金盾还原卡还原卡芯片程序启动后驻留在内存段CC00:0000处。
使用ＤＯＳ下的调试利器ＴＲ来提取还原卡模块完全可能！
下面是我用ＴＲ提取金盾还原卡XP还原卡模块和破解的操作过程
（此方法可能适用于其他还原卡）

工具：tr ,  W32DasmV10.0

插上还原卡开机（安装或不安装都可）进入dos下（xp下的MSDOS也可）
例：
c:\tr.exe回车，进入ＴＲ的调试界面。
输入命令d cc00:0000可看到内存cc00:0000中的数据为５５　ＡＡ样式
55 AA为还原卡模块的开始。好现在我们开始从内存cc00:0000段提取模块！

输入命令w cc00:0000 8000 jdhyk.bin回车　
注：
W
W [SEG]:OFFSET
W [SEG]:OFFSET filename
W [SEG]:OFFSET length filename
    写内存到文件。文件长度为BX:CX或length。
    缺省段为DS，缺省地址DS:100。
    例： N test.com
  W 200
  W es:300 myfile.com
  W cs:ip dx test.com
可以看到提示保存文件成功！

下一步我们来破解保存的jdhyk.bin模块！

金盾还原卡XP模块未破解写入主板的isa模块中启动会提示
Check ROM error !
我们用１６进制编辑器打开jdhyk.bin搜索Check ROM error !
发现它位于文件的偏移地址１００Ｈ处。
用W32Dasm打开jdhyk.bin选１６位反汇编。
搜索", 0100"两次来到
* Referenced by a (U)nconditional or (C)onditional Jump at Addresses:
|:0001.0695(C), :0001.06A0(C)
|
:0001.06DF BB0001                 mov bx, 0100　　　<-----这里加载Check ROM error !
:0001.06E2 E8E5FE                 call 05CA　　　　　　<-----显示Check ROM error !的子程序！
:0001.06E5 3D0077                 cmp ax, 7700

* Referenced by a (U)nconditional or (C)onditional Jump at Address:
|:0001.06E8(C)
|
:0001.06E8 75FE                   jne 06E8

我们可以看到调用来自0001.0695(C), :0001.06A0(C)这两处。
我们跳到地址0001.0695(C)看看

:0001.0695 7548                   jne 06DF　　　<-------不能跳
:0001.0697 66813E074048444D43     cmp dword ptr [4007], 00004448
:0001.06A0 753D                   jne 06DF　　　<-------不能跳

看到两处跳到显示Check ROM error !的跳转

用１６进制编辑器再次打开jdhyk.bin把偏移地址６９５处的７５４８改为７５００，
把偏移地址６Ａ０处的７５３Ｄ改为７５００，保存！到此破解完成。

测试把破解后的金盾还原卡5.0XP模块jdhyk.bin写入主板ＩＳＡ模块中，一切功能
正常！！！！

tr下载地址：www.hnesd.com/sm/tr.rar
破解了的金盾还原卡5.0XP模块：www.hnesd.com/sm/jdhyk.bin

交流ＱＱ：6426587

                                                             johnroot 作于 2005.10.10

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课