為了保護(hù)系統(tǒng)安全，我們會(huì)為其設(shè)置登錄密碼。不過(guò)，密碼一旦忘記或者被別人非法獲取，要么對(duì)您的正常操作帶來(lái)不便，要么危害到系統(tǒng)安全。優(yōu)盤已經(jīng)成為了大家最常用的移動(dòng)存儲(chǔ)器，將優(yōu)盤變成開(kāi)機(jī)專用鑰匙，可以有效解決該問(wèn)題。不過(guò)使用一般的安全軟件（例如Active Lock等），雖然可以利用優(yōu)盤登錄系統(tǒng)。不過(guò)其安全性較差，在開(kāi)始時(shí)只要按下F8鍵進(jìn)入安全模式，就可以避開(kāi)其控制。其實(shí)，我們?nèi)绻肀脔鑿剑瑥膯?dòng)文件和賬戶加密機(jī)制入手，就可以讓優(yōu)盤真正變成牢固的開(kāi)機(jī)鎖。

圖1 修改優(yōu)盤主引導(dǎo)記錄

從啟動(dòng)文件入手，創(chuàng)建優(yōu)盤鎖

對(duì)于Windows 7/8來(lái)說(shuō)，在開(kāi)機(jī)時(shí)，系統(tǒng)會(huì)先查找系統(tǒng)分區(qū)下的Bootmgr文件，之后讀取“C：oot”目錄中的bcd文件，然后執(zhí)行系統(tǒng)的加載操作。對(duì)于XP來(lái)說(shuō)，在開(kāi)機(jī)時(shí)會(huì)先插在系統(tǒng)盤中的ntldr文件，之后找到系統(tǒng)盤中的“boot.ini”文件，之后加載系統(tǒng)。不過(guò)對(duì)Windows 7或XP來(lái)說(shuō)，如果啟動(dòng)文件丟失或者損壞，就無(wú)法順利啟動(dòng)系統(tǒng)。依據(jù)這一原理，只要將系統(tǒng)啟動(dòng)文件移動(dòng)到優(yōu)盤上，就可以讓系統(tǒng)無(wú)法從硬盤中啟動(dòng)。只有插上優(yōu)盤，系統(tǒng)才可以從中讀取啟動(dòng)文件，進(jìn)而順利完成啟動(dòng)操作。

連上優(yōu)盤后，運(yùn)行DiskGenius這款磁盤管理軟件，在其主界面左側(cè)的磁盤列表中選擇該優(yōu)盤，在右側(cè)的“分區(qū)參數(shù)”面板中選擇該優(yōu)盤設(shè)備，在其右鍵菜單中點(diǎn)擊“激活當(dāng)前分區(qū)”項(xiàng)，將該優(yōu)盤設(shè)置為活動(dòng)分區(qū)，點(diǎn)擊工具欄上的“保存更改”按鈕，保存修改信息。運(yùn)行BootICE這款小工具，在其主界面中的“物理磁盤”面板中選擇優(yōu)盤設(shè)備，點(diǎn)擊“主引導(dǎo)記錄”按鈕，在彈出窗口（如圖1）中選擇“Grub4Dos 0.4.5c/0.4.6a”項(xiàng)，點(diǎn)擊“安裝配置”按鈕，在GRUB4DOS選項(xiàng)窗口中的“文件名”欄中輸入“GRLDR”，點(diǎn)擊“寫入磁盤”按鈕，將優(yōu)盤啟動(dòng)方式設(shè)置為GRUB引導(dǎo)模式。

在“物理磁盤”面板中點(diǎn)擊“分區(qū)引導(dǎo)記錄”按鈕，在彈出窗口中的“目標(biāo)分區(qū)”列表中選擇優(yōu)盤，選擇“Grub4Dos 0.4.5c/0.4.6a”項(xiàng)，點(diǎn)擊“安裝/配置”按鈕，將優(yōu)盤分區(qū)格式設(shè)置為GRUM啟動(dòng)模式。將“grldr”，“grldr.mbr”等 文件放置到優(yōu)盤根目錄下，使用記事本在優(yōu)盤根目錄下創(chuàng)建名為“menu.lst”的文件，其內(nèi)容為：

之后保存該文件。其中的“Root（hd0，0）”表示從第一硬盤第一分區(qū)（即優(yōu)盤）啟動(dòng)。當(dāng)然，需要在主板BIOS中將優(yōu)盤設(shè)置為首個(gè)啟動(dòng)設(shè)備。注意，這是對(duì)支持優(yōu)盤的HDD啟動(dòng)模式而言的。如果您的主板較老，只能將優(yōu)盤模擬為A盤（即軟盤）使用的話，可以對(duì)以上文件進(jìn)行更改為：

其中的“root （hd1，0）”指的本機(jī)第二款硬盤的第一個(gè)分區(qū)，也就是本機(jī)主硬盤，假設(shè)本機(jī)只安裝有一塊硬盤。語(yǔ)句“chainloader /kln”指 名加載的目標(biāo)文件，這里需要將Windows 7系統(tǒng)分區(qū)中的“Bootmgr”文件更名為“kln”（或者更改為別的名稱），來(lái)完成引導(dǎo)操作。不過(guò)現(xiàn)在的主板幾乎都支持優(yōu)盤的HDD啟動(dòng)模式。這里就以前一種為例進(jìn)行說(shuō)明，在Windows 7中將系統(tǒng)分區(qū)中的“BCD”和“BCD”目錄移動(dòng)到優(yōu)盤中?；蛘呦葟?fù)制這些文件，之后對(duì)在硬盤上對(duì)其更名，這樣使其無(wú)法從硬盤上讀取引導(dǎo)文件。

運(yùn)行注冊(cè)表編輯器，選擇“HKEY_LOCAL_MACHINEBCD00000000”分支，點(diǎn)擊菜單“文件”→“卸載配置單元”項(xiàng)，在彈出的窗口中選擇“是”按鈕，執(zhí)行所需操作。這樣，將開(kāi)機(jī)時(shí)，在主板中將優(yōu)盤設(shè)置為首個(gè)引導(dǎo)設(shè)備，如果不插入該優(yōu)盤，系統(tǒng)將無(wú)法啟動(dòng)。只有連上該優(yōu)盤，才可以順利啟動(dòng)。如果您采用的是XP+Windows 7雙系統(tǒng)，也可以采用上述方法實(shí)現(xiàn)安全啟動(dòng)，不過(guò)需要對(duì)“menu.lst”進(jìn)行修改：

并且還要將XP系統(tǒng)盤中的 ntldr，bootfont.bin，boot.ini文件移動(dòng)或者復(fù)制到優(yōu)盤中，具體方法與上述完全相同。其中的bootfont.bin文件負(fù)責(zé)顯示XP啟動(dòng)菜單中的中文字體，boot.ini則是我們熟知的啟動(dòng)文件。

從加密機(jī)制入手，設(shè)計(jì)優(yōu)盤開(kāi)機(jī)鎖

使用上述方法，雖然可以將優(yōu)盤變成開(kāi)機(jī)鎖，不過(guò)并非無(wú)懈可擊。如果別人知道其運(yùn)作模式，將“Bootmgr”，“ntldr”等文件復(fù)制到WinPE優(yōu)盤上，之后引導(dǎo)系統(tǒng)進(jìn)入WinPE環(huán)境，將上述引導(dǎo)文件復(fù)制到系統(tǒng)盤中，之后在主板BIOS中恢復(fù)硬盤引導(dǎo)模式，系統(tǒng)就可以順利啟動(dòng)。為了更好的提高安全性，可以從系統(tǒng)中的賬戶密碼雙重加密功能入手，設(shè)計(jì)更加穩(wěn)固的優(yōu)盤開(kāi)機(jī)鎖。我們知道，在不同版本的Windows中，賬戶密碼被系統(tǒng)加密后，保存在系統(tǒng)盤中的“WINDOWSsystem32config”目錄中的SAM文件中。

如果黑客通過(guò)各種手段得到了該SAM文件，使用L0phtCrack等破解工具，配合強(qiáng)悍的密碼字典，完全可以將登錄密碼破譯出來(lái)。如果密碼設(shè)置的比較簡(jiǎn)單的話，破解起來(lái)是毫不不費(fèi)力的。為了抗擊非法破譯，我們可以使用系統(tǒng)內(nèi)置的SYSKEY程序，對(duì)SAM文件進(jìn)行二次加密，大大提高了密碼的安全性，讓非法破譯只能望洋興嘆。因此，將SYSKEY命令和優(yōu)盤結(jié)合起來(lái)，就可以輕松創(chuàng)建更加強(qiáng)悍的優(yōu)盤開(kāi)機(jī)鎖。

為了便于使用，最好選擇空白的優(yōu)盤，作為開(kāi)機(jī)鎖使用。例如閑置的小容量的優(yōu)盤等。將優(yōu)盤連接到電腦上，點(diǎn)擊“Win+R”鍵，執(zhí)行“diskmgmt.msc”程序，在磁盤管理窗口中選擇優(yōu)盤，在其右鍵菜單中點(diǎn)擊“更改驅(qū)動(dòng)器名和路徑”項(xiàng)，在彈出窗口中點(diǎn)擊“更改”按鈕，將優(yōu)盤盤符設(shè)置為“A”。當(dāng)然，也可以使用DriveLetterView這款免費(fèi)的軟件，為特定的優(yōu)盤設(shè)置專用盤符。

圖2 啟動(dòng)密鑰設(shè)置窗口

在DriveLetterView主窗口中顯示所有的驅(qū)動(dòng)器信息，包括其盤符，驅(qū)動(dòng)器類型，驅(qū)動(dòng)器名稱和述信息等。對(duì)于硬盤驅(qū)動(dòng)器，最好不要進(jìn)行任何處理。實(shí)際上，即使您沒(méi)有連接優(yōu)盤，DriveLetterView也會(huì)將上次優(yōu)盤盤符分配情況顯示出來(lái)。在這種情況下，對(duì)應(yīng)的盤符會(huì)帶有紅色標(biāo)記。連接好你的優(yōu)盤，假設(shè)系統(tǒng)為其分配的是“L”盤，在DriveLetterView主窗口選擇“K”盤，點(diǎn)擊F9鍵，在彈出窗口中輸入“A：”，點(diǎn)擊 OK 按鈕，您的優(yōu)盤就會(huì)永久占用A盤了，直到您重新為其分配盤符為止。

將優(yōu)盤盤符設(shè)置為A盤后，運(yùn)行“syskey”程序，在保護(hù)Windows賬戶數(shù)據(jù)庫(kù)的安全窗口中選擇“啟用加密”項(xiàng)，點(diǎn)擊“更新”按鈕，在啟動(dòng)密鑰窗口（如圖2）中選擇“在軟盤上保存啟動(dòng)密鑰”項(xiàng)，點(diǎn)擊確定按鈕，在彈出的提示窗口中點(diǎn)擊確定按鈕，系統(tǒng)就會(huì)將密鑰文件寫入A盤，之后系統(tǒng)彈出“啟動(dòng)密鑰文件已經(jīng)寫入A盤，在啟動(dòng)系統(tǒng)時(shí)必須插入該A盤”的提示信息。這樣，該優(yōu)盤就變成了開(kāi)機(jī)專用密鑰盤。

當(dāng)以后開(kāi)機(jī)時(shí)，當(dāng)系統(tǒng)在登錄界面中顯示需要插入啟動(dòng)密鑰盤的提示信息時(shí)，將該優(yōu)盤連接到電腦上，稍候在檢測(cè)窗口中點(diǎn)擊確定按鈕，就可以順利啟動(dòng)系統(tǒng)了。如果沒(méi)有該專用優(yōu)盤的話，是無(wú)法正常進(jìn)入系統(tǒng)的。如果以后不想使用該密鑰盤的話，可以在進(jìn)入系統(tǒng)后運(yùn)行“SYSKEY”命令，在彈出窗口中點(diǎn)擊“更新”按鈕，在打開(kāi)窗口中選擇“在本機(jī)上保存啟動(dòng)密鑰”項(xiàng)，點(diǎn)擊確定按鈕后，按照提示插入上述密鑰盤進(jìn)行驗(yàn)證，如果驗(yàn)證通過(guò)的話，就可以解除系統(tǒng)和該優(yōu)盤的綁定狀態(tài)，之后開(kāi)機(jī)時(shí)就可以順利啟動(dòng)系統(tǒng)了。