现代还原卡技术分析之oseasy网络还原卡

现在这个时代计算机发展十分迅速,为了保证公用计算机的使用安全,人们制作了各种各样的还原软件以及还原硬件。但是随着技术的发展,病毒以及骇客也在不断地提升自己的能力,现在的还原卡总是可以破解的。

现在我们以一个具体的例子来看一下。某大学的机房使用了dell的品牌机,上面安装了oseasy的还原卡,使用了金龙卡的计费服务。机器上面搭载了若干的操作系统,这些操作系统是先在一个系统选择菜单里面选择的,一旦选择了操作系统之后其他的操作系统的系统分区就被显示成了未分配的分区,而且无法对那些扇区读写数据。

很显然是还原卡把这些数据隐藏了起来。用xuetr查看驱动模块,发现在系统里面有数个名字叫做pns什么的驱动以及名字叫做磁盘缓冲的驱动被加载,卸载这些驱动,系统就会蓝屏,显然这些就是还原卡的驱动程序。注意这里有一个网络驱动也是还原卡提供的,还原卡为了实现网络还原以及网络控制,以太网的接口位于还原卡上。网络驱动是由操作系统提供的。

显然破解它最简单就是禁用掉这个pci硬件,卸掉驱动。但是进入cmos之后发现被上了管理员密码,使用密码清除工具无法清除密码,只能重置cmos设置。无奈之下就开始研究其他的方式。学校的机器允许u盘启动,但是发现选择u盘启动之后是无法正常的引导,因为机器固定的把硬盘确定在了0x80的磁盘驱动器,而usb设备位于0x81,所以自己写了扇区读取,发现还是不可以,因为还原卡重置了INT 13H中断,没办法,重写13h中断,让它能够实现直接读取磁盘。之后终于能够正常了。但是自己的这些还是不能够适应大硬盘,所以引导老毛桃windows pe,由于pe系统不受还原卡,所以进入pe之后就相当于拥有了系统的主动权,就这样夺权成功

总而言之,这个系统保护的就是在系统引导之前引导自己的mbr,应用自己的功能,实现网络升级,并且把磁盘分区映射,创造临时的活动主要分区,然后他会引导chainloader,引导系统,引导系统之后优先加载自己的驱动,实现磁盘的虚拟化,并且提供网络访问。

具体的技术处于安全因素就不在这篇文章里面透露了。

 

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注