COMODO 时光机并不是真正还原数据··

bbbxyoiil

我要真自试一下,

nazisoft

在保护模式下，时光机可以将用户对磁盘的写入转向，存放在空白的扇区内，虚拟还原就是一个映射。当你用PE启动删除文件的时候就绕过了时光机的保护，也就无法还原了。学校使用的还原卡也是这种原理，不安装驱动是不能保护硬盘和执行还原的。

ccc-a

快照这类词语都是来自虚拟机的专用词语，用脚指头想都知道不是拿来用于还原系统的了...

独步行

回复 22楼 nazisoft 的帖子

呵呵，好奇的问一下：这个是硬件还原卡吗？自己感觉如果是硬件的话，应该可以在任何时候保护吧，居然也是只能在当前系统下保护啊？谢谢了

nazisoft

回复 24楼 独步行 的帖子

在Windows下，任何硬件设备都需要驱动程序才能运转，像显卡、声卡、网卡、硬盘、光驱、显示器、键盘鼠标都需要驱动程序，没有驱动就不能工作，不同的操作系统还需要专门为自身设计的驱动。COMODO时光机是软件，但是原理基本上与还原卡相同。在DOS、Windows95、98时代（实模式），还原卡是不需要安装驱动程序的，还原卡插入主板的PCI插槽，在硬盘引导之前就获得了控制权，还原卡备份了MBR、FAT表、目录区，拦截BIOS的INT13H中断，对硬盘的写入操作进行转向，保存在硬盘的空白区域内，并进行映射，还原的时候清空这块区域便实现了还原。破解的方法是在DOS下使用Debug命令填入原始的中断向量表，这样还原卡就失效了。Windows 2000、NT、XP、2003、VISTA、2008、7是采用NT操作系统的核心，NT是保护模式，还原卡就需要驱动程序来工作，这样还原卡的神话就被打破。实际上这个驱动的作用与影子系统一样，就是对磁盘的读写请求进行过滤，所以说还原卡实质上还是软件还原，都是工作在Windows内部，没有驱动自然也就失效。远志还原精灵、时光机、雨过天晴通过修改MBR和拦截INT13H中断向量也能够实现与还原卡相同的效果，称之为“软件保护不用卡”。传统的还原原理基本上是拦截INT13H中断向量和磁盘过滤，还原系统与硬盘没有密切联系，所以容易被病毒钻空子，机器狗、鬼影就是在这个上面做文章，读写请求没有经过过滤驱动而直接下发到磁盘设备上便实现了穿透。国内的某还原卡应该是在硬盘端口上做监视的，但是也需要安装驱动；硬件虚拟化可以从硬件层面对硬盘读写做监视，但是也需要驱动；无盘的读写是由服务器控制的，所以不会被穿透，所以无盘在未来是个趋势。

z13667152750

时光机,雨果天晴之类的本来就不是数据备份,和ghost不同

是增量备份,不是完整的备份

aleax

楼主你真幽默

独步行

回复 25楼 nazisoft 的帖子

谢谢你的解答辛苦了，原来进入2000以后赢家保护就不再是可直接控制硬盘了，就重定向操作来说，感觉倒跟sandboxie没什么区别。
从你前面对驱动的解说看来，是不是现在所有的对硬件操作都被系统强制控制住而不允许有例外了吧，所以凡是涉及到硬件的都需要驱动来作为桥梁了。但是“机器狗、鬼影就是在这个上面做文章，读写请求没有经过过滤驱动而直接下发到磁盘设备上便实现了穿透。”这句又说可以不经过驱动而直接进硬盘，有些不明白，能否再解释一下
再次感谢！

nazisoft

回复 28楼 独步行 的帖子

穿透还原的基本思想就是摘除或者绕过还原系统的监视，这里的监视是通过挂钩的磁盘过滤实现的，病毒使用比还原软件更底层的技术，因为实现在过滤驱动之下，所以所做的文件读写还原软件是无法捕获所以就达到了穿透的功能。驱动是十分广泛的概念，有时候是调用系统的某个内核功能，一般在Windows下，不加载驱动是不能直接操作硬件的，大多数穿透还原的病毒都是需要加载驱动的。一代鬼影加载驱动以后，直接向磁盘端口发送读写指令，这样读写请求就没有经过还原系统的过滤驱动，自然就穿透了还原

独步行

回复 29楼 nazisoft 的帖子

哦，知道了，感觉这年头还原软件和病毒软件大部分技术都在写更强大的驱动上去了啊，呵呵，这样看来如果通过hips限制住软件的驱动加载的话就可以搞定这类病毒了，呵呵，谢谢你。最后再回到上面那段话的最后一句“无盘的读写是由服务器控制的，所以不会被穿透，所以无盘在未来是个趋势”，是这个意思吗：无盘读写是通过将读和写分给不同的盘来实现，数据的读和写入磁盘都是通过服务器控制，所以病毒没法做到更底层的驱动，也就更安全了。可以这样理解吗？
小白第一次听说这个无盘读写，谢谢你的耐心解释