有再生卡的電腦,很麻煩 [Site Map]

WUSZUHSIEN

2001-08-30, 05:33 PM

再生卡完全破解:

自從市面上的再生卡出現以後, 電腦的管理似乎輕鬆了許多,可以說是

MIS 的一大服音, 不過是否如其廣告所說的,"各種破解, 病毒, I/O直

接寫入均可完全防護" , "任何刪改的資料階可復原" 有如此神奇嗎?

就讓本人讓分析分析.

再生卡原理分析:

一般來說公用電腦堛爾禤く怍糟到格式化(format), 或是不明人士任

意刪改, 過去MIS 往往為了重灌HDD 耗去大部份的精力. 不過自從此類

產品出現後, 一些"手賤"的USER惡作劇似乎完全失效. 管你format N次

,fdisk, 通通失效. 這如何作到的? 因為在IBM 相容PC上BIOS中的INT

13h 是所有磁碟I/O 的中斷服務常式, 所以此類的產品就在這上面作手

腳. 它將將要保護的HDD 分成兩份, 一份是實體, 一份是分身, 實體必

需要有密碼才可修改, 分身讓你隨便亂搞都沒關係. 因為資料是放在實

體上面, 下次開機時資料又重實體上讀了進來. 對電腦了解比較深的人

一定會問, 那實體被毀了那不就完了. 沒錯, 先決條件是你要有能力毀

了它, 因為再生卡的fireware以經把INT 13h 給攔去. 在你開機前, 控

制權以經交到它手上, 所有的方法都沒辦法將控制權搶回來, 包括單部

追縱, 都沒辦法取回原中斷. 所以你只有乖乖在它掌控之下. 又有人會

上面由於對於讀寫限制很嚴格(如Linux,freeBSD...), 所以再生卡就真

的要慢慢拷過去了, 但這些作業系統我相信也不需要再生卡這種東西,

加上去有點畫蛇添足. 但Windows 家族那就需要了, 因為如果不加上去

灌個軟體都有可能把OS摧毀, 但就是因為如此在生卡也可以取巧, 開機

時直接從實體讀, 當有修改時才放到分身去, 這樣就達到所謂的" 瞬間

復原" 的功效, 而寫入時分身碟影設到實體碟磁區的對應位址, 讓作業

系統不知道其存在, 讀的時後, 有寫入過的讀分身, 沒寫入過的讀實體

這些細部動作OS不知, 所以USER當然更不會知道. 其真實硬碟的資料結

構如下.

┌───────────────┐C.H.S = 0,0,1
│ 再生卡運作資料區 │
├───────────────┤C.H.S = 4,0,1
│EZ5C... │
│ 分身碟 │
│ ..BBAA│
├───────────────┤C.H.S = 8,0,1
│EZ5C... │
│ 實體碟 │
│ ..BBAA│
└───────────────┘

註:實體碟與分身碟的C.H.S開始值要看你分割HDD大小決定
上面的值是分割1MB所得的值

實體分析:

再次強調, 本人決對沒有用逆向工程去非法反組譯取得Source Code , 一

切分析皆採用"插卡前與插卡後", 比較歸納比較所得.

再生卡拔去後, 軟碟開機抓不到HDD . 可見得Partition Table 已經被

毀去, 如果用HDD開機, 則會出現沒有發現再生卡的訊習, 可見得Load

Boot程式段也被改過了, 先看看Cyl = 0,Head = 0,Sector = 1 堶惆

底搞啥鬼??以下便是我抓下拔去再生卡的C.H.S = 0,0,1 的DATA. 左邊

是HEX, 右邊是ASCII . 一開始變是一個EB0E是一個Near JMP . 而最後

的66Byte只剩下55AA, 果然不出我所料. 眼尖的人馬上看到Reborn Card

這東東, 我猜大概是用來作為識別的, 所以我決定搜尋一下這個關鍵字

....

C.H.S = 0,0,1的DATA:

EB 0E 52 65 62 6F 72 6E-20 43 61 72 64 7E 43 00 ..Reborn Card~C.
8C C8 8E D8 8E C0 50 53-B4 0F CD 10 32 E4 CD 10 ......PS....2...
5B 58 B9 09 00 BA C8 00-BD 6E 7C E8 21 00 B8 00 [X.......n|.!...
13 BB 0E 00 B9 1C 00 90-B6 01 B2 01 BD 6A 7D CD .............j}.
10 EB FE 60 B3 00 B7 0E-B8 10 11 CD 10 61 C3 60 ...`.........a.`
8B C1 B9 01 00 E8 EB FF-83 C5 0E 83 C2 20 E8 E2 ............. ..
FF 83 C5 0E 83 EA 1F 48-0B C0 75 E9 61 C3 28 EE .......H..u.a.(.
28 FF 79 49 7A 04 7F 07-07 0F 08 0F 40 7E 88 48 (.yIz.......@~.H
30 48 86 80 FC E0 E0 F0-10 F0 11 11 1F 11 21 01 0H............!.
FF 00 1F 10 10 10 1F 10-00 10 F8 00 00 04 FE 10 ................
F8 10 10 10 F0 10 81 61-21 01 82 64 23 02 09 10 .......a!..d#...
E0 20 23 2C 00 FC 08 08-28 10 F8 08 10 A0 40 A0 . #,....(.....@.
1E 08 02 02 FF 04 04 0F-18 2F 48 0F 08 08 08 10 ........./H.....
00 04 FE 00 10 F8 10 F0-10 F0 10 10 50 20 10 FE ............P ..
10 4F 20 F7 14 27 64 17-10 EF 10 0F 10 FE 50 FE .O ..'d.......P.
40 FC 44 FC 44 FC 40 FE-40 FE 02 79 4B 48 4F 79 @.D.D.@[email protected]
4B 4D 49 79 49 49 89 32-48 50 FC 40 FE 08 FC 22 KMIyII.2HP.@..."
F8 F8 20 FE 22 D4 7F 01-01 1F 11 11 1F 11 11 FF .. ."...........
10 10 10 10 FC 00 10 F8-10 10 F0 10 10 FE 10 10 ................
50 20 01 11 11 3F 21 41-81 01 3F 01 01 01 01 FF P ...?!A..?.....
00 00 08 FC 00 00 00 10-F8 00 00 00 04 FE 02 02 ................
03 02 02 FF 02 02 02 02-02 02 02 02 00 20 F0 00 ............. ..
04 FE 00 00 80 60 30 10-00 00 00 C8 E8 C9 E9 21 .....`0........!
21 20 20 CA EA CB EB CC-EC CD ED CE EE CF EF D0 ! .............
F0 21 07 07 07 00 00 00-00 00 00 00 00 00 00 00 .!..............
0F 02 1F 3F 00 00 00 00-00 00 00 00 00 00 00 00 ...?............
00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
00 00 00 00 00 00 00 00-00 00 00 00 00 00 55 AA ..............U.

很順利的我發現了在C.H.S = 0,2,1 的地方有這個東西, 一看"dos"這

不就是我分割時所用的名稱嗎!!可見所有最重要的資訊都在此處了

再生卡最重要的保護當然是密碼了. 一但總管密碼落入他人之手,

你的電腦就要任人宰割了. 所以我決定先找出這東西所在的Address

....

C.H.S = 0,2,1的DATA:

52 65 62 6F 72 6E 20 43-61 72 64 00 13 0F 02 1F Reborn Card.....
3F E0 07 3F 00 00 00 00-00 00 00 00 00 00 00 00 ?..?............
00 00 63 62 6D 6C 6F 6E-69 68 6B 00 4E 00 01 00 ..cbmlonihk.N...
1E 00 00 01 0A 06 1F BF-0D C0 4E 00 00 80 DF 0F ..........N.....
00 0A 00 0D 02 04 02 01-00 00 00 01 08 04 1F 3F ...............?
08 00 3F 00 00 E0 07 00-00 00 00 00 00 00 00 00 ..?.............
00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
00 00 00 00 00 00 00 00-00 01 00 00 00 00 00 00 ................
00 00 00 08 00 00 00 00-00 00 00 00 00 08 00 00 ................
00 00 00 00 00 00 00 64-6F 73 00 00 00 00 00 00 .......dos......
00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00 ................
4E 3C 3D 20 44 41 54 41-20 45 4E 44 20 3D 00 01 N<= DATA END =..
00 00 00 00 FF 00 00 00-00 00 00 00 00 9C 06 50 ...............P
2E 8E 06 5C 01 26 A1 4E-00 2E 3B 06 22 02 75 0F ...\.&.N..;.".u.
90 90 FA 26 C7 06 4C 00-24 07 26 8C 0E 4E 00 2E ...&..L.$.&..N..
83 3E 5E 01 0F 77 11 90-90 2E FF 06 5E 01 2E 83 .>^..w......^...
3E 5E 01 0A 76 09 90 90-2E C7 06 45 07 A2 01 2E >^..v......E....
80 3E 43 01 59 75 36 90-90 2E 80 3E E9 01 FF 90 .>C.Yu6....>....
75 2B 90 90 52 BA F6 01-EC 2E 3A 06 E8 01 74 16 u+..R.....:...t.
90 90 B0 B6 E6 43 B0 37-E6 42 B0 0A E6 42 E4 61 .....C.7.B...B.a
0C 03 E6 61 EB FE E4 A1-0C 40 E6 A1 5A 58 07 9D [email protected]..
2E FF 2E 58 01 00 00 00-00 00 00 9C 2E 80 3E 43 ...X..........>C
01 59 75 0E 90 90 2E 80-3E E9 01 FF 75 04 90 90 .Yu.....>...u...
9D CF 9D 2E FF 2E EA 01-00 00 00 00 00 00 00 00 ................
00 00 00 B8 9C 2E FF 1E-20 02 C3 B8 EA 00 00 00 ........ .......
00 32 9C 58 25 FF FE 50-9D 58 2E C6 06 E9 01 00 .2.X%..P.X......
2E 80 3E 43 01 59 75 0A-90 90 50 E4 A1 24 BF E6 ..>C.Yu...P..$..
A1 58 80 FA 80 74 3D 90-90 80 FA 00 0F 85 8F 00 .X...t=.........
我就把卡再度插上去, 先看看C.H.S =0,2,1結果從頭到尾都是0000了

不可能把重要的東西都給你看. 所以我改一下總管密碼. 改成了0000

再把卡拔起來觀察一下. 喔!!位址34開始變成6A6A6A6A了, 剛好是四

個.

52 65 62 6F 72 6E 20 43-61 72 64 00 13 0F 02 1F Reborn Card.....
3F E0 07 3F 00 00 00 00-00 00 00 00 00 00 00 00 ?..?............
00 00 6A 6A 6A 6A 00 6E-69 68 6B 00 4E 00 01 00 ..jjjj.nihk.N...
^^^^^^^^^^^ .
.
.

再重覆以上部驟, 把密碼改成1111得到.

52 65 62 6F 72 6E 20 43-61 72 64 00 13 0F 02 1F Reborn Card.....
3F E0 07 3F 00 00 00 00-00 00 00 00 00 00 00 00 ?..?............
00 00 6B 6B 6B 6B 00 6E-69 68 6B 00 4E 00 01 00 ..kkkk.nihk.N...
依此類推可得到如下的編碼對照表.

編碼對照表:

===============================================================

HEX ASCII CODE HEX ASCII CODE HEX ASCII CODE

20 7A 30 0 6A 40 @ 1A
21 ! 7B 31 1 6B 41 A 1B
22 " 78 32 2 68 42 B 18
23 # 79 33 3 69 43 C 19
24 $ 7E 34 4 6E 44 D 1E
25 % 7F 35 5 6F 45 E 1F
26 & 7C 36 6 6C 46 F 1C
27 ' 7D 37 7 6D 47 G 1D
28 ( 72 38 8 62 48 H 12
29 ) 73 39 9 63 49 I 13
2A * 70 3A : 60 4A J 10
2B + 71 3B ; 61 4B K 11
2C , 76 3C < 66 4C L 16
2D - 77 3D = 67 4D M 17
2E . 74 3E > 64 4E N 14
2F / 75 3F ? 65 4F O 15

---------------------------------------------------------------

HEX ASCII CODE HEX ASCII CODE HEX ASCII CODE

50 P 0A 60 ` 3A 70 p 0A
51 Q 0B 61 a 1B 71 q 0B
52 R 08 62 b 18 72 r 08
53 S 09 63 c 19 73 s 09
54 T 0E 64 d 1E 74 t 0E
55 U 0F 65 e 1F 75 u 0F
56 V 0C 66 f 1C 76 v 0C
57 W 0D 67 g 1D 77 w 0D
58 X 02 68 h 12 78 x 02
59 Y 03 69 i 13 79 y 03
5A Z 5A 6A j 10 7A z 5A
5B [ 01 6B k 11 7B { 21
5C \ 06 6C l 16 7C | 26
5D ] 07 6D m 17 7D } 27
5E ^ 04 6E n 14 7E ~ 24
5F _ 05 6F o 15

===============================================================

總管密碼破解:

如此一來, 如果有電腦的管理人員. 忘了密碼可照下面的方法破解之

把卡跋下來找Reborn Card 關鍵字, 看看Address 34, 對照一下上

表, 或乾脆填上0000, 密碼就解除了.

但是一定有人要我問我, 那我又不是管理人員, 可是我有想知道密碼

怎麼辦??難道要我拆電腦??可是我又沒辦法拆怎麼辦. 呵呵!!我倒想

知道你到底在打啥主意??又沒密碼, 又不能拆你就乖乖的當USER吧!!

破解的方法不是沒有. 這涉及不實廣告欺騙大眾, 所以我非說不可,

市面上所有類似的卡都標明了, 可防止直接I/O , 不過我說這只是廣

告罷了. 他所指的是你用單部追蹤找到BIOS INT 13h原始中斷這種的

方式, 因為他們作了防止追蹤的手段, 所以你一定無法追, 可是我說
這根本不算直接I/O , 在x86 上的I/O 是獨立的系統, 需透過in,out

等指令來運作, 除非你切入保護模式, 控制I/O Permission Table才

有辦法真的防止直接I/O , 不過那就要把所有OS等級的東西. 稟除於

Ring 0之外, 那OS除了DOS 外大概都不能跑, 所以根本不可能達成.

那為何有如此說詞??大概是早期所有"防毒軟體"的業者, 如此稱謂,

大家就將錯就錯. 那再生卡真的防得住直接I/O 嗎??答案是否定的,

我以下作個實驗, 證實給你看, 我用一個ATA Interface 控制的程式

直接在再生卡插上去的情況下, 照樣可以把密碼所存在的Sector給讀

出來. 這樣我就可以在神不知鬼不覺之下, 得到總管密碼. 或是偷偷

的改過.

直接I/O讀出的C.H.S = 0.2.1:

000000 5265626F726E2043 61726400130F021F Reborn Card.....
000016 3FE0073F00000000 0000000000000000 ?..?............
000032 000063626D6C6F6E 69686B004E000100 ..cbmlonihk.N...
000048 1E0000010A061FBF 0DC04E000080DF0F ..........N.....
000064 000A000D02040201 0080000108041F3F ...............?
000080 08003F0000E00700 0000000000000000 ..?.............
000096 0000000000000000 0000000000000000 ................
000112 0000000000000000 0000000000000000 ................
000128 0000000000000000 0000000000000000 ................
000144 0000000000000000 0001000000000000 ................
000160 0000000800000000 0000000000080000 ................
000176 0000000000000064 6F73000000000000 .......dos......
000192 0000000000000000 0000000000000000 ................
000208 0000000000000000 0000000000000000 ................
000224 0000000000000000 0000000000004E4E ..............NN
000240 4E3C3D2044415441 20454E44203D0001 N<= DATA END =..
000256 00000000FF000000 00000000009C0650 ...............P
000272 2E8E065C0126A14E 002E3B062202750F ...\.&.N..;.".u.
000288 9090FA26C7064C00 2407268C0E4E002E ...&..L.$.&..N..
000304 833E5E010F771190 902EFF065E012E83 .>^..w......^...
000336 803E430159753690 902E803EE901FF90 .>C.Yu6....>....
000352 752B909052BAF601 EC2E3A06E8017416 u+..R.....:...t.
000368 9090B0B6E643B037 E642B00AE642E461 .....C.7.B...B.a
000384 0C03E661EBFEE4A1 0C40E6A15A58079D [email protected]..
000400 2EFF2E5801000000 0000009C2E803E43 ...X..........>C
000416 0159750E90902E80 3EE901FF75049090 .Yu.....>...u...
000432 9DCF9D2EFF2EEA01 0000000000000000 ................
000448 000000B89C2EFF1E 2002C3B8EA000000 ........ .......
000464 00329C5825FFFE50 9D582EC606E90100 .2.X%..P.X......
000480 2E803E430159750A 909050E4A124BFE6 ..>C.Yu...P..$..
000496 A15880FA80743D90 9080FA000F858F00 .X...t=.........
當然直接I/O也可以寫入, 所以其廣告詞"各種破解, 病毒, I/O直接寫

入均可完全防護" , "任何刪改的資料階可復原" 不過是神話罷了. 至

於ATA Interface控制程式??對不起我不想引起世界大亂. 有能力自行

去研究吧!!
~~~~~~~~~~~~~~~~~~~~~~~~~~~以上的文章摘自作者<月密>~~~~~~~~~~~~~~~~~~~~~~~~~~~~~