CVC/GB  风般的男人
还原卡和还原软件被广泛运用于各种公共场合的电脑上，比如学校机房和网吧。这些还原卡和还原软件（以下我简称为虚拟还原技术）能够记录下一切对硬盘的写操作，不论您对硬盘进行拷贝还是移动删除甚至是格式化分区等操作，只要一重新启动，一切都会恢复到这个操作之前的情况，因此有些虚拟还原厂商还会在广告词中加上一句“可以防范一切电脑病毒”。这种虚拟还原的方法在大部分时候的确可以对公共机房的电脑起到很好的保护作用，难道真的没有一种方法能够穿透这种保护机制么？答案是否定的，下面请听我一一道来。
一、虚拟还原技术的原理
本文所说的是一种普遍运用于还原卡或还原软件上的技术，当然，不同品牌不同厂商生产的可能不尽相同，但原理却是相通的。
首先，还原卡和还原软件会抢先夺取引导权，将原来的0头0道1扇保存在一个其他的扇区，（具体备份到那个扇区是不一定的），将自己的代码写入0头0道1扇，从而能在操作系统之前得到执行权，这一点类似于一个引导型病毒；然后，我们来看看虚拟还原技术在操作系统之前都做了些什么：
1．将中断向量表中的INT13H的入口地址保存；
2．把自己用于代替INT13H的代码写入内存，并记住入口地址，当然这种“写入内存”并不是普通的“写”，而是一种我们称为“常驻”的方法，有关“常驻程序”的实现方法我们不另外花篇幅来描述了，如果你还不了解的话请自己找有关资料，也可以www.hackart.orgwww.lsky.net找风般的男人交流；
3．将中断向量表中INT13H的入口地址改为这段常驻程序的入口地址。补充一点，虚拟还原程序在修改INT13H的入口后往往都会修改一些其他中断入口，当然也是通过常驻程序来实现的，这些中断用来实现对中断向量表中INT13H入口地址监控，一旦发现被修改，就马上把它改回，这样做同样是用来防止被有心人破解。
好了，你已经看出来了，这段用来替代BIOS提供的INT13H的代码才是虚拟还原技术的关键，那么这段代码到底实现了些什么了，以下是本人对此拙浅的理解：
1．拦截所有INT13H中对硬盘0头0道1扇的操作
这些包括读写操作，把所有的对0头0道1扇的操作改为对虚拟还原程序备份的那个扇区的操作，这样做的目的是保护虚拟还原代码不被破坏，并且不能被有心人读出进行破解，即使你用扇区编辑工具查看主引导区，实际上你看到的是这个备份的主引导区。
2．拦截所有INT13H中的写硬盘操作
这里包括对8G以下的硬盘的普通通过磁头、磁道、扇区定位的INT13H中的写操作，和扩展INT13H中基于扇区地址方式的对大硬盘的写操作，甚至包括扩展INT13H中对一些非IDE接口的硬盘的写操作。
至于拦截后做什么是虚拟还原技术实现的关键，在早期的DOS系统当中完全可以“什么都不做”，也就是说当用户写硬盘时实际上是什么都没做，但现在的操作系统都要对硬盘进行一些必要的写操作，比如对虚拟内存的写操作。众所周知，虚拟内存实际上就是硬盘，而如果禁止操作系统写硬盘的话显然后果是不堪设想的。所以，大多数虚拟还原厂商用的方法是占用一些硬盘空间，把硬盘所进行的写操作做一个记录，等系统重新启动后还原这一记录，但是怎样科学记录硬盘的写操作，是我一直没想通的问题，这种“科学”应该体现在时间上和硬盘空间的占用量上的，也就是说怎么样用最少的时间和最少的硬盘空间来记录硬盘的写操作是实现关键，如果有这方面想法的朋友欢迎和我交流；
3．备份端口70H，71H中的内容，并把最后一次执行时端口70H，71H的内容和备份的内容做比较，不一样就提示BIOS被修改，是否还原，并通过密码验证修改BIOS是否合法。 二、PC机的中断机制
中断提供了最基本的硬件和软件的接口，它使得程序员不必了解硬件系统的细节，只要直接调用系统提供的中断服务子程序，就可以完成相应功能，这样能使得程序设计更为方便。其实现机制如下：当某一中断源发出中断请求时，CPU能够决定是否响应这一中断请求（当CPU在执行更为重要的工作时，可以暂不响应），如果允许响应该中断，CPU会在现行的指令执行完后，把断点处的下一条指令地址和各寄存器的内容和标志位的状态，推入堆栈进行保护，然后转到中断源服务程序的入口，进行中断处理，当中断处理完成后，再恢复被保留的各寄存器、标志位状态和指令指针，使CPU返回断点，继续执行下一条指令。