还原卡——百度百科

还原卡

百科名片

  

还原卡

还原卡全称硬盘还原卡，是用于计算机操作系统保护的一种PCI扩展卡。每一次开机时，硬盘还原卡总是让硬盘的部分或者全部分区能恢复先前的内容。换句话说，任何对硬盘保护分区的修改都无效，这样就起到了保护硬盘数据的作用。这一点，对于维护在公共领域使用的计算机有很大的价值，因此广泛应用于学校的计算机实验室，图书馆和网吧。

目录

日常应用

工作原理

主要功能

安装使用

注意事项

各种型号

展开

日常应用

工作原理

主要功能

安装使用

注意事项

各种型号

展开

编辑本段日常应用

由于还原卡能够有效的使硬盘的数据保持在设置为保护时的状态，对于学校计算机实验室的维护非常有用。因为每堂课学生所做的操作。在重新启动之后，都将恢复原样，下一堂课的系统软件环境依然是全新

  带网卡还原卡

的。所以，还原卡产品逐渐成为学校计算机实验室的标准配置，许多品牌PC在针对学校的机型当中甚至集成了还原卡产品。

也正因为这样，还原卡厂商为了满足学校计算机实验室的维护需要而添加了更多功能。有些已经远远超出了操作系统保护方面，但由于还原卡已经为广大用户所熟知，因此，大部分产品依然延续了“还原卡”这个产品名称。

编辑本段工作原理

还原卡分两种类型，不同的原理：

一种是普通的还原卡，物理上不直接接管硬盘读写；

如：增霸卡、海光蓝卡、小哨兵还原卡、三茗还原卡、热带雨林系统还原卡等。产品形式是一个扩展卡，但是

  普通还原卡

，跟硬盘没有直接的关系。如图所示：

普通还原卡安装在主板插槽里，在卡上有一片ROM芯片，根据PCI规范，该ROM芯片的内容在计算机启动时将最先得到控制权，然后它接管BIOS的INT13中断。将FAT、引导区、CMOS信息、中断向量表等信息都保存到卡内的临时储存单元中或是在硬盘的隐藏扇区中，用自带的中断向量表来替换原始的中断向量表；再另外将FAT信息保存到临时储存单元中，用来应付我们对硬盘内数据的修改；最后是在硬盘中找到一部分连续的空磁盘空间，然后将我们修改的数据保存到其中。这样，只要是对硬盘的读写操作都要经过还原卡的保护程序进行保护性的读写，每当我们向硬盘写入数据时

  蓝芯防毒墙实物照片

，其实还是完成了写入到硬盘的操作，可是没有真正修改硬盘中的FAT。而是写到了备份的FAT表中，这就是为什么系统重启后所有写操作一无所有的原因了。

普通还原卡100%都需要操作系统之上提供过滤驱动程序来实现还原算法的运转。过滤驱动在操作系统之上是一个所有软件都可以去争夺的控制权，因此，普通还原卡不可避免的不能保证所有还原都可靠。很多病毒，如机器狗类病毒，本质就是破坏或绕开过滤驱动来实现还原的穿透。

另一种是新型还原卡，物理上直接接管硬盘读写。

如：蓝芯防毒墙。右图所示。

  蓝芯防毒墙跟主板、硬盘连接图

这种新型还原卡跟普通还原卡，原理上已经有了很大的不同，首先不完全依靠BOOTROM来取得控制权了，而是总线硬件直接获得控制权，这样更可靠的获得对计算机数据资源的控制；另外，因为直接控制了硬盘的物理读写能力，这样可以实现硬盘硬件读写的驱动和还原算法合二为一，也就是没有普通还原卡的过滤驱动了。这样就彻底避免了普通还原卡还原不可靠的问题。

编辑本段主要功能

操作系统还原

这是还原卡的基础功能，也是还原卡名称的由来。值得注意的是由于网游的快速发展，盗取虚拟游戏装

  千兆型还原卡

备有很大的经济利益，而安装在网吧的还原卡具备还原功能，对盗取游戏帐号有很大的阻碍，前几年，出现了破解还原卡还原功能的针对性病毒，比如大名鼎鼎的“机器狗”，这种病毒的泛滥，使得网吧基本放弃了使用还原卡进行维护，也威胁了学校计算机实验室的安全性。不过，由于学校计算机实验室的还原卡产品相对比较高端，厂商的实力也比较强，很快作出了相应的应对措施。由于还原卡基本退出了网吧市场，而破解学校计算机实验室的还原卡没有什么经济利益，因此，这次风波基本上已经过去。

机房软件部署

由于还原卡大量使用在公共机房环境，而如何为公共机房的批量计算机安装操作系统和应用软件就是管理人员面临的一个难题。因此，还原卡都具备网络拷贝功能，类似于网络GHOST，先在一台计算机上安装所需的系统和软件，然后通过网络复制到所有电脑上。还原卡的网络拷贝功能出现得比网络GHOST更早，然后由于还原卡启动时能够先得到控制权，因此进行网络拷贝不需要象GHOST一样要准备服务器，做好镜像，直接就可以使用，非常方便。

由于硬盘容量越来越大，软件的体积也越来越大，进行一次网络拷贝需要很长的时间。而在机房管理的过程中往往只是更新了很少一部分软件，因此，厂商对网络拷贝进行了改进，能够只拷贝发生了变化的数据，从而大大提高了拷贝的效率，不过该技术推出时并不成熟，，从最初的增量拷贝、发展到变量拷贝直到最新的差异拷贝，才基本完善。

从操作方式上，网络拷贝也从DOS平台逐渐转换到WINDOWS平台，在操作的人性化上，得到了很大的提升。平台的转换也大幅提升了网络拷贝的速度。一线的产品一般能够达到百兆环境平均600M/分钟，千兆

还原卡(11张)

环境平均2G/分钟左右，而且能够支持断点续传。

软件统一注册

由于网络拷贝以后，所有计算机的硬盘数据都是一致的，这会导致在不同机器上需要使用不同序列号的软件不能正常使用，从而需要在每台单机上重新注册，这无疑将增加用户的工作量，并大大限制了网络拷贝或差异拷贝的使用。软件统一注册功能就是为了解决这个问题而设计的，它能够记住每台计算机的软件序列号，在拷贝完成后自动将对应的序列号更改正确，避免了重复注册的工作。

单机多系统环境

由于学校计算机实验室往往承担着各种教学任务，需要各种不同的教学环境，所以主流还原卡都支持多操作系统功能，能够在一台电脑上安装多个操作系统，并且互相隔离，互不影响。

部分还原卡厂商借鉴了虚拟机当中的快照原理，能够基于一个操作系统快速创建出多个系统环境，满足不同的教学需要，减少了硬盘空间占用，减少了操作系统重复安装的工作。

远程管理学生机

随着还原卡成为学校计算机实验室维护和管理的必备品，其功能应广大用户的需求日益扩展，最新的发展势头已经开始涉及在教学过程中对学生进行各种管理，包括网络控制、程序限制、流量限制、端口控制，屏幕监控等。

总体来说还原卡已经从单一的系统保护功能逐渐扩展，实质上成为计算机实验室维护和综合管理的全能工具，只是延续了其“还原卡”的产品名称。

编辑本段安装使用

安装篇

市面上硬盘还原卡种类很多，大多是PCI总线，采用了即插即用技术，不必重新进行硬盘分区，而且

  还原卡插入主板

免装驱动程序。安装时把卡插入计算机中任一个空闲的PCI扩展槽中，开机后检查BIOS以确保硬盘参数正确?同时将BIOS中的病毒警告设置为Disable。在进入操作系统前，硬盘还原卡会自动跳出安装画面，先放弃安装而进入Windows，确保计算机当前硬件和软件已经处于最佳工作状态，建议检查一下计算机病毒，确保安装还原卡前系统无病毒。最好先在Windows里对硬盘数据作一下碎片整理。杀毒软件的实时防毒功能、各种基于Windows的系统防护/恢复软件的功能已经完全或者部分地被还原卡包含，建议关闭或不安装或卸载。

重启后安装还原卡，并设置还原卡的保护选项（具体设置因还原卡不同而异）。但大多都应有以下几项：硬盘保护区域设定、还原方式设定（包括开机自动恢复、选择恢复和定时恢复等）、密码设定等。设置完毕，保护数据后，整个硬盘就在还原卡的保护之下了。

使用篇

使用GHOST进行磁盘对拷

很多的还原卡在说明书中写着并不支持GHOST的使用，因为还原卡在硬盘的隐藏扇区中写有数据，直接对拷后很可能会蓝屏进不了系统。然而很多情况下（如网吧、学校等单位大批机器软件安装），我们还是要使用GHOST做磁盘对拷。必须将源盘和目标盘的还原卡彻底移除（大部分还原卡的设置选项均中有移除选项，有的厂商提供专门的卸载工具，或者将还原卡从主板上直接拔下），这样才能安全清除还原卡在隐藏扇区中保存的数据，然后就能正常地使用GHOST了。

保留一定的硬盘空间

技术不成熟的厂商标榜自己的还原卡不占用硬盘空间，但硬盘可用空间非常少时，硬盘还原卡就会工作不正常了。因为硬盘剩余空间太少，当硬盘写操作较多时，还原卡因为没有足够的动态缓冲区而强制系统停机。所以建议使用保护卡时不要将硬盘空间占满，至少剩余几百兆可用空间给硬盘还原卡存储临时数据。

暂存区智能延展

噢易科技有限公司是该技术的首创者已有专利，研发的还原卡都加入了动静态暂存区智能延展技术，完全可以避免硬盘空间很少时产生的死机与系统停机问题。不需要使用单独的一个硬盘分区来做还原卡的暂存区，大大节约了硬盘的使用空间。该技术使用硬盘空闲区域动态进行整合，用做还原卡的临时存储。

慎用还原卡的多分区引导

有些还原卡提供了多重引导分区的功能，但要注意利用还原卡进行特殊分区会破坏原有硬盘的所有内容与信息，要删除这些分区时也将会破坏所有的信息，在操作时一定要作好对重要数据的备分。各个多引导分区之间并不可见，各系统不能相互访问到。如需要多操作系统，建议使用第三方多重引导软件，例如System Commander等。

还原卡的安全性

无疑，保证数据的安全是还原卡最重要的一个方面。实际上，当隐藏扇区中保护卡保存的数据受到损坏时或硬盘本身受到了物理损坏时，硬盘其它被保护的资料就很容易出现问题，如发生硬盘死锁、无法读取数据等现象。此外，由于大部分还原卡的原理都是修改中断向量表来接管INT13中断，所以一些高手很容易通过找到Int13h的原始BIOS中断向量值，填入中断向量表的方法，恢复INT13的BIOS中断向量，来达到屏蔽掉还原卡的效果。

此外还原卡密码的安全性也令人担忧。网上有居心叵测之人提供了某些品牌还原卡的破解工具；部分品牌的还原卡本身带有通用密码；另外还有一部分厂商提供了还原卡的密码清除工具或还原卡安装信息清除工具（可能是厂商怕用户不慎忘记密码而设置的，可是这却无形中降低了数据的安全性）。

所以，还原卡的保护功能给日常的工作提供了便利，却是防君子防不了小人，防菜鸟防不了黑客的，永远都不要相信还原卡是万能的！

还原卡的选择

首先要选择兼容性好的还原卡。由于操作系统、主板类型的不同，还有安装的各种软件，不可能保证还原卡百分之百的与主机兼容。市场上还原卡种类很多，选购时一定要注意是否全面支持DOS、Win32、Win95/97/98/2000/NT、Linux等常见操作系统，并让系统在真正的32位系统下工作，而不是MS-DOS兼容方式；是否完全不占系统IRQ及I/0资源，有无硬件及软件相冲突的问题；最大支持硬盘的数量。此外，除了最基本的硬盘保护功能，很多还原卡还拥有其他功能，如BIOS数据保护，自带硬盘对拷和网络对拷功能，网络维护，多重引导分区，软件升级等，更为用户提供了方便。

编辑本段注意事项

测试破解还原精灵的代码

要提醒虚拟还原用户的是，不要以为装有还原卡或是还原软件就掉以轻心，要知道世界上还是有病毒能够穿透虚拟还原技术的保护，达到破坏硬盘的目的的，想象一下如果把这一原理运用到CIH病毒中，或者运用到硬盘杀手病毒中，其后果是不堪设想的。

谈谈如何用这种可以穿透虚拟还原技术的代码来破解还原软件（如还原精灵）吧。以下是我写的用来测试破解还原精灵的代码，本代码编译后的程序需要在纯DOS环境执行，在DOS下我用这段代码成功的把还原精灵给卸载了。

.286

CODE SEGMENT

ASSUME CS:CODE,DS:code,ES:code

START:

;----------------------------------------------------------

;以下代码用INT13H读主引导区

mov ax,0201h

mov dx,0080h

mov cx,0001h

mov bx,7c00h

int 13h

;---------------------------------------------------------

;以下代码用I/O端口来写主引导区

mov dx,1f6h ; 要读入的磁盘号及磁头号

mov al,0a0h ; 磁盘0,磁头0

out dx,al

mov dx,1f2h ; 要写的扇区数量

mov al,1 ; 写一个扇区

out dx,al

mov dx,1f3h ;要写的扇区号

mov al,1 ;写到1扇区

out dx,al

mov dx,1f4h ; 要写的柱面的低8位

mov al,0 ; 低8位为0

out dx,al

mov dx,1f5h ; 要写的柱面的高2位

mov al,0 ; 高2位为0

out dx,al

mov dx,1f7h ;命令端口

mov al,30h ;尝试着写扇区.

out dx,al

oogle:

in al,dx

test al,8 ;磁盘扇区缓冲是否准备好

jz oogle

mov cx,512/2 ;设置循环次数(512/2)

mov si,7c00h

mov dx,1f0h ;数据端口，用来存放要发送的数据.

rep outsw ;发送数据.

; ------------------------------------------------------------------------------

;退出程序

mov ah,4ch

int 21

CODE ENDS

END START

程序说明

上面的程序非常简单，说明如下：

1．先把被还原精灵备份的原来的主引导区用INT13H读出来，这里虽然是对0头0道1扇进行读操作，但实际上是在读被还原精灵把原来的主引导区备份进去的那个扇区

2．把读出的原来的主引导区通过输入输出操作写进真正的主引导区，换句话说就是把还原精灵给彻底删除了，此时重新启动你将发现还原精灵已经没有了。

我写了个FORWIN98/NT/XP的卸载还原精灵等软件的程序，不过已经有人先我一步了，那就是网吧终结者出的一个清MBR的程序，我试了一下，发现的确有用，我还没有仔细分析该程序，但我敢肯定其原理差不多。那个程序写得不错，不过我认为有一点需要改进，我的硬盘的MBR程序是我自己写的，用来实现多引导操作，当我执行完该清MBR程序后，我的多引导代码就没了，我觉得此程序如果能把核心代码部分改成象我以上的代码，在还原精灵下是把装还原精灵之前的MBR写回到主引导区，即使没装还原精灵的硬盘也只是把主引导区写回主引导区，就没有任何的危险了。

用以上的方法要实现还原卡的破解可能是不行的，因为还原卡毕竟是硬件，它可以先于硬盘引导前执行，这样即使你写回了硬盘的主引导区，还原卡还是可以把它写回的，但是，在破解还原卡的时候，完全可以利用文章中的原理，把还原卡写入硬盘主引导区的真正代码读出进行分析，甚至有些还原卡的密码就在这个扇区中。

对于还原卡和还原软件的制造者来说，如何让您制造的还原卡或还原软件更安全，可能是一个需要思考的问题。真心希望以后的还原卡或是还原软件在拦截INT13H的同时也能拦截硬盘I/O操作。

在我安装还原精灵的时候看到一个选项是“防止硬盘I/O破坏”，开始还以为还原精灵在这方面做的不错，想到了从拦截I/O操作来保护硬盘。可惜我错了，即使选择这一个选项，也同样可以通过输入输出端口操作来写硬盘。对于掌握了这种技术的人来说，这种还原卡或是还原软件可以说是形同虚设。因此我认为，还原卡和还原软件不但要实现拦截所有硬盘写操作、拦截对主引导区的读写操作，更应该拦截对硬盘的读写端口的操作，只有这样的虚拟还原技术才可能使基于硬盘的读写端口操作所对硬盘的破坏或是对虚拟还原技术的破解变成不可能。

如何防止还原卡被破解

一、是为主板设定一通用密码，这样一旦BIOS更改，可用通用密码开机，并使硬盘还原功能生效

二、是再次重写BIOS，采用类似于锁定BIOS中的启动第一项的方法，将BIOS中的超级用户口令的设置功能锁定，并使其保持为刷新BIOS前所设定的值，这样这样就拥有了一个无法更改的超级用户口令。

三、当然也可以在BIOS中干脆将设置用户口令的功能去除或是在BIOS中将系统口令的检测状态（“PASSWORD CHECK”）锁定为“SETUP”。

编辑本段各种型号

还原卡有以下两大派“带网络功能的还原卡”“不带网络功能的单卡还原卡”

带网络功能的还原卡

（即网卡+还原卡功能于一体）

其中有“百兆网络型还原卡”和“千兆网络型还原卡”，百兆网络型还原卡最为常见，据噢易科技有限公司表示百兆网络型还原卡已突破1GB/s，突破了百兆环境的理论值！

非带网络功能的单卡型还原卡

一般单卡型还原卡能够自动识别主版自带的网卡与其他常见网卡，能自动识别百兆/千兆网络环境，充分发挥已有的网卡功能实施硬盘保护与环境部署功能！价格低廉是经济实用型的产品。

最新一代纯硬件还原卡

众所周知，从2007年开始爆发的机器狗病毒肆虐了整个还原卡的领地，几乎让还原卡产品的容面一扫而光。 各个还原卡厂家也是为了遏制住类似于“机器狗”这样的利用还原卡漏洞穿透还原卡的病毒，开展了技术的竞赛。

大部分厂家集中于往产品打补丁的方式，类似于杀毒软件的防御原理，出来了新的一类机器狗，就打上新的一类补丁，让防毒和病毒还是处于无休止的技术竞赛中。

就在07年机器狗开始爆发时，噢易科技有限公司立刻根据当时病毒的特性率先推出了能够从根本上解决机器狗类似病毒的解决方案！噢易变量卡金刚版。据官方资料介绍，该卡能直接拦截底层穿透动作，智能的丢弃“越轨”的硬盘写入行为，使之不受到类似病毒绕过还原卡的行为！保护了硬盘不受到病毒的感染！

为什么噢易变量卡金刚版能够防御机器狗类穿透病毒呢？

通过资料可以看到，机器狗病毒通过在IRP_MJ_CREATE断开DeviceHarddisk0DR0上附加的设备来使磁盘过滤驱动、文件系统驱动无效，然后通过直接访问硬盘的MBR和第一个分区的引导扇区得到分区参数，配合通过FSCTL_GET_RETRIEVAL_POINTERS获取文件数据的分布信息定位文件在硬盘上的绝对偏移量，得到偏移量后将病毒直接写入指定系统文件的第一簇来感染文件。而噢易变量卡金刚版也就是针对这类操作做了丢弃操作，不去理会病毒的写入。从而保护硬盘上的文件不受到感染。

再到09年初，市面上出现了一种新的产品--蓝芯防毒卡。据相关资料介绍，该卡直接从物理上接管硬盘读写控制权，再通过PCI-E接口（也有PCI版本）跟主板连接，让防毒卡具备了在根本上控制磁盘访问的技术可能性。

由于采用了硬件级的还原保护技术，让受到保护的分区和数据免受各种已知或未知病毒的侵扰。

各位可能都有一个疑问：为何蓝芯防毒卡能防未知病毒？

这是很多人的疑问，类比一下，还原产品和防毒卡都是对要保护的数据修建一堵围墙，围墙的门相当于读写控制。从技术原理上来说，操作系统有多个层次的读写控制，也就是说有多道门，之前的产品由于本身不能物理上接管磁盘读写，所以，都是在前面几道门堵一堵病毒，而我们是在最后一道门，也是最根本的这道门。所以，我们能把病毒堵住，而别人的可能对某些病毒就堵不住。

防毒卡不是杀毒软件，原理也不一样，无需辨别病毒，因为我们是一道门，哪怕是人为的破坏，我们都给堵住在墙外面。

未来的病毒也是一种软件而已，我们是最后一道门，所以，不论病毒技术如何改进，要破坏数据都不得不通过这最后一道门。而这道门又在我们的掌握中，所以，未知的病毒只要还是软件就无法破坏。