搜索
查看: 939|回复: 6
收起左侧

[其他] 求教,这种隐藏文件的原理是什么?又是如何引导进入PE的?

[复制链接]
15852701396
发表于 2019-1-28 14:56:42 | 显示全部楼层 |阅读模式
本帖最后由 15852701396 于 2019-1-28 15:27 编辑

DG下看U盘分成两个区

DG下看U盘分成两个区

DG扫空闲分区,可以看到已删除的PE文件

DG扫空闲分区,可以看到已删除的PE文件

分区②中有2个文件

分区②中有2个文件

相关背景:如图所示,这是DiskGenius的截图,图中RD3:PNYLovelyAtttache是我的一个U盘,用“U精灵”制作了PE,可以正常引导进入PE系统。DiskGenius显示,这个4G的U盘,被划分成两个分区:分区①空闲557.9MB(DG显示空闲,但是用DG扫描已删除或格式化文件,是可以看到已删除的文件的,应该就是PE的相关文件了),分区②U精灵U盘3.2GB,这个分区可以在windows下正常显示,随意格式化,不影响PE系统。
疑问:分区①隐藏文件的原理是什么?又是怎么正常引导进入PE的呢?求教!
15852701396
 楼主| 发表于 2019-1-29 16:30:04 | 显示全部楼层
居然没人来讨论讨论吗?
风之咩~
发表于 2019-1-29 16:32:26 | 显示全部楼层
本帖最后由 风之咩~ 于 2019-1-29 16:38 编辑

UD区
3dollar
发表于 2019-1-29 17:44:29 | 显示全部楼层
本帖最后由 3dollar 于 2019-1-29 18:30 编辑

搞错了
15852701396
 楼主| 发表于 2019-1-29 17:59:50 | 显示全部楼层

嗯,昨天研究了半天,看到了说用fbinst建的UD隐藏分区,感觉挺神奇的
bianshen
发表于 2019-1-31 21:37:35 | 显示全部楼层
这里是内置型的pe盘,隐藏的分区里有pe启动的相关文件,在Windows正常启动时会抹掉盘符从而隐藏,而pe启动时会额外分一个盘符从而加载启动。如果你用dg破坏了隐藏分区里的文件,pe将无法正常启动。制作时U盘加一个分区,把启动文件复制进去,由于正常启动时没有盘符无法访问与调用,任何非磁盘工具将无法获得信息以达到防病毒的目的,升级也是对隐藏盘重置。
15852701396
 楼主| 发表于 2019-2-2 10:48:58 | 显示全部楼层
bianshen 发表于 2019-1-31 21:37
这里是内置型的pe盘,隐藏的分区里有pe启动的相关文件,在Windows正常启动时会抹掉盘符从而隐藏,而pe启动 ...

后来研究了半天,隐藏的分区是用fbinst工具分的UD区,windows操作系统是无法正常读取的,这样就能防病毒、防误删了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-2-16 19:58 , Processed in 0.043972 second(s), 4 queries , MemCache On.

快速回复 返回顶部 返回列表