在此之前,我想先來介紹一下MBR是什么東西。
主引導記錄是位于磁盤最前面的一段引導代碼。一般有過文件系統或者BootLoader的開發經驗,應該都對他很熟悉。一般你讀寫一塊磁盤(或者SD,TF)的第一扇區,他負責磁盤分區的引導信息定位。如果沒有MBR區根本就不用說文件系統。他就像計算機磁盤數據的引路人。如果沒有他,你磁盤文件就涼涼。計算機找不到他在哪。
磁盤鎖做的工作基本就是將你MBR的數據藏起來,換成它自己的引導代碼,很遺憾的是,它必須要你輸入密碼才給你恢復MBR(當然經常因為代碼的兼容性處理的并不好,就是我們說的代碼寫的和屎一樣,所以常常也會及時密碼正確仍然沒有辦法恢復)
可能有些人就說了,這種小問題還拿出來說。一般這種鎖機不就是把你MBD拷貝到第二或者第三扇區,還原回去不就好了。是的的確是這樣。但是對于不知道的人呢?
絕大部分的磁盤鎖程序,會使用CreateFile(A/W)去打開設備符\\.\PHYSICALDRIVE0,引導程序肯定是寫在第一扇區也就是MBR區,寫大小幾乎也是512字節,也就是剛剛好一個扇區大小。
那么,也就是說,我們只需要它打開設備符的時候,將它寫進去的數據給dump下來,當中肯定是包含這個磁盤鎖的鎖機密碼了,這個是原理。
當然磁盤鎖要高那么一丟丟。即使一些小學生也知道給自己的東西戴個套。
現在我給他們詳細講解一些逆向過程。
首先改一下名。上一篇沒提前說。先把磁盤鎖程序改一個名字,(別有漢字)
再還是PE搞起。加載規則腳本(doll db <名字.exe>)
寫文件數據的API是WirteFile,所以,現在,在我們的命令窗口中,
輸入hook WriteFile,然后按下回車
點擊啟動按鈕(就是那個三角形)
在下面菜單欄選擇數據
放個圖吧 不然又懵的很!
一般情況下,第一個512字節的數據,是我們的MBR,這個字符串表明了這點,它就是引導失敗時你在電腦屏幕上看到的那段文字。
你不要問我什么意思,
我們點擊第二個數據包
這種類似BootLoader的代碼一般是16位匯編代碼寫成的
因此我們在編碼欄中選擇反匯編16位
可能有些朋友會說看不懂匯報代碼,沒關系。一般密碼是一資源的形式存在。拉到匯編代碼底部密碼就有了
這樣不就手工了。其實這個也沒有技術可言。
在PeDoll被開發出來后,這種行為分析下的遠控木馬服務端大多無處遁形,個人尤其喜歡的就是使用PeDoll來分析這種遠控,木馬,通過這種行為分析,你可以很容易就找到大部分遠程木馬將自己藏到了計算機的哪里,動了哪些文件與注冊表,與哪個服務器進行了通訊,發送了什么數據包。
我們就可以通過對數據包的分析,給那些企圖加害本人的服務端一點厲害瞧瞧了。當然,當中的知識與抓包分析有更多關系
當然遇到這種的也不用客氣,直接嘿嘿嘿。
使用存儲設備時,有時候可能會遇到無法對磁盤進行寫入或修改操作的情況,這是因為磁盤被寫保護了,那么磁盤被寫保護怎么解除呢?接下來,本文將為您詳細介紹多種解除磁盤被寫保護的方法,以便您解決這一問題。
寫保護的意思就是只允許您讀取磁盤里面的數據,而不允許您儲存數據到磁盤。磁盤被寫保護主要是為了防止存儲介質上的數據被誤刪除或者寫入而進行的物理開關保護功能。在存儲介質上打開寫保護后,就無法往磁盤上寫入任何數據,同樣也無法刪除數據,是對存儲介質的一種保護手段。這種保護可以有效防止磁盤和u盤受到病毒的攻擊和他人非法刪除自己的文件。
寫保護分為兩種:一種是硬件,就是常說的寫保護開關,一種是軟件寫保護,是通過管理工具對U盤內的文件進行保護。
磁盤被寫保護的原因可以有多種,在不同的場景下可能會存在不同的原因。以下是幾種常見的情況:
1)自帶開關或鎖定
某些存儲設備(如SD卡、USB或移動硬盤)可能配有開關或鎖定機制,用于控制寫保護功能。
2)文件系統錯誤
磁盤的文件系統可能出現錯誤,導致系統將其自動設置為保護模式,避免數據進一步的損壞。
3)磁盤正在被使用
如果有其他程序或進程正在使用磁盤,操作系統可能會將其設置為只讀以避免數據沖突或損壞。這通常發生在某個應用程序正在訪問磁盤上的文件,或者磁盤被其他用戶或進程鎖定的情況下。
4)磁盤故障
在某些情況下,磁盤硬件可能存在故障或損壞。為了確保數據的完整性和安全性,操作系統可能會將磁盤設置為保護模式,以防止進一步的損壞或數據丟失。
磁盤被寫保護怎么解除?您可以通過以下方法解決磁盤被寫保護的情況:
方法1、關閉保護開關
檢查存儲設備(如 SD 卡或 USB 設備)是否有寫保護的開關,可以右鍵查看是否有寫保護項,如果有的話,將保護功能關閉即可。
方法2、修改注冊表
1.按 Win+R 打開“運行”,輸入 regedit 并按回車鍵;
2.轉到“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\StorageDevicePolicies”路徑,請確保 WriteProtect 的值為 0。
3.如果不存在 StorageDevicePolicies,請右鍵單擊控制并選擇新建項 - Key,然后將新項命名為 StorageDevicePolicies,保存并退出注冊表,然后重啟電腦即可。
方法3、CMD命令解除
1.按 Win+X 打開快速菜單,選擇“命令提示符(管理員)”;
2.每輸入一次命令就按一次回車鍵“diskpart - list disk - select disk #(# 是要取消保護的磁盤號,找到想解除保護的磁盤號) - attributes disk clear readonly”
3.完成以上操作,即可解除保護屬性。
方法4、檢查磁盤驅動器和USB端口
有時,磁盤驅動器或 USB 端口可能有問題,導致磁盤被寫保護。您可以嘗試更換磁盤驅動器或 USB 端口,看看是否能解決此問題。
方法5、格式化磁盤
如果以上方法都無法解除寫保護,就只有將磁盤給格式化了。需要注意的是,格式化操作會清除掉存儲設備里面所有的數據,建議您先把重要數據取出來,再進行格式化操作。
我們在處理的過程中,可能會導致某些數據丟失,在這種情況下,我們可以先使用易我數據恢復(EaseUS Data Recovery Wizard)軟件將其找回。易我數據恢復軟件是一款專業的數據恢復工具,可以幫助用戶快速恢復因誤刪除、格式化、部分病毒攻擊、操作系統崩潰等原因造成丟失的數據,支持恢復各種類型的文件,包括文檔、照片、視頻、音頻等,并且操作簡單,即使是第一次使用也可輕松操作。
步驟1. 確認丟失文件/文件夾所在的位置,如果是外置盤,請提前與計算機進行連接。運行易我數據恢復軟件(EaseUS Data Recovery Wizard),選擇丟失文件/文件夾所在的分區執行「掃描」操作。
步驟2. 在掃描過程中或掃描完成后,您可以點擊找到的文件/文件夾進行預覽,同時可通過軟件右上角「篩選」和「搜索」兩個功能高效快速查找相關文件/文件夾。
步驟3. 找到丟失文件/文件夾后,直接勾選執行「恢復」操作,切記恢復后不要將找到的文件/文件夾保存在源盤,避免原始數據被覆蓋,增加數據恢復難度。
磁盤被寫保護怎么解除?當磁盤被寫保護時,這可能會限制我們對存儲設備進行寫入或修改操作,但我們可以通過以上的方法解除磁盤的寫保護。希望本文對您有所幫助!
工作電腦上有額外的一塊硬盤,存一些和工作無關的個人的資料。平常工作的時候BitLocker鎖住,需要用的時候就輸入密碼打開,也不會有人用我的電腦,這么操作純粹是比較方便。以前這么用過很久,沒有問題。前一陣機器重裝了,我換了一塊閑置的固態硬盤上去當個人資料盤。奇怪的事情出現了,系統所在的硬盤的兩個盤都有Bitlocker選項,但是我這塊新加的固態硬盤沒有Bitlocker的選項。百度谷歌抖音搜了一圈,在知乎上找了一個相近的問題,大致理解了Windows的TPM(Trusted Platform Module) :
TPM是什么?從學名上來說,它指的是“可信平臺模塊(Trusted Platform Module,TPM)”。但實際上,按照Windows系統中關于TPM的說法,我們完全可以將其簡單稱為電腦的“安全處理器”。
為什么這么說?因為TPM的作用主要是兩點。第一是密鑰計算,也就是用其內置的各種加密算法,生成或是核驗電腦里的密碼。這些密碼可以是硬盤的加密鎖,可以是操作系統用于校驗自身完整性(檢查程序是否被篡改)的特征碼,也可以是某些專業軟件的激活碼,甚至用戶平時網購的交易密碼。
其次,TPM本身也是電腦里的一塊加密存儲單元,它不僅可以計算密鑰,同時也可以存儲密鑰。并且由于TPM使用的是完全的專用電路,整個計算和存儲的過程都可以不經過內存,并不會在硬盤中留下痕跡,所以密鑰生成、核驗及存儲安全性非常之高。
以上摘自知乎。
簡單來說TPM就是windows電腦用來計算和存儲密鑰的一個單元,新一點的電腦都帶--有的是在主板上,有的是集成在其他芯片里。
Windows的系統密碼和Bitlocker就依托于這個TPM。
不再展開了,再展開就露怯了,因為我只是大體了解。
回到問題本身,我的理解就是:我的個人硬盤是在系統重做以后加上去的,沒有在windows 系統的TPM的信任的硬件里邊,所以不能使用Bitlocker。解決辦法就是清除TPM信息,系統重新啟動以后會重設一遍,這塊硬盤就會被加入到TPM,就可以使用Bitlocker了:
需要注意的一點是,清除TPM重啟windows以后,你的Windows Hello的PIN就得重設了,如果是用的筆記本,可能指紋也得重設。