关于三茗一键恢复的抗穿测试。

lyljj

今天下午闲着没事，就在虚拟机里测试了三茗一键恢复的抗穿能力。
因为比较猪头，就没有截图说明了，只简单描述一下。一下午的测试搞的头晕眼花的，真是体会了论坛里那几位测试的朋友的辛苦了。
用的虚拟机是VM5.53版，系统是XPSP3（深度出的网吧版），分区格式是NTFS。
三茗一键恢复是我买的第一个正版软件，在99年买的，那时候还用的win98，比较容易被我折腾挂了，用Ghost恢复慢，就用它了。软件在一张加密软盘上，这个软盘卖168. 现在想着还心疼啊，买了也没怎么用。因为在虚拟机里用这个加密软盘有问题，就没测试这个正版了（不过这个正版也很老了，不会比测试的新版强的）。用的是我以前从网上收集的1.57 Build 050802、3.0.0 Build 060228 和3.0.0 Build 060311 。
坛子里前一段有个网友提到这个三茗一键恢复1.57破解版，还在他网盘里提供了下载，我下来看了看，实际是3.0.0 Build 060228 ，和我以前收集的3.0.0 Build 060228 完全一样。

经过在虚拟机里分别安装这三个版本，注册成功后（3.0.0 Build 060311 是提示注册成功了，但重启回来看还是未注册版），到http://bbs.kafan.cn/viewthread.php?tid=362108&extra=&page=1这里下载病毒运行，因为mas1.exe和kao.exe一运行就蓝屏，就单独逐个测试了，其他的几个都是一块运行。经过多次的反复重启验证和恢复验证证实，这几个版本的三茗一键恢复都不能保护userinit.exe。恢复后系统症状是不能进入桌面，必须要手动执行explorer.exe才能进入。经过检查其他都正常，就是userinit.exe被破坏了，只要把事先备份的userinit.exe恢复回来，系统就一切正常了。被破坏的userinit.exe执行了也没事，提交到病毒样本区那两个在线多引擎扫描的网站检查只有AVG报毒，没再发现其他的修改和病毒。

综上所述，三茗一键恢复这两个（1.57 Build 050802和3.0.0 Build 060228 ）破解版虽然是几年前的老版本了，但还是可以一用的，自己再做个进系统桌面前恢复userinit.exe的就更完美了。

fufuji97

如果没有其他生成物，我就认为是假性穿透

lyljj

头一次正儿八经的发个主题帖，说的有点乱。测试的也不是很充分，只是这个针对userinit.exe穿透的病毒。估计针对其他系统文件穿透也一样会被破坏不能还原吧。

最好woods12345有空了把测试SD和RVS的所有病毒都弄上试试，以上测试仅供参考……

lyljj

原帖由 fufuji97 于 2008-11-11 17:46 发表
如果没有其他生成物，我就认为是假性穿透

可以说是假性穿透吧，但因为系统关键文件的破坏，造成不能正常进入桌面，还是会给新手造成麻烦

SONGBOWEN

自己再做个进系统桌面前恢复userinit.exe的就更完美了。

汗，每次开机恢复userinit？防机器狗（或者说机器狗免疫）的新思路- -！

fufuji97

原帖由 lyljj 于 2008-11-11 17:50 发表


可以说是假性穿透吧，但因为系统关键文件的破坏，造成不能正常进入桌面，还是会给新手造成麻烦

恢复了桌面没发现异常？

lyljj

原帖由 fufuji97 于 2008-11-11 17:52 发表


恢复了桌面没发现异常？

必须要恢复好的userinit.exe才能顺利正常进入桌面，否则explorer.exe不会自己启动，要手动执行才能进入桌面。被破坏的userinit.exe执行了也没发现什么异常，检查也都正常，只有一个userinit.exe被破坏了，其他完全正常。

[ 本帖最后由 lyljj 于 2008-11-11 17:57 编辑 ]

fufuji97

原帖由 lyljj 于 2008-11-11 17:56 发表


必须要恢复正常的userinit.exe才能顺利正常进入桌面，否则explorer.exe不会自己启动，要手动执行才能进入桌面。被破坏的userinit.exe执行了也没发现什么异常，检查也都正常，只有一个userinit.exe被破坏了。

跟我测的那个16位程序穿影子2008差不多。我的是explorer完蛋了，得复制explorer过去，就没事了

huhensex

三茗是可以破解成功的，你方法不对，下载下来后，是不是有一个文件夹叫saming，还有一个安装文件FlashRecovery，先用FlashRecovery 安装，完毕，不要重启计算机，用saming文件夹覆盖安转目录，覆盖前务必干掉三茗的进程（记得有两个，一个是monitor。另一个忘了 ），否则无法覆盖。然后重启计算机，重启后，保持防火墙（或者干脆断网）阻止 三茗访问网络；再注册，随便输入几个数字就ok。

[ 本帖最后由 huhensex 于 2008-11-12 12:30 编辑 ]

lyljj

原帖由 huhensex 于 2008-11-12 12:26 发表
三茗是可以破解成功的，你方法不对，下载下来后，是不是有一个文件夹叫saming，还有一个安装文件FlashRecovery，先用FlashRecovery 安装，完毕，不要重启计算机，用saming文件夹覆盖安转目录，覆盖前务必干掉三茗的进 ...

这个我当然知道了，05年底我就用过1.57的破解版了。我是说前两个版本可以注册成功，第三个注册成功了，重启后还是未注册的。

henmy168

原帖由 huhensex 于 2008-11-12 12:26 发表
三茗是可以破解成功的，你方法不对，下载下来后，是不是有一个文件夹叫saming，还有一个安装文件FlashRecovery，先用FlashRecovery 安装，完毕，不要重启计算机，用saming文件夹覆盖安转目录，覆盖前务必干掉三茗的进 ...

LZ下载的三茗1.5.7似乎是在我的网盘下载的
其实破解没那么繁琐的
简单的说安装完毕后，不重启，直接用补丁覆盖回去，然后重启，不管他联不联网{其实他根本都不联网}，直接随便注册个信息就成功了，只有就可以使用备份和恢复的功能了
这个1.5.7是三茗现在的版本中最好的
我跟官方的人员交流过
最新版的三茗很容易出现缓存不足的
不是恢复就是保存
很容易破坏以前的备份状态

distance0

原帖由 henmy168 于 2008-11-15 22:23 发表

LZ下载的三茗1.5.7似乎是在我的网盘下载的
其实破解没那么繁琐的
简单的说安装完毕后，不重启，直接用补丁覆盖回去，然后重启，不管他联不联网{其实他根本都不联网}，直接随便注册个信息就成功了，只有就可以使用 ...

05年的版本，在现在的xp sp3下还能正常使用吗？

huhensex

原帖由 henmy168 于 2008-11-15 22:23 发表

LZ下载的三茗1.5.7似乎是在我的网盘下载的
其实破解没那么繁琐的
简单的说安装完毕后，不重启，直接用补丁覆盖回去，然后重启，不管他联不联网{其实他根本都不联网}，直接随便注册个信息就成功了，只有就可以使用 ...

确实从你那网盘下的，这是我唯一见过的较好的破解版

lyljj

原帖由 henmy168 于 2008-11-15 22:23 发表

LZ下载的三茗1.5.7似乎是在我的网盘下载的
其实破解没那么繁琐的
简单的说安装完毕后，不重启，直接用补丁覆盖回去，然后重启，不管他联不联网{其实他根本都不联网}，直接随便注册个信息就成功了，只有就可以使用 ...

我在前文中说过了，你那个1.57其实是3.0.0 Build 060228 ，真正的1.57我05年收集的就有了。你那个3.0.0 Build 060228 我在06年也收集过的，不信你看看你那个1.5.7安装后点关于就能看到详细版本。
现在百度上能搜到的破解版就是这三个“1.57 Build 050802、3.0.0 Build 060228 和3.0.0 Build 060311 ”，你那个就是中间的3.0.0 Build 060228 。这三个版本我早有了，注册方法就是安装后覆盖重启再随意注册就行了，这个我没提，因为常规的破解一般也都是这样。1.57 Build 050802和3.0.0 Build 060228 可以注册成功，3.0.0 Build 060311 注册必须要联网，当时提示是成功的，但重启就能看到还是没注册。所以能用的破解版就是1.57 Build 050802和3.0.0 Build 060228 。

lyljj

原帖由 distance0 于 2008-11-15 23:12 发表

05年的版本，在现在的xp sp3下还能正常使用吗？

还能用，别说是05年的1.5.7版，就是我1999年买的加密软盘版的三茗，现在照样也能用。三茗一键恢复是我买的第一个正版软件，接触三茗也差不多快有10年了。在我电脑使用水平还很差时（那时候的win98也没现在XP耐折腾），除了Ghost就是三茗比较有用了。
但用了一段时间后就发现，三茗最大的缺点就是这个动态缓冲区。这类还原软件都有这类问题，不管是PS还是SD，其实都要使用实际可用空间的。其他重启就还原还好，三茗是重启后一直保持的，直到你还原或保存为止。这样当实际可用空间都被三茗占用了，但在系统里不会显示的（我买那个老版本的没显示，现在的会有提示可用动态缓冲区的，破解版也算是新版了也有提示的），没有了三茗可用的可用空间，系统就会频繁报错了（文件写入缓存出错之类的），这时候就必须要还原再用了。
也就是说装了三茗一键恢复，最好你的系统盘剩余可用空间尽量大。用一段时间就还原一次，避免缓冲区不足（虽然你在C盘属性上看可用空间还很多，其实三茗都占用了）。而且使用三茗有个最大的问题三茗能重启保持一直用，所以一般人就容易不注意保存C盘的数据了，你用了一段时间后万一系统挂了进不去了，但C盘里有很重要的文件，你把这块硬盘拆下来挂到别的机器上就会发现：C盘里的文件都是你刚装三茗时备份的状态，后面再使用多出来的文件根本都看不到的……也就是你必须要进这块硬盘的系统，由三茗控制的这个系统，你才能看到那些使用修改过的文件，第三方启动只能看到备份的文件。
另外说句题外话，联想有个闪电恢复，就是三茗一键恢复5.0OEM的。梅捷主板有个什么网易通功能，也在BIOS里集成了老三茗一键恢复软件。

distance0

原帖由 lyljj 于 2008-11-16 21:12 发表


我在前文中说过了，你那个1.57其实是3.0.0 Build 060228 ，真正的1.57我05年收集的就有了。你那个3.0.0 Build 060228 我在06年也收集过的，不信你看看你那个1.5.7安装后点关于就能看到详细版本。
现在百度上能搜 ...

能否共享一下这个3.0.0 Build 060228？网上下到几个都很搞笑，破解文件里面就是全部安装文件。

lyljj

henmy168这位大哥网盘里的1.5.7就是，破解完美，使用稳定的，你可以PM他要个地址。

distance0

原帖由 lyljj 于 2008-11-16 21:49 发表


还能用，别说是05年的1.5.7版，就是我1999年买的加密软盘版的三茗，现在照样也能用。三茗一键恢复是我买的第一个正版软件，接触三茗也差不多快有10年了。在我电脑使用水平还很差时（那时候的win98也没现在XP耐折 ...

感谢详细的说明，不知道它默认占用多少c盘空间，c盘数据一点都没修改的情况下？修改了它需要记录，当然会越占空间越多。但希望它默认占用不要太多，安装过雨过天晴，默认就占了200多兆。雨过天晴的空间占用是可以看出来的，虽然c盘看不到它的文件，但能直接在属性里面看到可用空间的减少。

distance0

另外一点，保护98是实模式下接管INT13来拦截写操作的，而nt下据说必须要和系统磁盘驱动挂接才行，你确定那个古老的版本能用于现在的xp？

distance0

感谢henmy168 提供地址，下载安装了说下感受：
安装以后确实是1.5.7，但一覆盖就是3.0.0 Build 060228，而且只覆盖了3个文件就变3.0了，我怀疑主要是那个data。破解我怀疑只需要那个ClientRegist.dll，开始只覆盖了这个，点注册已经不直接提示无效了，因为注册要很久，几次都以为假死关了，等最后终于完全覆盖了，才耐心等到最后注册成功。