让优盘真正变成开机钥匙

为了保护系统安全，我们会为其设置登录密码。不过，密码一旦忘记或者被别人非法获取，要么对您的正常操作带来不便，要么危害到系统安全。优盘已经成为了大家最常用的移动存储器，将优盘变成开机专用钥匙，可以有效解决该问题。不过使用一般的安全软件（例如Active Lock等），虽然可以利用优盘登录系统。不过其安全性较差，在开始时只要按下F8键进入安全模式，就可以避开其控制。其实，我们如果另辟蹊径，从启动文件和账户加密机制入手，就可以让优盘真正变成牢固的开机锁。

图1 修改优盘主引导记录

从启动文件入手，创建优盘锁

对于Windows 7/8来说，在开机时，系统会先查找系统分区下的Bootmgr文件，之后读取“C：oot”目录中的bcd文件，然后执行系统的加载操作。对于XP来说，在开机时会先插在系统盘中的ntldr文件，之后找到系统盘中的“boot.ini”文件，之后加载系统。不过对Windows 7或XP来说，如果启动文件丢失或者损坏，就无法顺利启动系统。依据这一原理，只要将系统启动文件移动到优盘上，就可以让系统无法从硬盘中启动。只有插上优盘，系统才可以从中读取启动文件，进而顺利完成启动操作。

连上优盘后，运行DiskGenius这款磁盘管理软件，在其主界面左侧的磁盘列表中选择该优盘，在右侧的“分区参数”面板中选择该优盘设备，在其右键菜单中点击“激活当前分区”项，将该优盘设置为活动分区，点击工具栏上的“保存更改”按钮，保存修改信息。运行BootICE这款小工具，在其主界面中的“物理磁盘”面板中选择优盘设备，点击“主引导记录”按钮，在弹出窗口（如图1）中选择“Grub4Dos 0.4.5c/0.4.6a”项，点击“安装配置”按钮，在GRUB4DOS选项窗口中的“文件名”栏中输入“GRLDR”，点击“写入磁盘”按钮，将优盘启动方式设置为GRUB引导模式。

在“物理磁盘”面板中点击“分区引导记录”按钮，在弹出窗口中的“目标分区”列表中选择优盘，选择“Grub4Dos 0.4.5c/0.4.6a”项，点击“安装/配置”按钮，将优盘分区格式设置为GRUM启动模式。将“grldr”，“grldr.mbr”等 文件放置到优盘根目录下，使用记事本在优盘根目录下创建名为“menu.lst”的文件，其内容为：

之后保存该文件。其中的“Root（hd0，0）”表示从第一硬盘第一分区（即优盘）启动。当然，需要在主板BIOS中将优盘设置为首个启动设备。注意，这是对支持优盘的HDD启动模式而言的。如果您的主板较老，只能将优盘模拟为A盘（即软盘）使用的话，可以对以上文件进行更改为：

其中的“root （hd1，0）”指的本机第二款硬盘的第一个分区，也就是本机主硬盘，假设本机只安装有一块硬盘。语句“chainloader /kln”指 名加载的目标文件，这里需要将Windows 7系统分区中的“Bootmgr”文件更名为“kln”（或者更改为别的名称），来完成引导操作。不过现在的主板几乎都支持优盘的HDD启动模式。这里就以前一种为例进行说明，在Windows 7中将系统分区中的“BCD”和“BCD”目录移动到优盘中。或者先复制这些文件，之后对在硬盘上对其更名，这样使其无法从硬盘上读取引导文件。

运行注册表编辑器，选择“HKEY_LOCAL_MACHINEBCD00000000”分支，点击菜单“文件”→“卸载配置单元”项，在弹出的窗口中选择“是”按钮，执行所需操作。这样，将开机时，在主板中将优盘设置为首个引导设备，如果不插入该优盘，系统将无法启动。只有连上该优盘，才可以顺利启动。如果您采用的是XP+Windows 7双系统，也可以采用上述方法实现安全启动，不过需要对“menu.lst”进行修改：

并且还要将XP系统盘中的 ntldr，bootfont.bin，boot.ini文件移动或者复制到优盘中，具体方法与上述完全相同。其中的bootfont.bin文件负责显示XP启动菜单中的中文字体，boot.ini则是我们熟知的启动文件。

从加密机制入手，设计优盘开机锁

使用上述方法，虽然可以将优盘变成开机锁，不过并非无懈可击。如果别人知道其运作模式，将“Bootmgr”，“ntldr”等文件复制到WinPE优盘上，之后引导系统进入WinPE环境，将上述引导文件复制到系统盘中，之后在主板BIOS中恢复硬盘引导模式，系统就可以顺利启动。为了更好的提高安全性，可以从系统中的账户密码双重加密功能入手，设计更加稳固的优盘开机锁。我们知道，在不同版本的Windows中，账户密码被系统加密后，保存在系统盘中的“WINDOWSsystem32config”目录中的SAM文件中。

如果黑客通过各种手段得到了该SAM文件，使用L0phtCrack等破解工具，配合强悍的密码字典，完全可以将登录密码破译出来。如果密码设置的比较简单的话，破解起来是毫不不费力的。为了抗击非法破译，我们可以使用系统内置的SYSKEY程序，对SAM文件进行二次加密，大大提高了密码的安全性，让非法破译只能望洋兴叹。因此，将SYSKEY命令和优盘结合起来，就可以轻松创建更加强悍的优盘开机锁。

为了便于使用，最好选择空白的优盘，作为开机锁使用。例如闲置的小容量的优盘等。将优盘连接到电脑上，点击“Win+R”键，执行“diskmgmt.msc”程序，在磁盘管理窗口中选择优盘，在其右键菜单中点击“更改驱动器名和路径”项，在弹出窗口中点击“更改”按钮，将优盘盘符设置为“A”。当然，也可以使用DriveLetterView这款免费的软件，为特定的优盘设置专用盘符。

图2 启动密钥设置窗口

在DriveLetterView主窗口中显示所有的驱动器信息，包括其盘符，驱动器类型，驱动器名称和述信息等。对于硬盘驱动器，最好不要进行任何处理。实际上，即使您没有连接优盘，DriveLetterView也会将上次优盘盘符分配情况显示出来。在这种情况下，对应的盘符会带有红色标记。连接好你的优盘，假设系统为其分配的是“L”盘，在DriveLetterView主窗口选择“K”盘，点击F9键，在弹出窗口中输入“A：”，点击 OK 按钮，您的优盘就会永久占用A盘了，直到您重新为其分配盘符为止。

将优盘盘符设置为A盘后，运行“syskey”程序，在保护Windows账户数据库的安全窗口中选择“启用加密”项，点击“更新”按钮，在启动密钥窗口（如图2）中选择“在软盘上保存启动密钥”项，点击确定按钮，在弹出的提示窗口中点击确定按钮，系统就会将密钥文件写入A盘，之后系统弹出“启动密钥文件已经写入A盘，在启动系统时必须插入该A盘”的提示信息。这样，该优盘就变成了开机专用密钥盘。

当以后开机时，当系统在登录界面中显示需要插入启动密钥盘的提示信息时，将该优盘连接到电脑上，稍候在检测窗口中点击确定按钮，就可以顺利启动系统了。如果没有该专用优盘的话，是无法正常进入系统的。如果以后不想使用该密钥盘的话，可以在进入系统后运行“SYSKEY”命令，在弹出窗口中点击“更新”按钮，在打开窗口中选择“在本机上保存启动密钥”项，点击确定按钮后，按照提示插入上述密钥盘进行验证，如果验证通过的话，就可以解除系统和该优盘的绑定状态，之后开机时就可以顺利启动系统了。