1. 硬盘还原卡
工作原理(wiki)
硬盘保护卡安装在主机板PCI插槽里,在卡上有一片ROM芯片,根据PCI规范,该ROM芯片的
内容在电脑启动时将最先得到控制权,然后它接管BIOS的INT13中断,将FAT、启动区、
CMOS资讯、中断向量表等资讯都储存到卡内的临时储存单元中或是在硬盘的隐藏磁区中,
用内建的中断向量表来替换原始的中断向量表;再另外将FAT资讯储存到临时储存单元中
,用来应付我们对硬盘内资料的修改;最后是在硬盘中找到一部分连续的空磁盘空间,然
后将我们修改的资料储存到其中。这样,只要是对硬盘的读写操作都要经过硬盘保护卡的
保护程式进行保护性的读写,每当我们向硬盘写入资料时,其实还是完成了写入到硬盘的
操作,可是没有真正修改硬盘中的FAT。而是写到了备份的FAT表中,这就是为什么系统重
新开机后所有写操作一无所有的原因了。
2. 开机还原软件
工作原理
其原理是先将硬盘剩余的空间切出一个保留区,存放硬盘分割表(partition table)、
档案配置表(file allocation table,FAT)与异动资料。之后在电脑启动、作业系统载
入前接管INT 13中断呼叫,产生一份“假的”硬盘分割表和档案配置表欺骗作业系统,使
用者所做的任何档案存取动作,从作业系统来看仍如平常一样,但实际上新增异动的资料
却是存放在先前切出来的保留区中,而非原来的分割区。
进行还原时,还原软件只是将还原点之后新增的资料废弃,然后将硬盘分割表和档案配置
表恢复成原来的那一份,而不是将整个硬盘复制回去,因此复原动作才能在几秒钟之内完
成。
结论: 除非病毒能写入BIOS 复写int中断向量程式 不然PCI还原卡的优先级是高过
开始读取硬盘程式的
所以病毒 太弱打不进BIOS就得死 ~
但是现在硬件都有写保护入BIOS机制 世界上没有骇客能攻破还原卡的~
以上讲的是那种 用硬跳线禁止BIOS写入的主机板
如果是BIOS程式管理禁止写入BIOS的主机板就可能被骇入~
※ 引述《GonVolcano (火山君)》之铭言:
: 在下现在准备去网咖打WOW
: 但有感于最近勒索病毒猖獗
: 好奇网咖都不会中毒吗
: 有没有卦