用批命令文件修复硬盘主引导扇区

微机硬盘的主引导扇区,存有硬盘主引导记录和分区表等重要数据,历来是引导型病毒攻击的目标.人们常用DEBUG编—汇编语言程序,利用INT13H的02H功能将硬盘主引导扇区的内容读出,在硬盘以文件形式或存放在软盘上作为备份.若硬盘主引导扇区被病毒感染,再用DEBUG编—汇编语言程序,利用INT 13H的03H功能将备份写入硬盘主引导扇区.在读、写盘过程中,两个汇编语言程序内容变化很小,均用DEBUG编写颇为麻烦,不如用批命令文件编写这两个汇编语言程序更为方便.     

如何实现一些软件的全屏幕显示功能

许多流行的汉化软件(如CDBASEⅡ,CDBASEⅢ,WS等)在微机0520CH的高分辩汉字系统下都成了半屏幕显示,为了使这些软件能正常地进行全屏幕操作,必须修改其相应的屏幕显示控制程序。下面以DBASEⅡ(V2.41)为例,说明如何修改。1.找DBASE.COM显示行控制参数用DEBUG.COM把DBASE.COM(一般带COM或EXE扩展名的文件需要更改其扩展名)调入内存,利用搜索命令(S)找到所有显示控制程序段/子程序。显示器驱动是由中断处理程序INT10H实现的,要在反汇编后的命令中找出与显示有关的程序段/子程序,只要找到含INT10H这条指令的程序段即可,在INT10H的入口参数中不难确定哪些参数是行控制参数。经分析,下面存储单元中的相应语句正是控制屏幕行数的关键。     

实战DEBUG之提高篇

大家好,经过前两篇文章,大家是否对程序的运作过程有了一定的了解,可能已经有朋友的DEBUG实力在我之上了,好怕怕！再次重申:破解成功,在朋友之间卖弄一下就可以了,可不要D版喔！ 上次预报这次要对付有反跟踪手段的程序,在实战之前,先明确几个概念。静态反跟踪:把软件源程序密码化,使DEBUG工具反汇编的语句让人无法看懂;动态反跟踪:防止用DEBUG具的T命令(单步操     

屏幕信息的安全保护

计算机显示器的屏幕数据显示，是人机对话的重要手段，也是信息泄露的重要通道。非法用户常以屏幕为手段对系统进行非法访问；计算机用户有时在系统启动时或系统运行的中途为使有关信息不被泄露，实现软关闭屏幕方式，需要时，再激活屏幕显示。笔者在实践中，用一种简单的方法达到了这个目的。现通过本文将此种方法介绍给大家。用DEBUG分别编两个ONVGACOM和OFFVGA．COM文件。这两个文件利用了INT10H的12H功能，完成视频的允许和禁止刷新。具体操作如下：C＞DEBUG－A100XXXX：0100M0VAX．1200XXXX：0103M0VBL，36XXXX…     

Pctools R3.00的汉化技术

英文Pctools进入系统后是以直接填充显示缓冲区的方式显示字符,所以对于汉字信息只以扩展ASCII码的形式显示在屏幕上,汉化的关键是使要显示的信息进行汉字内码处理后再送屏幕显示。我们可以利用CCDOS中显示器管理INT 10H来进行修改,汉化的内容就是要修改原来的显示模块,使其具有汉字处理能力,为此用DEBUG进行跟踪分析。     

DOS6.22版本DEBUG的汉化

DEBUG调试程序是一种最为常见的软件调试工具,它配置在MS DOS各版本的系统盘上.在对软件剖析、动态调试、磁盘软件的加解密、分析消除电脑病毒等方面发挥着不可低估的作用.西文原版DEBUG的D命令是不能显示汉字的,调试时用户诸感不便.如何对其进行汉化,一些报刊或许对低版本DOS方面介绍得较多,而对高版本涉及得少些.随着高版本DOS日益流行,用户过去在低版本DOS下汉化的DEBUG若移植到高版本,系统不予承认.除非修改DEBUG程序中INT21中断取DOS版本号的内容才可使其兼容.此     

INT OSH 时钟中断的两个用途——加密与解密

INT 08H时钟中断属于硬中断,每1/18.5秒发生一次,其执行的任务由BIOS程序控制,同样亦可由用户自编程控制.现简单介绍INT 08H在软件加密、解密方面的用途.一、软件加密通过修改INT 08H中断,使之指向待加密程序中的某一段,实现有效地反跟踪.若在加密程序中用新的INT08H中断产生下一个跳转地址,或一段程序或下一段程序解密的密钥,跟踪工具就难以正确跟踪.     

反跟踪的灵活运用

关于反跟踪方面的书刊、文章已有不少的介绍,但各局限于文字说明偏多、实例偏少和分布过散等诸多原因,使大家一时难以理解领会反跟踪技术的种种奥妙,更谈不上灵活运用。反跟踪技术博大精深、新巧手段层出不穷;笔者在此搬门弄斧,将自己在实践中碰到的有特色的反跟踪程序段整理出来奉献给大家,就做个引玉之砖吧。 一、“栈边缘”战略 “栈边缘”战略就是将一些重要的数据放在内存易变的单元中或是调试程序本身必须占用的内存单元中,借以破坏调试程序的运行环境。下面的例1就是将转移地址放于中断向量0:D处,破坏中断INT3,而使调试程序(如DEBUG)无法动态跟踪。     

为DEBUG·COM增加内部命令

<正> IBM-PC机上配的动态调试程序DEBUG·COM,为用户调试程序提供了很好的工具。但在使用DEBUG调试,剖析一些程序时,总感到有些功能DEBUG没有提供而不方便。例如:汇编命令A没有提供允许标号功能,用户在DEBUG状态下临时写段实验程序就很不方便,主要是转移地址不好预算。再如:DEBUG没有提供1016进制数转换功能命令,但在剖析某些软件时常用到。因此,在DEBUG·COM程序中增加了这些功能和命令,现将其方法介绍如下。一、DEBUG·COM的简单工作过程 DEBUG装入内存后,首先进行初始化工作,生成欲调试程序的程序段前缀,将欲调试程序从磁盘上装入内存(若DEBUG命令后面没有带欲调试程序的     

Apple机DEBUG的F子命令的恢复

DEBUG是Apple机GP/M操作系统下的Z80系列汇编调试程序,在调试过程中(尤其是与单板机等相连作为开发工具而需用其命令文件参与时)其F子命令的功能是一个很有用的功能,但笔者所接触到的DEBUG版本(V00.08,V00.17)其F子命令都是无效的,通过分析对其进行局部修改后恢复了其功能并能进而指定驱动器。F子命令需与R子命令配合使用,用法如下:(“-”为DEBUG提示符)-Ffilename.ext;设置欲读入的文件名-R××××;读入该文件,地址比原偏移××××H+100H,无××××则按原文件地址存放     

增强动态调试程序DEBUG的跟踪能力

众所周知,DEBUG调试程序是一个功能很强的工具软件,主要用途是调试汇编程序,配备完整了的跟踪命令集,DEBUG在提供一个可控制的测试环境的同时提供了一个可控制的跟踪环境,为监视和控制程序的运行提供了充分的支持,是对一般加密软件进行分析解密的主要工具。因此也就出现了各种针对动态调试DEBUG而采取的一系列反动态跟踪技术措施。 反跟踪手段总是利用和围绕动态调试程序DEBUG的弱点和特性进行的。因此我们     

为DEBUG扩充软件结构分析功能

DEBUG 是 IBMPC 机随机提供的系统软件之一,主要用于对汇编语言编写的程序进行调试。它总共提供了18条命令,包括汇编、反汇编,用户程序装入内存、写回磁盘,显示,搜索、比较、修改、移动、填充内存内容,显示、修改各寄存器值,16进制加减法,设置断点的程序执行,单步跟踪执行和端口输入输出等功能。这些功能对于调试程序来说,是实用而方便的,但若用于目标代码的软件结构分析,例如对于.COM 文件或.EXE 文件,却很难胜任。这是因为 DEBUG 仅仅是作为一个程序调试工具而设计的,并不想让使用者把它作为一个软件分析工具。然而,DEBUG 的绝大多数命令,对于软件分析来说,也是不可缺少的,例如程序装入、反汇编、单步跟踪等等。如果在 DEBUG 的基础上,增加适当的功能,例如,用户程序的执行路径记录,对子程序调用深度进行有选择的单步跟踪,则会使扩充后的 DEBUG 在软件结构分析方面,亦成为有效的工具。     

多路中断INT2FH的分析与应用

DOS系统的INT2FH是未见文档的中断调用功能,被称为多路复用中断。系统在执行内部命令和外部命令时首先要调用该中断,判断该命令是内部命令还是外部命令即应用程序,如果是内部命令则利用DOS系统内核功能执行之;如果是外部命令则查找其所在目录,然后利用DOS内核功能加载并执行之。笔者通过对该中断进行跟踪分析,总结出DOS系统中多路复用中断INT2FH在命令执行过程中的具体工作原理     

DOS命令的链接方法

在DOS命令行状态下,计算机正处于调用DOS的INT 21H中断的0AH号功能,等待输入命令,此时DS:DX所指向的缓冲区中,保存着上次输入命令的完整的命令名,这样我们可以对上次命令进行分析比较,如果为需要链接的第一个命令,就自动执行第二个命令,实现了二者的连续执行。文后所附程序是针对CD和DIR命令连接而编制的,程序中利用了INT     

用软件的方法实现软盘驱动器互换

本文采用修改BIOS的INT13H调用的方法实现软驱的互换。对磁盘的操作基本上都是通过对ROM BIOS中的磁盘操作子程序INT13H的调用来实现。在调用INT13H之前,先送入口参数。在入口参数中,DL寄存器中的值为驱动器编号,其中00H表A驱,01H表B驱。 可以在INT13H前面添加一段程序,使得在执行INT13H子程序之前,先改变DL寄存器中的入口参数值。若DL为00H,则改为01H;DL为01时,则改为00H,其他情况则不作修改。这样在执行INT13H时,原软件(命令)对A驱的操作现在相当于对B驱操作,反之亦然。这就实现了A驱、B驱的互换。     

技巧问答

一、软件使用问答问:如何清除BIOS的密码? 答:就用电池将电池槽的正负极短接一下就行了。还有三种简单的方法: 第—个:在DOS命令行运行DEBUG程序: C:\DOS>DEBUG 然后输入以下DEBUG命令: 0 70 16 -0 71 16 -Q 这样,CMOS设置中的全部数据信息都被清除,然后重新启动电脑,这样就可以进入CMOS设置了。第二个:在DOS命令行运行DEBUG程序: C:\DOS>DEBUG 然后输入以下DEBUG命令:     

为CAD软件增加自动存盘功能

在使用AUTOCAD软件时，有时常常因操作不当或突然掉电而不能将文件及时存盘，致使长时间的工作付之一量。笔者总结以往经验，编写了该软件的自动存盘程序，供CAD使用者参考。C）DEBUG－A100PUSHAXPUSHBXPUSHCXPUSHDXPUSHESPUSHDSPUSHSIPUSHDIMOVAX，3508；取INT8中断向最INT21M     

TURBO系列高级语言的反跟踪技术

当今比较流行的计算机语言是TURBO系列,例如TURBO PASCAL、TURBO C、TURBO BASIC 等.大多数的程序员都喜欢用TURBO系列高级语言来编写各种应用程序.为了维护自己的软件版权,防止他人非法拷贝,程序员往往在程序中用日期函数去限制用户的使用时间和安装次数.由于在TURBO系列语言中的日期函数(GET-DATE)是用DOS INT 21H中的2AH号子功能完成的,调用的汇编语句为MOV AH,2AH;INT 21H,其机器码为B42ACD21,因此对于有经验的程序员这是一个漏洞,他们常常能用PCTOOLS中的FIND功能、DEBUG和SOUCER跟踪找到日期函数的机器码(B42ACD21),再用各种工具软件修改日期函数或加入空指令,从而使日期函数失效.例如早期的CCED软件用这种方法就可以解除使用日期限制.     

如何用INT 13H修复硬盘介质描述错误

包含在DOS引导扇区中的BIOS参数块记录着与磁盘介质及格式化有关的信息，以笔者的硬盘为例，其内容如下：注意到偏移第15H字节为磁盘介质描述字节，对于硬盘而合应为F8。若其值被修改，将会造成硬盘无法使用，甚至用DEBUG的L、W命令都无法修复硬盘的DOS引导扇区。因一位朋友练习使用DEBUG，用L命令调出DOS引导扇区后，将介质字节改为00并用W命令存盘。当第二次开机时，屏幕显示“Non－s｝stendiskordiskerm”；改用A盘启动成功后，对C盘执行任何DOS命令均提示“InvalidInediatwIea（llndriveCMx）rt，Reny，Fal？”若用DE…     

1091病毒的内部剖析

笔者最近在机器上发现一种怪现象,用DIR等读盘命令时,屏幕出现严重的抖动现象并拌有不规则的读盘声音,便怀疑是病毒作怪。使用KV300(B+)没发现病毒,但仍不放心。于是重新用干净的系统盘启动,然后用DEBUG去查看COMMANDCOM(DOS6。22)。果然发现有一段外壳程序,但是用DEBUG是不可能跟踪的,选用SOFT—ICE来跟踪它,才发现这是一个设计巧妙的病毒程序。 该病毒属于文件型外壳病毒,属于恶性病毒,它修改DOS中断,降低系统速度,更严重的是,当有读盘动作时,便触发病毒,感染当前工作路径下所有的COM和EXE文件。虽然此病毒长度为443H(1091)