作者:
david190 (david)
2017-05-14 18:44:551. 硬碟還原卡
工作原理(wiki)
硬碟保護卡安裝在主機板PCI插槽里,在卡上有一片ROM晶片,根據PCI規範,該ROM晶片的
內容在電腦啟動時將最先得到控制權,然後它接管BIOS的INT13中斷,將FAT、啟動區、
CMOS資訊、中斷向量表等資訊都儲存到卡內的臨時儲存單元中或是在硬碟的隱藏磁區中,
用內建的中斷向量表來替換原始的中斷向量表;再另外將FAT資訊儲存到臨時儲存單元中
,用來應付我們對硬碟內資料的修改;最後是在硬碟中找到一部分連續的空磁碟空間,然
後將我們修改的資料儲存到其中。這樣,只要是對硬碟的讀寫操作都要經過硬碟保護卡的
保護程式進行保護性的讀寫,每當我們向硬碟寫入資料時,其實還是完成了寫入到硬碟的
操作,可是沒有真正修改硬碟中的FAT。而是寫到了備份的FAT表中,這就是為什麼系統重
新開機後所有寫操作一無所有的原因了。
2. 開機還原軟體
工作原理
其原理是先將硬碟剩餘的空間切出一個保留區,存放硬碟分割表(partition table)、
檔案配置表(file allocation table,FAT)與異動資料。之後在電腦啟動、作業系統載
入前接管INT 13中斷呼叫,產生一份「假的」硬碟分割表和檔案配置表欺騙作業系統,使
用者所做的任何檔案存取動作,從作業系統來看仍如平常一樣,但實際上新增異動的資料
卻是存放在先前切出來的保留區中,而非原來的分割區。
進行還原時,還原軟體只是將還原點之後新增的資料廢棄,然後將硬碟分割表和檔案配置
表恢復成原來的那一份,而不是將整個硬碟複製回去,因此復原動作才能在幾秒鐘之內完
成。
結論: 除非病毒能寫入BIOS 複寫int中斷向量程式 不然PCI還原卡的優先順序是高過
開始讀取硬碟程式的
所以病毒 太弱打不進BIOS就得死 ~
但是現在硬體都有防寫入BIOS機制 世界上沒有駭客能攻破還原卡的~
以上講的是那種 用硬跳線禁止BIOS寫入的主機板
如果是BIOS程式管理禁止寫入BIOS的主機板就可能被駭入~
※ 引述《GonVolcano (火山君)》之銘言:
: 在下現在準備去網咖打WOW
: 但有感於最近勒索病毒猖獗
: 好奇網咖都不會中毒嗎
: 有沒有卦