文章作者:vikxeo
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com)
环境:用Grub做为启动管理器的Windows 2000 Professional RedHat 9.0 双系统及Windows 的系统盘分区为FAT,金盾还原卡。
步骤:
#cd /
#mkdir winc
#vi /etc/fstab
添加:/dev/hda1 winc vfat defaults 0 0
#mount winc
#cd winc
#cd winnt/system32/config
#rm -rf SAM
#cd ~
#umount winc
#init 6
进Windows 空密码!~
思考:
一 若你删除了系统的必须文件,用同样的方法可进行还原
A 引导分区未破坏
1 用LINUX挂载copy还原
2 GHOST 8.0 以上的版本已经支持EXT3文件系统,可提前做一个镜象
3 BIOS设定光盘启动,用系统盘恢复
B 引导分区已破坏
1 若是双系统,象我可用LINUX恢复Grub ,再进行A
2 用Slax linux 挂载拷贝恢复
3 BIOS设定 Floppy 或Flash 作为first启动 恢复启动管理器,再进行A
二 删除不易删除的文件,病毒及精简操作系统
问题:
一 是否具有还原功能的软件也有此现象
二 不同操作系统共存可挂载也有此现象
附注:
1 一些关于硬件还原卡的东东
其实所谓硬盘保护卡就是在ROM中写了一段HOOK INT 13的程序,屏蔽了一些功能调用如AH=3,5等,在中断向量表中INT 13的SEG,OFFSET描述为[13h*4+2],[13h*4],将此中的程序先保存后,再替换为自己的代码,当你AH=2的时,它便会call原始INT 13地址来完成(商周)作.只要找到原始INT 13入口便可以为所欲为.
金盾还原卡|金盾还原卡|保护卡 网络维护功能模块功能特点
▼纯硬件结构:开启电源所有电脑立即自动连线;
▼它不依赖任何软件及操作系统,只要3U网卡、网线、集线器物理连结通即可;
支持CMOS保护及还原,即使硬盘参数、类型被修改也能够还原
保护模式下自动防止病毒感染和破坏,能够防DM工具和低格;
2 EXT2和 EXT3的描述
Ext2: 是 GNU/Linux 系统中标准的文件系统,其特点为存取文件的性能极好,对于中小型的文件更显示出优势,这主要得利于其簇快取层的优良设计。其单一文件大小与文件系统本身的容量上限与文件系统本身的簇大小有关,在一般常见的 x86 电脑系统中,簇最大为 4KB, 则单一文件大小上限为2048GB, 而文件系统的容量上限为 16384GB。但由于目前核心 2.4 所能使用的单一分割区最大只有2048GB,因此实际上能使用的文件系统容量最多也只有 2048GB.
Ext3: 它就是 ext2 的下一代,也就是在保有目前 ext2 的格式之下再加上日志功能.ext3是一种日志式文件系统。日志式文件系统的优越性在于:由于文件系统都有快取层参与运作,如不使用时必须将文件系统卸下,以便将快取层的资料写回磁盘中。因此每当系统要关机时,必须将其所有的文件系统全部卸下后才能进行关机。 如果在文件系统尚未卸下前就关机 (如停电) 时,下次重开机后会造成文件系统的资料不一致,故这时必须做文件系统的重整工作,将不一致与错误的地方修复。然而,此一重整的工作是相当耗时的,特别是容量大的文件系统,而且也不能百分之百保证所有的资料都不会流失。故这在大型的伺服器上可能会造成问题。 而所谓‘日志式文件系统 (Journal File System) 。此类文件系统最大的特色是,它会将整个磁盘的写入动作完整记录在磁盘的某个区域上,以便有需要时可以回朔追踪。由于资料的写入动作包含许多的细节,像是改变文件标头资料、搜寻磁盘可写入空间、一个个写入资料区段等等,每一个细节进行到一半若被中断,就会造成文件系统的不一致,因而需要重整。然而,在日志式文件系统中,由于详细纪录了每个细节,故当在某个过程中被中断时,系统可以根据这些记录直接回朔并重整被中断的部分,而不必花时间去检查其他的部分,故重整的工作速度相当快,几乎不需要花时间。
3 FAT的概述
于计算机的硬盘,因为要引导系统,所以还有BOOT区,分区表等等,这些东西在单片机上都用不着
,硬盘对空间管理的核心就是文件分配表(FAT),为了存储不同的文件和目录结构还有一个表也十分重要,就是文件目录表(FDT)。这两个表一般都保存在硬盘每个分区的开头几个扇区之中我们的flash文件系统自然也会有这样两张表存放在flash前面的几个扇区。
FAT就是文件使用登记链表,如果用16位的整数来表示一个簇号(称为FAT16),这样最多能容纳65535个簇(簇的大小是扇区的整数倍)。如果把fat表看成一个元素个数对应硬盘簇数的数组,那么数组元素在数组中的位置就是他代表的簇在硬盘上的位置。
在FAT文件系统中,把硬盘把整个空间划分为很多的逻辑块,每块包含若干扇区,这样的块叫做簇,簇的大小是由硬盘在分区的时候决定的。这样整个硬盘就有好多好多的簇,每个簇对应有一个簇号,假如簇号用一个16位的整数来表示的话(就是FAT16),就一共能表示65536个簇。簇是文件存储的最小单位。对于一个80GB的硬盘来讲,如果用FAT16文件系统来管理硬盘,由于FAT16最大只能表示65536簇,所以每簇的空间将为(80*1024*1024)/65536=1280Kbyte。 FAT表在这里就像个大的数组,硬盘上有多少个簇,这个数组的元素就有多少个。数组元素在数组中的位置就是他代表的簇在硬盘上的位置。计算机把文件占用的簇的簇号放到FAT中,所以这个表就叫做文件分配表。一开始FAT表是空的数据全部都是0x0000或者0xffff。 FAT对空间的管理:一个文件在硬盘的存储是先在fat表中找空闲的簇,找到后写满空闲簇,然后再找空闲的簇,并把此空闲的簇号写在fat表上刚才写满的簇的对应的位置上,作为文件链接(为文件的读取提供索引依据),依次类推,到最后以0xfff8在FAT表中的对应位置表示文件结尾所在簇。记录文件的起始簇,就是文件名和扩展名来标记的了,其他的属性根据情况需要而定。可以定义一个结构文件目录表FDT(FDT_REC)用来详细描述文件的属性。
FAT表管理空间的原理:计算机在写文件的时候如何对FAT表操作。计算机要向文件写数据,先要到FAT表中找到一个空闲的簇,并往里面写数据,写满后,再到FAT表中寻找下一个空闲的簇,找到之后先把簇号填到刚才写满的那个簇在FAT表中的对应位置,然后继续写,写满之后再找一个空闲簇,然后再把这次找到的簇的簇号填到我们刚刚写完的那个簇在FAT表中的对应位置,这样下去直到写完,然后我们把最末尾的簇在FAT表中的对应位置标为0xfff8表示结束。而在读文件的时候,只要我们找到了文件的第一簇的簇号,然后就可以在FAT表中的对应位置找到下一簇的簇号,这样一直下去直到遇到0xfff8。这就好像是一条簇链,一条单向的簇链表,找到了头,就能顺序找到尾。这就是FAT表管理空间的原理.
文件的创建和删除:计算机要创建一个文件,就要先根据文件的名字,当前时间信息,构造一条FDT_REC记录,然后把这条FDT_REC记录插入到FDT表中去,一开始文件大小为0,起始簇为空(0xfff8),这样就创建了一个空文件,删除文件的过程。删除文件时并不是把文件占用的所有簇都清空,而是先把文件在FDT表中的记录项(FDT_REC)的第一个字节置为0x5e表示这条项目已经被删除。然后在FAT表中释放该文件占用的簇。
3. SLAX is beautiful and small bootable CD with Linux. It contains all the software
you like. SLAX runs directly from the CD (or USB) without installing.
SLAX, developed by Tomas Matejicek, is a 180 MB Linux Live distribution which aims at compacting full featured Linux operating system to a portable medium (like mini-CD) and allows everyone to boot Linux on any machine without the need to install it. It works even on computers with no harddisk at all. Unionfs is the most important part of a SLAX, it allows SLAX to seem and act as a real Linux OS with full-writable root directory tree. So let's speak about unionfs first.
后记:
不正之处还望指出,希望M偶 E-mail:vikxeo@yahoo.com.cn
