讓優盤真正變成開機鑰匙

為了保護系統安全，我們會為其設置登錄密碼。不過，密碼一旦忘記或者被別人非法獲取，要么對您的正常操作帶來不便，要么危害到系統安全。優盤已經成為了大家最常用的移動存儲器，將優盤變成開機專用鑰匙，可以有效解決該問題。不過使用一般的安全軟件（例如Active Lock等），雖然可以利用優盤登錄系統。不過其安全性較差，在開始時只要按下F8鍵進入安全模式，就可以避開其控制。其實，我們如果另辟蹊徑，從啟動文件和賬戶加密機制入手，就可以讓優盤真正變成牢固的開機鎖。

圖1 修改優盤主引導記錄

從啟動文件入手，創建優盤鎖

對于Windows 7/8來說，在開機時，系統會先查找系統分區下的Bootmgr文件，之后讀取“C：oot”目錄中的bcd文件，然后執行系統的加載操作。對于XP來說，在開機時會先插在系統盤中的ntldr文件，之后找到系統盤中的“boot.ini”文件，之后加載系統。不過對Windows 7或XP來說，如果啟動文件丟失或者損壞，就無法順利啟動系統。依據這一原理，只要將系統啟動文件移動到優盤上，就可以讓系統無法從硬盤中啟動。只有插上優盤，系統才可以從中讀取啟動文件，進而順利完成啟動操作。

連上優盤后，運行DiskGenius這款磁盤管理軟件，在其主界面左側的磁盤列表中選擇該優盤，在右側的“分區參數”面板中選擇該優盤設備，在其右鍵菜單中點擊“激活當前分區”項，將該優盤設置為活動分區，點擊工具欄上的“保存更改”按鈕，保存修改信息。運行BootICE這款小工具，在其主界面中的“物理磁盤”面板中選擇優盤設備，點擊“主引導記錄”按鈕，在彈出窗口（如圖1）中選擇“Grub4Dos 0.4.5c/0.4.6a”項，點擊“安裝配置”按鈕，在GRUB4DOS選項窗口中的“文件名”欄中輸入“GRLDR”，點擊“寫入磁盤”按鈕，將優盤啟動方式設置為GRUB引導模式。

在“物理磁盤”面板中點擊“分區引導記錄”按鈕，在彈出窗口中的“目標分區”列表中選擇優盤，選擇“Grub4Dos 0.4.5c/0.4.6a”項，點擊“安裝/配置”按鈕，將優盤分區格式設置為GRUM啟動模式。將“grldr”，“grldr.mbr”等 文件放置到優盤根目錄下，使用記事本在優盤根目錄下創建名為“menu.lst”的文件，其內容為：

之后保存該文件。其中的“Root（hd0，0）”表示從第一硬盤第一分區（即優盤）啟動。當然，需要在主板BIOS中將優盤設置為首個啟動設備。注意，這是對支持優盤的HDD啟動模式而言的。如果您的主板較老，只能將優盤模擬為A盤（即軟盤）使用的話，可以對以上文件進行更改為：

其中的“root （hd1，0）”指的本機第二款硬盤的第一個分區，也就是本機主硬盤，假設本機只安裝有一塊硬盤。語句“chainloader /kln”指 名加載的目標文件，這里需要將Windows 7系統分區中的“Bootmgr”文件更名為“kln”（或者更改為別的名稱），來完成引導操作。不過現在的主板幾乎都支持優盤的HDD啟動模式。這里就以前一種為例進行說明，在Windows 7中將系統分區中的“BCD”和“BCD”目錄移動到優盤中?；蛘呦葟椭七@些文件，之后對在硬盤上對其更名，這樣使其無法從硬盤上讀取引導文件。

運行注冊表編輯器，選擇“HKEY_LOCAL_MACHINEBCD00000000”分支，點擊菜單“文件”→“卸載配置單元”項，在彈出的窗口中選擇“是”按鈕，執行所需操作。這樣，將開機時，在主板中將優盤設置為首個引導設備，如果不插入該優盤，系統將無法啟動。只有連上該優盤，才可以順利啟動。如果您采用的是XP+Windows 7雙系統，也可以采用上述方法實現安全啟動，不過需要對“menu.lst”進行修改：

并且還要將XP系統盤中的 ntldr，bootfont.bin，boot.ini文件移動或者復制到優盤中，具體方法與上述完全相同。其中的bootfont.bin文件負責顯示XP啟動菜單中的中文字體，boot.ini則是我們熟知的啟動文件。

從加密機制入手，設計優盤開機鎖

使用上述方法，雖然可以將優盤變成開機鎖，不過并非無懈可擊。如果別人知道其運作模式，將“Bootmgr”，“ntldr”等文件復制到WinPE優盤上，之后引導系統進入WinPE環境，將上述引導文件復制到系統盤中，之后在主板BIOS中恢復硬盤引導模式，系統就可以順利啟動。為了更好的提高安全性，可以從系統中的賬戶密碼雙重加密功能入手，設計更加穩固的優盤開機鎖。我們知道，在不同版本的Windows中，賬戶密碼被系統加密后，保存在系統盤中的“WINDOWSsystem32config”目錄中的SAM文件中。

如果黑客通過各種手段得到了該SAM文件，使用L0phtCrack等破解工具，配合強悍的密碼字典，完全可以將登錄密碼破譯出來。如果密碼設置的比較簡單的話，破解起來是毫不不費力的。為了抗擊非法破譯，我們可以使用系統內置的SYSKEY程序，對SAM文件進行二次加密，大大提高了密碼的安全性，讓非法破譯只能望洋興嘆。因此，將SYSKEY命令和優盤結合起來，就可以輕松創建更加強悍的優盤開機鎖。

為了便于使用，最好選擇空白的優盤，作為開機鎖使用。例如閑置的小容量的優盤等。將優盤連接到電腦上，點擊“Win+R”鍵，執行“diskmgmt.msc”程序，在磁盤管理窗口中選擇優盤，在其右鍵菜單中點擊“更改驅動器名和路徑”項，在彈出窗口中點擊“更改”按鈕，將優盤盤符設置為“A”。當然，也可以使用DriveLetterView這款免費的軟件，為特定的優盤設置專用盤符。

圖2 啟動密鑰設置窗口

在DriveLetterView主窗口中顯示所有的驅動器信息，包括其盤符，驅動器類型，驅動器名稱和述信息等。對于硬盤驅動器，最好不要進行任何處理。實際上，即使您沒有連接優盤，DriveLetterView也會將上次優盤盤符分配情況顯示出來。在這種情況下，對應的盤符會帶有紅色標記。連接好你的優盤，假設系統為其分配的是“L”盤，在DriveLetterView主窗口選擇“K”盤，點擊F9鍵，在彈出窗口中輸入“A：”，點擊 OK 按鈕，您的優盤就會永久占用A盤了，直到您重新為其分配盤符為止。

將優盤盤符設置為A盤后，運行“syskey”程序，在保護Windows賬戶數據庫的安全窗口中選擇“啟用加密”項，點擊“更新”按鈕，在啟動密鑰窗口（如圖2）中選擇“在軟盤上保存啟動密鑰”項，點擊確定按鈕，在彈出的提示窗口中點擊確定按鈕，系統就會將密鑰文件寫入A盤，之后系統彈出“啟動密鑰文件已經寫入A盤，在啟動系統時必須插入該A盤”的提示信息。這樣，該優盤就變成了開機專用密鑰盤。

當以后開機時，當系統在登錄界面中顯示需要插入啟動密鑰盤的提示信息時，將該優盤連接到電腦上，稍候在檢測窗口中點擊確定按鈕，就可以順利啟動系統了。如果沒有該專用優盤的話，是無法正常進入系統的。如果以后不想使用該密鑰盤的話，可以在進入系統后運行“SYSKEY”命令，在彈出窗口中點擊“更新”按鈕，在打開窗口中選擇“在本機上保存啟動密鑰”項，點擊確定按鈕后，按照提示插入上述密鑰盤進行驗證，如果驗證通過的話，就可以解除系統和該優盤的綁定狀態，之后開機時就可以順利啟動系統了。