三茗的一键恢复竟然不是改的mbr

distance · 发表于 2008-11-19 21:18:56

难道它直接修改的bios？重建mbr以后它一切照旧，还提示你mbr被修改，是否恢复。晕，能这样直接改bios来引导的吗？

distance · 发表于 2008-11-19 22:34:26

分区引导扇区应该在mbr以后才启动啊，而这个明显在它之前，我把grldr的mbr写进去，等在三茗引导界面出来以后，才开始执行grldr，明显在mbr之前。

distance · 发表于 2008-11-19 23:17:54

原帖由 tinypixy 于 2008-11-19 23:02 发表
装过三茗，也出现过问题。说一下仅供参考。由于忘记密码，没法卸载，考虑重写MBR，我的引导比较复杂，先是这个三茗的，然后又是一个其他的Grub4DOS 的引导的PE。我用DiskGen DOS重建了MBR，重启后Grub4DOS 的没 ...

这玩意还确实难缠，呵呵。

distance · 发表于 2008-11-19 23:19:49

原帖由 netwinxp 于 2008-11-19 23:10 发表
那个所谓的写MBR已经被转向了，不再是真的写MBR，把该硬盘做非启动盘，然后再写入MBR即可穿透，或者进入PE(由于不使用INT 13H和没被偷偷加入过滤器，所以可以真正不被转向)重写或编辑MBR也可穿透，同样用I/O口直 ...

谢谢指点，明白了，不是每个保护软件都这么猛吧，都能连写mbr也拦截掉？

distance · 发表于 2008-11-19 23:25:54

三茗确实加载了一个名为ntdisk.sys的驱动。安装时候有拦截到，是写到driver目录的。

distance · 发表于 2008-11-19 23:30:18

顺便请教个问题，用这个三茗，硬盘必须改成lba模式，不知道有什么影响吗？这个模式能搜到的资料很少，都很老，这种模式有什么弊端吗?

distance · 发表于 2008-11-20 14:21:38

原帖由 netwinxp 于 2008-11-19 23:52 发表
除了早期硬盘(传送的是真正的CHS地址)，现在的都是LBA模式，也就是说实际上BIOS传给硬盘的地址是用的是LBA地址。

安装这个三茗的时候，第一次运行，它会先改一个注册表参数，似乎是某个地方改为lba，重启后才能继续安装。安装以后又强调必须把bios里面的模式改为lba，如果现在都是lba，是不是不用到bios里改也能正常使用？回头我试试看。

distance · 发表于 2008-11-20 14:24:21

原帖由 lvyanan 于 2008-11-20 13:16 发表

以前的引导型病毒都能做到这一点，追溯源头，巴基斯坦病毒是鼻祖，要做到这一点其实并不难，拦截INT13h中断，监视对硬盘首扇区的读写操作，将读写该扇区的操作重定向到某个特定扇区即可。

其实想想，如果在系统里随便重写mbr就把它给删了，这种保护也确实太脆弱了，呵呵。

distance · 发表于 2008-11-20 19:45:27

用pe重写了mbr以后，重启，进入系统三茗自动启动卸载程序把程序卸载了，原来它自己在启动界面里的卸载也就是恢复mbr，进入系统后加载的驱动没有检测到三茗的mbr就自动启动卸载。

distance · 发表于 2008-11-20 19:48:21

总体来说这个软件很不错，但启动时候滴一声很不爽，还有完全不能定制，只有一个模式。

distance · 发表于 2008-12-5 21:46:11

原帖由 zxw 于 2008-12-4 14:47 发表
很奇怪，重新安装ghostxp时，按F9会继续安装新的ghost系统

ghost xp 不改写mbr，自己重写mbr吧，需要用三茗了再重新安装。

		自动登录	找回密码
密码			注册