|
Как перезаписать 512 байт MBR.
приветствую.
у меня был криптован HDD, посредством DriveCrypt plus pack. Частично раскриптован. После был глюк и сделал ошибочно fixboot /mbr. по итогу слетела загрузочная область где шел запрос пароля. После ряда рекомендаций на одном из форумов, а также при переписке с суппортом софта, была сброшена инструкция: инстракшн
1: Install the SAME version of DCPP on another computer and install
Bootauth on it. Encrypt the drive and start the decryption 2: Save the first PHYSICAL sector of the boot hard drive on the other computer with a file. I recommend to use a Windows program called HxD for this. 3: Transfer the physical sector (512 bytes)on the hard drive with the lost MBR overwriting the restored MBR at physical sector #0. He will have to use a linux or DOS CD with appropriate tools for this operation, or put the drive into another machine and run HXD paste the data over the top of the existing MBR. 4: Scan from the physical start of the disk looking for the sector with the following hex bytes(in ascending order) "22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 00 00 00 00" if the above can't be found he should search for: "22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 01 00 00 00" then: "22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 02 00 00 00" finally "22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 03 00 00 00" When the place on the disk is found identify the SECTOR offset of this data. if the offset to the data is a BYTE offset the value will be wholly divisible by 512 and it should be devided by 512. If it is a SECTOR number then the number should be left as it is. The SECTOR number needs to be expressed in hex. For example Sector 0x000740EF might be identified as the place where the above bytes were found. Now the hex SECTOR number should always have at least eight digits. so if the sector number is written as (0x) 740EF then add leading digits so there are at least 8 digits. IE (0x) 000740EF [This is VERY important]. Now write each pair of digits in REVERSE order, so we get EF 40 07 00. Do NOT reverse the order of the DIGIT PAIR which must remain the same. Basically we are dealing with "little endian" computers which store larger values in low-high order in ascending memory locations. Now, on the NEWLEY restored MBR boot loader at SECTOR #0, at offset 10 decimal, (0x0A in hex) enter there - the four pairs of HEX digits, in the newly reveresed order including any leading zero bytes. Before these digits their should be 80 80 80 80 (but not on all versions so don't worry if not) Save out the sector now modified and reset the computer. If everything has worked then the bootauth screen should appear. Note that I cannot offer any advice on linux or DOS tools to do the search or update the data. He needs to find someone local who knows what they are doing. HOWEVER he can put the hard drive into another Windows machine, and use a free program called HxD to do all he needs including the searching. Note that offsets are expressed in BYTE offsets so he will need to divide his hex value by 0x200 ( in calc hex mode) or 512 in calc DEC mode, before reversing the digits. Windows 7 calc can be placed in programmer-> HEX mode for entering the offset and dividing down. Remember to enter 200 (Hex) for the division when in HEX mode, which is equal to 512 decimal, the size of one disk sector. To access physical hard drives HxD must be started as an administrator. BE SURE YOU ARE ACCESSING THE CORRECT HARD DRIVE with HxD If he installs the drive in the machine he got bootauth from then bootauth should be uninstalled on that machine first. HE will then see a standard Windows MBR on that machine, if he opens the wrong drive. далее мои действия по порядку и где возникла загвостка. 1. на виртуалку поставлена система, поставлен DCPP, закриптован, начал раскриптовывать-прервал (все как по инструкции и как было у меня). 2. зашел через лив-сд, сделал fixmbr. 3. зашел через лив-сд, с флешки запустил HxD, а также на флешку закинул новый newmbr с архива DCPP. 4. в HxD мне надо открыть физический диск я так понимаю? а не логический "зарезервированно системой" ? 5. открываю в HxD файл new_mbr новый который, и открываю "логический диск", тут в виртуалке правда хз как попасть на точный, ибо там их две штуки светится без обозначения буквы диска. буду смотреть по "A disk read error occurred...BOOTMGR is missing...BOOTMGR is compr". 6. настройках, выбираю "512 байт в строке", иначе я не знаю, как мне выделить сугубо 512 байт ? суть в том, чтобы выделить 512 байт в новом new_mbr и кликнуть "копировать", затем идем во вкладку с нашим логич диском и здесь "выделить все" и копировать с заменой. Но загвостка, у меня не активно почему то "вставить". -------------- Поправьте, если где ошибаюсь. далее согласно инструкции от DCPP суппорта, после вышеуказанной замены, ищу 22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 00 00 00 00 и вот концовочку, может кто из технически подкованных людей понимает что следует сделать? Скрытый текст
When the place on the disk is found identify the SECTOR offset of this
data. if the offset to the data is a BYTE offset the value will be wholly divisible by 512 and it should be devided by 512. If it is a SECTOR number then the number should be left as it is. The SECTOR number needs to be expressed in hex. For example Sector 0x000740EF might be identified as the place where the above bytes were found. Now the hex SECTOR number should always have at least eight digits. so if the sector number is written as (0x) 740EF then add leading digits so there are at least 8 digits. IE (0x) 000740EF [This is VERY important]. Now write each pair of digits in REVERSE order, so we get EF 40 07 00. Do NOT reverse the order of the DIGIT PAIR which must remain the same. Basically we are dealing with "little endian" computers which store larger values in low-high order in ascending memory locations. Now, on the NEWLEY restored MBR boot loader at SECTOR #0, at offset 10 decimal, (0x0A in hex) enter there - the four pairs of HEX digits, in the newly reveresed order including any leading zero bytes. Before these digits their should be 80 80 80 80 (but not on all versions so don't worry if not) Save out the sector now modified and reset the computer. If everything has worked then the bootauth screen should appear. |
Вам данные нужны?
|
HarrysFerrarievich, прочитать любой сектор с харда и записать его в любое место на другом харде очень просто. Для простоты считаем, что размер сектора = 512 байтам. Это при условии, что хард подсоединен к стандартному контроллеру (пусть будет SATA), а не хард в коробке с аппаратным шифрованием...
Для этого предназначены дисковые редакторы. Возьмите WinHex или DMDE. Вы сможете откорректировать каждый сектор с точностью до байта. |
Цитата:
Цитата:
так редактор взят HxD, вопрос в том, что я не совсем понял, как в нем сие осуществить, опционально. не дает записать, режим для жесткого диска "только для чтения". вот щас остановился на сим этапе, не пойму где тут сейчас выделить область 512 байт и как сделать замену, т.к. хард в HdR находится в режиме для чтения. Записывать, перезаписывать области не дает. скрин
|
HarrysFerrarievich, с лайва пробовали?
|
Цитата:
там поднял DCPP, криптанул HDD. перегрузился с лайва, сделал fixmbr (также как и на основном пациенте). то есть сделал полную эмуляцию того что сделал с основным HDD. далее загрузился с лайв-сд, запустил HxD редактор, запустил new_mbr (из установочной папки DCPP, новый файл тобишь, откуда буду брать 512 байт). и дальше в ступор впал, че и как делать. - не совсем пойму как выделить первые 512 байт. - не понимаю, как их заменить на hdd, т.к. при переходе на него, HxD редактор показывает "режим для чтения", как его снять не пойму. |
Цитата:
А загрузчик (в LBA = 0) надо модифицировать, вставив по смущению 10 dec = 0x0A смещение в секторах… В WinHex я бы ВСЁ лЁко сделал. А с HxD не работал, поэтому не знаю… ЗЫ Как я понял, для упрощения, MBR сохраняется и модифицируется в файле. А в конце записывается на хард… Может Вы на системный хард из-под активной системы писать хотите...???... Запросто такое система может запретить. |
Цитата:
давайте с ней поработаем. Цитата:
Цитата:
|
Цитата:
|
Цитата:
я эксперементально на другом ессно HDD (т.к. пациен у меня криптован весь целиком, там ниче не создашь), создал виртуалку, которую закриптовал также , и где также нарушил загрузочную область, коммандой fixmbr, вот теперь и пытаюсь перезаписать mbr . обьясните как в winhex'е это осуществить? |
Цитата:
Попробуем… 1. Запускаете WinHex 2. TooLs ===> Open Disk В Окне в Physical Nedia выбираете хард (увы и ах… --- виртальный диск…).:( 3. Как сохранить секторы в WinHex…???... 4. По ALT+1 помечаете начало блока (OffSet = 0), а по ALT+2 конец блока (OffSet = 511 = 1FE). Достаточно слева щёлкнуть по полю смещний и представление изменится с Hex <===> Dec 4. По Shift+Ctrl+N сохраняете фрагмент в файл. 5. Вот этот файл (512 байтов всего Вы и прикрепите к ответу или на обменник выложите… Любопытно мне на тот секретный загрузчик посмотреть… Пока ВСЁ... |
Вложений: 1
сейчас пока с вируалкой поиграюсь, рабочий ли вообще метод, а после уже, буду делать на основном hdd.
вот. именно OffSet = 511 = 1FE ? не 512 ? по поводу загрузчика, прикрепил этот mbr файл в приложении, в архиве. взят он с устновочной папки программы, как того и рекомендовал разработчик. открою этот файл, вытащу отсюда 512 байт начальных и закину с замещением на виртуальный образ - экспериментальный. если интересно, вот тут моя эпопея начиналась, со скринами и паническими сообщениями. Скрытый текст
на том форуме вот что сказали, нужно вкратце сделать "скопировать и записать кусок данных из new_mbr, найти по сигнатуре адрес и прописать его в записанный кусок." и там надо сделать после замены 512 байт следующее- Скрытый текст
Запоминаете адрес сектора с найденной меткой, потом в начале диска ищите четыре парных байта и записываете вместо них запомненный адрес (записывать, естественно, нужно в обратном порядке - т.е найденный адрес 1A 2A 3A 4A нужно будет перевернуть вот так - 4A 3A 2A 1A).
я собственно не совсем понимаю вот этот финальный шаг как осуществить в WinHex редакторе. подскажите может также для чайника? напомню инструкция на англ от разработчика: далее согласно инструкции от DCPP суппорта, после вышеуказанной замены, ищу 22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 00 00 00 00 и вот концовочку, может кто из технически подкованных людей понимает что следует сделать? Скрытый текст
When the place on the disk is found identify the SECTOR offset of this
data. if the offset to the data is a BYTE offset the value will be wholly divisible by 512 and it should be devided by 512. If it is a SECTOR number then the number should be left as it is. The SECTOR number needs to be expressed in hex. For example Sector 0x000740EF might be identified as the place where the above bytes were found. Now the hex SECTOR number should always have at least eight digits. so if the sector number is written as (0x) 740EF then add leading digits so there are at least 8 digits. IE (0x) 000740EF [This is VERY important]. Now write each pair of digits in REVERSE order, so we get EF 40 07 00. Do NOT reverse the order of the DIGIT PAIR which must remain the same. Basically we are dealing with "little endian" computers which store larger values in low-high order in ascending memory locations. Now, on the NEWLEY restored MBR boot loader at SECTOR #0, at offset 10 decimal, (0x0A in hex) enter there - the four pairs of HEX digits, in the newly reveresed order including any leading zero bytes. Before these digits their should be 80 80 80 80 (but not on all versions so don't worry if not) Save out the sector now modified and reset the computer. If everything has worked then the bootauth screen should appear. |
Цитата:
Для интереса пересчитайте пальцы на руках, начиная с нуля. Это будут цифры 0, 1, 2, …, 9. И в Dec, и в Hex будет (основание системы счисления я опустил). Но пальцев будет десять. Last - First + 1 = 9 - 0 +1 = 10dec или Ah Конечно для подсчёта пальцев используются натуральные числа, и никакого нуля мы не используем… Говорят, что появление десятичной системы связано с тем, что у человека десять пальцев. А в компьтинге порой удобно индексировать с нуля и использовать нулевые смещения. Цитата:
Я просил прислать один сектор или 512 байтов, а Вы прислали 74 с хвостиком… Много не мало, и посмотреть MBR я могу. Но не освоили Вы работу с WinHex. :( Потренируйтесь, чтобы не наломать дров… Скачайте DMDE и пришлите мне сектор LBA = 0 из WinHex и DMDE. В DMDE дамп делается так: В главном меню DMDE: 1. Диск --- выбираете физический диск. 2 Сервис ===> Копировать секторы Заполняете поля: Пepвый ceктop: = 0 Пocлeдний ceктop: ---- само посчитается Чиcлo ceктopoв: = 1 Mecтo для зaпиcи ---- выбираете файл. |
Вложений: 1
Цитата:
Цитата:
Цитата:
Цитата:
Цитата:
также по WinHex, тут сложнее было, выделил вроде ту область кликнул shift+ctrl+n и вот сохранил файло. |
Цитата:
Мы видим, что данные начинаются со смещения Offset = 00. Нормальный человек бы сказал, что это первый байт. Но мы люди ненормальные --- он для нас нулевой… А смещение последнего байта Offset = 1FFh = 511dec. Поэтому он для нас пятьсот одиннадцатый. --- Привыкайте… См. Натуральное число Заметьте, что для нахождения смещения байта, в таблице указано смещение строки. Например, 1F0 --- нулевой элемент в строке., а 1FF --- F-ый или пятнадцатый элемент в строке. А столбцов всего шестнадцать --- сверху синенькие номера стоят… Цитата:
--- Внутри классический загрузчик Windows, а не Вашей приблуды (DriveCrypt Plus Pack). А вот первый раз Вы прислали (надеюсь верной версии…) сектор с верным содержимым. ---Сравните… Но нам не нужно 74 сектора, а нужен нулевой… Жду два файла. --- Один из DMDE, а второй из WinHex… ЗЫ Файлу из WinHex давайте стандартное расширение .bin |
Tau_0,
Цитата:
в DMDE вот так оно выглядит, DCPP делает резервный логич диск я так понимаю, может быть там он загрузочную область держит, но я чето содержимого не вижу, а вижу там вот такую картинку: Скрытый текст
а вот сам виртуальный hdd, откуда и скидывал загрузоч область вроде. Скрытый текст
p.s. может я не тот блок копирую, я копировал сегодня нулевый блок, не пойму куда мне надо спустится и какой блок скопировать . |
Вложений: 2
Цитата:
Если в более новых версиях и нет, то смотри в настройки. На скриншоте, в настройках выделил не тот чекбокс, а изменить (удалить) приатаченный файл уже не получается. Добавил исправленный скриншот. |
Цитата:
Это Вы на руборде с ником ferrarievich…???... --- Дело в том, что этот руборд меня путает:( Скрытый текст
Перевожу Ководство:
1: Install the SAME version of DCPP on another computer and install Bootauth on it. Encrypt the drive and start the decryption 1: Установите ТУ ЖЕ САМУЮ версию DCPP на другой компьютер, и установите на нём Bootauth. Зашифруйте драйв (хард) и начните декодирование 2: Save the first PHYSICAL sector of the boot hard drive on the other computer with a file. I recommend to use a Windows program called HxD for this. 2: Сохраните первый (имеется в виду LBA=0) ФИЗИЧЕСКИЙ сектор жесткого диска c загрузчиком, что на другом компьютере, в файл. Для этого я рекомендую использовать Windows-программу под названием HxD. 3: Transfer the physical sector (512 bytes) on the hard drive with the lost MBR overwriting the restored MBR at physical sector #0. He will have to use a linux or DOS CD with appropriate tools for this operation, or put the drive into another machine and run HXD paste the data over the top of the existing MBR. 3: Перенесите физический сектор (512 байтов) на жесткий диск с потерянной MBR --- перепишите восстановленную MBR в физический сектор #0. Для этой операции используйте CD c linux или DOS с соответствующими инструментами, или поместите драйв (хард) на другую машину. В HXD вставьте данные поверх существующей MBR. Вот, что надо сделать в первую очередь… Давайте подробно обсудим и уточним эти три пункта… ЗЫ Больше всего мне не нравится виртуалка… --- На лету ведь должно расшифровываться… |
9285_125
ага, точно, глаза надо шире открывать, увидел, открыл в режиме записи. Цитата:
Цитата:
там видите, этот софт DriveCrypt PlusPack, он криптует весь HDD (то есть с лайв-сд, мы не откроем его), + у меня стояла ПРЕДзагрузочная авторизацию по паролю. Было дело, что то делал, потом хлоп, чето в сейф моде запустилось, пару вопросов в предазгрузочной консоли, типа "восстановить загрузочную область?", я клацнул типа да, потом попытался, с просонья ее восстановить, типичными для ОБЫЧНОЙ системы fixmbr, и соответственно криптованную загрузочную область от DriveCrypt PlusPack я успешно потёр и доступ к HDD вот уже 5-ый ГОД (!!) закрыт. А там столько фотографий, видео, я никак не могу его отформатировать и вот стресс успокоился (5 лет нехило да?)), и я с новыми силами взялся за процесс. С вашей помощью, хотелось бы попытатся попробовать и если уже этот метод не получится, то, я (не скрою) пущу мужскую скупую слезу, налью чего нибудь покрепче, выпью пару таблеток новопассита, и нажав кнопку "format ? - yes", пойду прогулятся по морозу со стекающей слезой с щеки. Я реально очень трепетно отношусь ко всему, к смс-ками, к HDD, как я сделал такую глупость как fixmbr, ума не приложу(видимо потому, что нету), но я бы хотел, чтобы Вы понимали, как сие важно. Поэтому пытаюсь. Я страницой ранее выкладывал даже полную инструкцию от службы поддержки данного софта. Надеюсь, что оно не всё потерянно. Попытка, не пытка. Поэтому, вот эксперементально, я установил виртуальную машину, в ней поднял Win 7, закриптовал ее всю посредством DCPP, сделал загрузочную крипто-область, ну и загрузившись в лив-сд, в консоли сделал fixmbr, чтобы нарушить также загрузоч область ну а дальше вот уже неск дней открыта виртуалка с HeX редакторами. надо выполнить пару планов 1. понять, где именно на hdd, копировать 512 байт, выше вроде относительно разобрались, хоть точно пока нифига не разобрались. или я все таки ту область цеплял, судя по скриншоту? (коль сейчас Вы поняли, что область в new_mbr (512 байт) и на "поломанном" hdd не должна совподать )) 2. понять, как сделать вот это )) "Запоминаете адрес сектора с найденной меткой, потом в начале диска ищите четыре парных байта и записываете вместо них запомненный адрес (записывать, естественно, нужно в обратном порядке - т.е найденный адрес 1A 2A 3A 4A нужно будет перевернуть вот так - 4A 3A 2A 1A). " и согласно инструкции DCPP, мне надо после вышеуказанной замены 512 байт, найти 22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 00 00 00 00 , я правда не совсем понял что делать именно с этой записью, жуть жуткая блин ) Цитата:
я повторюсь, что виртуалка, это обычная ситуация с HDD, там нет отличия, кроме удобства тестов. я поставил на нее Win7, поставил софт DCPP (ту-же версию, что на пациенте), закриптовал, перезагрузился, поломал загрузочную область коммандой fixmbr, ну и далее загрузка там с live-cd и запуск HeX редакторов и пока стою на этом месте.. |
HarrysFerrarievich, вынудили Вы меня поискать описание DCPP.
Мне очень не понравилось следующее ===> Цитата:
По-моему это пипец… :cry: Неспроста Вам указывали на то что DCPP надо поставить на другой компьютер, а не просто на другой хард… --- Это для того, чтобы пароль в BIOS не сбить… А остальное просто как дерево… =========================== Цитата:
В WinHex этот поиск элементарен. Выставляете условие поиска Offset mod 512 = 0, и ищите 2. Модифицируете MBR по OffSet = 0x0A = 10dec номером сектора (в Hex "little endian"). 3. Записываете эту восстановленную MBR на хард с затёртой MBR Давайте побалуемся, чтобы лучше это прочувствовать и осознать... --- Может старые пароли (если они у Вас есть) спасут...???... Найдите последовательность байтов “22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 00 00 00 00” на старом харде. И приложите к ответу картинку из WinHex |
Цитата:
при этом я замечу, что компьютер может юзатся другой, на котором "не проходило первоночальное криптование". поэтому версию по моей ситуации с этим отметаем. наша цель - вернуть стандарт загрузочную область. поэтому предлагаю все - же воплатить инстракшн в действии, я сорри конечно что так долго перехожу к данным этапам )) Цитата:
я только не совсем понял, найдя эту запись(нашел), что с ней надо сделать ? Цитата:
Цитата:
я так понял, что мне надо а) с new_mbr вытащить 512 байт и вставить их тупо в "сбитый, криптованный hdd mbr". б) после чего, найти в восстановленном битом Hdd, запись Скрытый текст
22 AC CD 84 88 42 AD CE CA B0 21 ED 1E 3B 58 41 00 00 00 00
и не совсем понимаю, чего с ней делать, и какую именно область там мне надо записать в обратной последовательности, вообще не втыкаю =(( -- Цитата:
поэтому и восстанавливаем загрузочную загрузку с паролем DCPP ) |
Tau_0, вернитесь я всё прощу ))
|
Цитата:
Что до остального, то я малость закрутился.. :sorry: . Но Вас помню и много чего любопытного накопал... Продолжим на руборде, там проще, поскольку есть долгоиграющая тема по DCPP . --- Заодно в реальном деле проверим чего тамошние знатоки DCPP стоят. И я ещё вчера начал (одного золото погонника уже зацепил/заинтересовал..), но пока Вас там не увидел... |
Tau_0, дружище, вернитесь. )
|
Цитата:
Готовлю хард к экспериментам. Завтра - послезавтра отпищусь. ЗЫ Сообщите Вашу версию DriveCrypt. Я собрался эксперементировать с DriveCrypt v5.4.0 Plus Pack v3.97 (x86x64). Но лучше и проще если моя и Ваша версии совпадают.. |
Цитата:
Цитата:
|
HarrysFerrarievich,
Цитата:
Терял только время --- где-то 2.5 - 3 часа всего на RESTORE... |
| Время: 10:23. |
Время: 10:23.
© OSzone.net 2001-