※ 本文為 zbali.bbs. 轉寄自 ptt.cc 更新時間: 2017-05-14 18:50:25
看板 Gossiping
作者 標題 Re: [問卦] 網咖會中勒索病毒嗎?
時間 Sun May 14 18:44:55 2017
1. 硬碟還原卡
工作原理(wiki)
硬碟保護卡安裝在主機板PCI插槽里,在卡上有一片ROM晶片,根據PCI規範,該ROM晶片的
內容在電腦啟動時將最先得到控制權,然後它接管BIOS的INT13中斷,將FAT、啟動區、
CMOS資訊、中斷向量表等資訊都儲存到卡內的臨時儲存單元中或是在硬碟的隱藏磁區中,
用內建的中斷向量表來替換原始的中斷向量表;再另外將FAT資訊儲存到臨時儲存單元中
,用來應付我們對硬碟內資料的修改;最後是在硬碟中找到一部分連續的空磁碟空間,然
後將我們修改的資料儲存到其中。這樣,只要是對硬碟的讀寫操作都要經過硬碟保護卡的
保護程式進行保護性的讀寫,每當我們向硬碟寫入資料時,其實還是完成了寫入到硬碟的
操作,可是沒有真正修改硬碟中的FAT。而是寫到了備份的FAT表中,這就是為什麼系統重
新開機後所有寫操作一無所有的原因了。
用內建的中斷向量表來替換原始的中斷向量表;再另外將FAT資訊儲存到臨時儲存單元中
,用來應付我們對硬碟內資料的修改;最後是在硬碟中找到一部分連續的空磁碟空間,然
後將我們修改的資料儲存到其中。這樣,只要是對硬碟的讀寫操作都要經過硬碟保護卡的
保護程式進行保護性的讀寫,每當我們向硬碟寫入資料時,其實還是完成了寫入到硬碟的
操作,可是沒有真正修改硬碟中的FAT。而是寫到了備份的FAT表中,這就是為什麼系統重
新開機後所有寫操作一無所有的原因了。
2. 開機還原軟體
工作原理
其原理是先將硬碟剩餘的空間切出一個保留區,存放硬碟分割表(partition table)、
檔案配置表(file allocation table,FAT)與異動資料。之後在電腦啟動、作業系統載
入前接管INT 13中斷呼叫,產生一份「假的」硬碟分割表和檔案配置表欺騙作業系統,使
用者所做的任何檔案存取動作,從作業系統來看仍如平常一樣,但實際上新增異動的資料
卻是存放在先前切出來的保留區中,而非原來的分割區。
檔案配置表(file allocation table,FAT)與異動資料。之後在電腦啟動、作業系統載
入前接管INT 13中斷呼叫,產生一份「假的」硬碟分割表和檔案配置表欺騙作業系統,使
用者所做的任何檔案存取動作,從作業系統來看仍如平常一樣,但實際上新增異動的資料
卻是存放在先前切出來的保留區中,而非原來的分割區。
進行還原時,還原軟體只是將還原點之後新增的資料廢棄,然後將硬碟分割表和檔案配置
表恢復成原來的那一份,而不是將整個硬碟複製回去,因此復原動作才能在幾秒鐘之內完
成。
表恢復成原來的那一份,而不是將整個硬碟複製回去,因此復原動作才能在幾秒鐘之內完
成。
結論: 除非病毒能寫入BIOS 複寫int中斷向量程式 不然PCI還原卡的優先順序是高過
開始讀取硬碟程式的
所以病毒 太弱打不進BIOS就得死 ~
但是現在硬體都有防寫入BIOS機制 世界上沒有駭客能攻破還原卡的~
※ 引述《GonVolcano (火山君)》之銘言:
: 在下現在準備去網咖打WOW
: 但有感於最近勒索病毒猖獗
: 好奇網咖都不會中毒嗎
: 有沒有卦
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 180.217.253.61
※ 文章代碼(AID): #1P63KgXZ (Gossiping)
※ 文章網址: https://www.ptt.cc/bbs/Gossiping/M.1494758698.A.863.html
推 : 好窩^ ^1F 05/14 18:45
→ yoyodiy …
→ : 你忘記yoyo大師惹3F 05/14 18:45
→ : 那個是硬體還原卡才有用,之前國中用軟體還原的還有中過4F 05/14 18:46
推 : 我也想買一張5F 05/14 18:46
→ : 機器狗6F 05/14 18:47
推 : 葛萊芬多加10分7F 05/14 18:48
推 : 網咖老闆?!8F 05/14 18:48
--
※ 看板: ott 文章推薦值: 0 目前人氣: 0 累積人氣: 235
回列表(←)
分享