ganber兄在我的《关于沙盒软件sandboxie的基本使用方法介绍》帖子里提出使用还原卡，我本是想帖子里说的，但感觉一下说不清，所以又另开了一贴分享给大家，共勉之！

首先使用还原卡是一种简单有效的防病毒的方法，这不可否认。老夫只是认为使用还原卡不如使用沙盒，以下是我的看法，ganber兄，别介意啊。

我们先来了解一下还原卡是什么？还原卡就是可以让你的计算机在被破坏的时候，把系统还原到最开始的状态，这里的被破坏是包括有意或无意的删除、更改系统文件，从而达到防御病毒的目的。

还原卡分硬件还原和软件还原两种，软件还原就不说了，我们重点说下硬件还原。硬件还原卡其实就是一块硬件芯片，把它和其它的电路元件集成到一块扩展卡，然后插在计算机的PCI扩展槽里。

那它是怎么工作的呢？首先它要接管基本输入输出系统的INT13中断,接着备份文件分区表、引导区及中断向量表等信息，把这些都存在硬盘里的保留扇区里，然后把自带的以上信息替换并调用。然后不同的还原卡厂商会用不同的方法，把一层过滤驱动嵌入在文件系统和磁盘驱动之间，然后把所有磁盘的读写都映射到缓冲区中，所以还原卡要想正常工作那么最重要的就要在Windows操作系统启动前就要得到执行权，并在硬盘的第0磁头0磁道的第一个扇区（也就是我们常说的MBR了）写入自己的代码，把原来的把硬盘原来的MBR的数据保存在其它的扇区中。还原系统修改中断INT 13H入口后，还会修改其它的一些中断入口。并监控INT 13H的入口地址，数据一旦有变化就立刻把它恢复成原来的数据。这就是还原卡的工作原理。

好吧原理出来的，那病毒也就来了，具体的因版规我不方便多说，反正就是采用了Hook系统的磁盘设备栈达到穿透目的，把恶意数据用覆盖的方式写入硬盘，让硬盘中的一个文件被真实的覆盖。注意，此病毒病毒并没有破坏‘还原保护程序’系统，也没有使其还原功能失效。只是安装了一个病毒自己的磁盘过滤驱动去操作真实的磁盘I/O端口，它的功能基本只有一个，自行下载很多其它恶意程序并安装运行，但重新启动计算机后，这些都会被‘还原保护程序’系统还原掉的，只是唯一那个被修改覆盖的真实磁盘文件没有被还原。如果发现重新启动计算机后，系统中依然有一大堆病毒在运行，其实，这些都是系统重新启动后，由那个被修改覆盖后的系统程序全部重新下载回来并安装运行的恶意程序。也就是说，每次重新启动计算机，都要重新下载安装一次所有的其它恶意程序”。

最后，还原卡为什么能被穿透是因为磁盘过滤驱动的保护级别不高，病毒又是使用的绝对偏移量的方式写硬盘数据，所以还原卡也不是很安全！


by zixi1
2014.11.26

楼主解释得很有技术含量，在支持之余，我其实在想象高手的电脑应该不会说等待中毒后去解决病毒，应该是防范上面下功夫，因此其实我对高人的电脑防范软件比较感兴趣！

引用:

原帖由 wolf51736 于 2014-11-27 19:03 发表
楼主解释得很有技术含量，在支持之余，我其实在想象高手的电脑应该不会说等待中毒后去解决病毒，应该是防范上面下功夫，因此其实我对高人的电脑防范软件比较感兴趣！

嗯，我觉得高手之所以叫高手就是你得不到他独门而犀利武功的修练法门，而每个高手都自己的禁招，所以这些都不要去想了，我们是得不到的。

我个人倒是推荐wolf51736兄去试试纯手动的HIPS软件，虽然这类软件很闹心，但我推荐的理由是用这类软件来了解或者学习一下程序（含病毒）在系统底层是怎么运行的，在掌握和理解了程序的行为后才能对病毒类加以分析，从而修练属于自己的独门武功。

纯手动的HIPS软件真心很强大，老夫当所第一次接触到此类软件时给我很大的震撼，会有很强烈的安全感，也是第一次才发现原来计算机几乎被完全掌握在自己的手中，以前所了解的那一点点知识就好像冰山露在海面上的那一角，而海下面的庞大是不敢想像的。

祝你好运！

[ 本帖最后由 zixi1 于 2014-11-27 20:31 编辑 ]

电脑还原卡落伍了  可以 说没人使用了。

引用:

原帖由 kionaleung 于 2014-11-28 07:25 发表
电脑还原卡落伍了  可以 说没人使用了。

是的，主要原因在于某些病毒（XX狗、X影、XX门等）专门针对还原卡（不管硬件还原还是还原）的工作原理可以对还原卡进行穿透，甚至可以进驻MRB，让你重做系统都没办法清理掉。

还原卡刚出的时候是很牛，但07-08年各高校和网吧因这些专门穿透还原卡的病毒爆发后（这里奇怪的是，当时此类病毒基本上在国内流通，国外却很少，故业内猜测是行业内杠），就开始没落了，现在装的人很少了。

学习了，基本上没有接触过还原卡，都是用的软件还原，以前用还原精灵，现在用一键ghost。

自从病毒能穿透还原卡之后 还原卡就彻底歇菜了