7F个扇区的内容，才是该加密软件的主体！

panet8888 · 发表于 2011-2-26 12:40:18

7F这么大，想分析还是挺难的。
谢谢版主指点了。

MR.L · 发表于 2011-3-4 00:12:10

斗胆问一下楼主是否可以告知软件名字？？？

123help · 发表于 2011-3-7 19:22:43

原帖由 牛人zero 于 2011-3-4 00:12 发表
斗胆问一下楼主是否可以告知软件名字？？？

貌似DriveCrypt Plus Pack

fudi · 发表于 2011-3-9 09:14:44

学习了啊~~~~~~~~~~~~~~~~~~~~~~~~~~~~

panet8888 · 发表于 2011-3-13 09:51:10

本帖最后由 panet8888 于 2023-4-28 14:44 编辑

原帖由牛人zero 于 2011-3-4 00:12 发表
斗胆问一下楼主是否可以告知软件名字？？？

		自动登录	找回密码
密码			注册

[讨论] （新增加PE下拷贝63扇区MBR）某全盘加密软件的MBR，有兴趣者可以研究一下

回复 #4 xianglang 的帖子

回复 #11 2011panet8888 的帖子