呵呵,下面的文字可能很难理解
不过仔细看看,就会发现这样找漏洞很有意思
调试环境:Win2000、Ollydbg110、ExeScope
逆向原因:我有一舍友,十分精于扫雷游戏,闲暇之时与其比试,总是败多胜少,遂逆
向一热键作弊(本文改成了菜单)功能,后常胜 ^_^ 。今日无事,逆向菜
文一篇,希望能对刚入门的菜鸟朋友们有些许帮助。
逆向过程:
————————————————————————————————————————
一、分析
1、弄清程序的流程,将自己的处理代码,挂在消息响应流程中。
// 用DefWindowProcW下断,然后向上翻看,即可看到消息响应流程
// 点击菜单后,会来到如下代码处
010019AD > \8B4D 10 mov ecx, dword ptr ss:[ebp+10] ; 点击的菜单ID
010019B0 0FB7C1 movzx eax, cx
010019B3 3D 0B020000 cmp eax, 20B
010019B8 7F 76 jg short winmine01001A30 ; 大于 0x20B 跳到后边
010019BA 3D 09020000 cmp eax, 209
010019BF 7D 2D jge short winmine010019EE
010019C1 2D FE010000 sub eax, 1FE
010019C6 74 1C je short winmine010019E4
010019C8 48 dec eax
010019C9 48 dec eax
010019CA 0F85 7C030000 jnz winmine01001D4C
010019D0 33FF xor edi, edi ; Case 200 of switch 010019B3
010019D2 57 push edi ; /ShowState => SW_HIDE
010019D3 FF35 A8520001 push dword ptr ds:[10052A8] ; |hWnd = NULL
010019D9 FF15 EC100001 call dword ptr ds:[<&USER32ShowWi>; \ShowWindow
010019DF E9 A2000000 jmp winmine01001A86
010019E4 > E8 26190000 call winmine0100330F ; Case 1FE of switch 010019B3
010019E9 E9 5E030000 jmp winmine01001D4C
010019EE > 8D81 F7FDFFFF lea eax, dword ptr ds:[ecx-209] ; Cases 209,20A,20B of switch 010019B3
010019F4 66:A3 C0520001 mov word ptr ds:[10052C0], ax
010019FA 0FB7C0 movzx eax, ax
010019FD 8D0440 lea eax, dword ptr ds:[eax+eax2]
01001A00 C1E0 02 shl eax, 2
01001A03 8B88 28500001 mov ecx, dword ptr ds:[eax+100502>
01001A09 890D C4520001 mov dword ptr ds:[10052C4], ecx
01001A0F 8B88 2C500001 mov ecx, dword ptr ds:[eax+100502>
01001A15 8B80 30500001 mov eax, dword ptr ds:[eax+100503>
01001A1B 890D C8520001 mov dword ptr ds:[10052C8], ecx
01001A21 A3 CC520001 mov dword ptr ds:[10052CC], eax
01001A26 E8 E4180000 call winmine0100330F
01001A30 > \B9 4E020000 mov ecx, 24E ;大于 0x20B 跳到这里
01001A35 > 3BC1 cmp eax, ecx
01001A37 0F8F D3000000 jg winmine01001B10
01001A3D 0F84 C7000000 je winmine01001B0A
01001A43 2D 0C020000 sub eax, 20C
根据上边的代码,可知,只要从01001A30处(其它地方也可以)跳到我们添加的代码中,就可以对消息进行响应了。
2、如何实现作弊?
// 开局,点击一下,到如下代码处,(第一次用PlaySoundW下断,很容易就能来到这里)
01003772 | 833D F4560001 00 cmp dword ptr ds:[10056F4], 0 ; //开始扫雷了么?
01003779 | 6A 01 push 1
0100377B | 5B pop ebx
0100377C | 75 4A jnz short winmine010037C8 ; 第一点击?
0100377E | 833D F0560001 00 cmp dword ptr ds:[10056F0], 0
01003785 | 75 41 jnz short winmine010037C8
01003787 | 53 push ebx
01003788 | E8 ED050000 call winmine01003D7A
0100378D | FF05 F0560001 inc dword ptr ds:[10056F0]
01003793 | E8 1FF4FFFF call winmine01002BB7
01003798 | 6A 00 push 0 ; /Timerproc = NULL
0100379A | 68 E8030000 push 3E8 ; |Timeout = 1000 ms
0100379F | 53 push ebx ; |TimerID
010037A0 | 891D 84510001 mov dword ptr ds:[1005184], ebx ; |
010037A6 | FF35 A8520001 push dword ptr ds:[10052A8] ; |hWnd = NULL
010037AC | FF15 6C110001 call dword ptr ds:[<&USER32SetTim>; \ 设置计时间隔1秒,修改这里进行时间作弊
// 通过跟踪发现,对相应行、列对应的内存中的一个字节进行变换,变换后的值高位为1(0x80),
// 表示该位置是雷,GAME OVER, 如果不是雷,则显示该位置的数字
01003144 /$ 8B4424 08 mov eax, dword ptr ss:[esp+8] ; 行
01003148 | 53 push ebx
01003149 | 55 push ebp
0100314A | 8BC8 mov ecx, eax
0100314C | 56 push esi
0100314D | 8B7424 10 mov esi, dword ptr ss:[esp+10] ; 列
01003151 | C1E1 05 shl ecx, 5
01003154 | F68431 00570001 80 test byte ptr ds:[ecx+esi+1005700], 80 ; 是雷么
0100315C | 8D9431 00570001 lea edx, dword ptr ds:[ecx+esi+1005700]
01003163 | 57 push edi
01003164 | 74 6B je short winmine010031D1 ; 不是雷,跳
01003166 | 833D F4560001 00 cmp dword ptr ds:[10056F4], 0
0100316D | 75 55 jnz short winmine010031C4
0100316F | 8B2D 685A0001 mov ebp, dword ptr ds:[1005A68]
01003175 | 6A 01 push 1
01003177 | 58 pop eax
01003178 | 3BE8 cmp ebp, eax
0100317A | 7E 70 jle short winmine010031EC
0100317C | 8B1D F8560001 mov ebx, dword ptr ds:[10056F8]
01003182 | BF 20570001 mov edi, winmine01005720
01003187 |> 6A 01 /push 1
01003189 | 59 |pop ecx
0100318A | 3BD9 |cmp ebx, ecx
0100318C | 7E 0B |jle short winmine01003199
0100318E |> F60439 80 |/test byte ptr ds:[ecx+edi], 80
01003192 | 74 0F ||je short winmine010031A3
01003194 | 41 ||inc ecx
01003195 | 3BCB ||cmp ecx, ebx
01003197 |^ 7C F5 |\jl short winmine0100318E
01003199 |> 40 |inc eax
0100319A | 83C7 20 |add edi, 20
0100319D | 3BC5 |cmp eax, ebp
0100319F |^ 7C E6 \jl short winmine01003187
010031A1 | EB 49 jmp short winmine010031EC
010031A3 |> FF7424 18 push dword ptr ss:[esp+18] ; /Arg2
010031A7 | C602 0F mov byte ptr ds:[edx], 0F ; |
010031AA | C1E0 05 shl eax, 5 ; |
010031AD | 56 push esi ; |Arg1
010031AE | 808C08 00570001 80 or byte ptr ds:[eax+ecx+1005700], 80 ; |
010031B6 | 8D8408 00570001 lea eax, dword ptr ds:[eax+ecx+1005700] ; |
010031BD | E8 EDFEFFFF call winmine010030AF ; \winmine010030AF
010031C2 | EB 28 jmp short winmine010031EC
010031C4 |> 6A 4C push 4C
010031C6 | 50 push eax
010031C7 | 56 push esi
010031C8 | E8 53FCFFFF call winmine01002E20
010031CD | 6A 00 push 0
010031CF | EB 16 jmp short winmine010031E7
// 不是雷跳到这里
010031D1 |> 50 push eax ; 行
010031D2 | 56 push esi ; 列
010031D3 | E8 D7FEFFFF call winmine010030AF ; 显示该位置的数字
010031D8 | A1 F4560001 mov eax, dword ptr ds:[10056F4] ;
010031DD | 3B05 FC560001 cmp eax, dword ptr ds:[10056FC]
010031E3 | 75 07 jnz short winmine010031EC ; 雷扫完了么
010031E5 | 6A 01 push 1
010031E7 |> E8 86FDFFFF call winmine01002F72 ; 游戏成功结束
010031EC |> 5F pop edi ; 没扫完,继续
010031ED | 5E pop esi
010031EE | 5D pop ebp
010031EF | 5B pop ebx
010031F0 \ C2 0800 retn 8
//根据行、列,调用下面过程计算,内存中的值如果高位是1(0x80)就是雷
010033E9 /$ 8B4424 08 mov eax, dword ptr ss:[esp+8] //行
010033ED | 8B4C24 04 mov ecx, dword ptr ss:[esp+4] //列
010033F1 | C1E0 05 shl eax, 5
010033F4 | 8D9408 00570001 lea edx, dword ptr ds:[eax+ecx+1005700] //位置
010033FB | 8A8408 00570001 mov al, byte ptr ds:[eax+ecx+1005700]
01003402 | 8AC8 mov cl, al
01003404 | 83E1 1F and ecx, 1F
01003407 | 83F9 0D cmp ecx, 0D
0100340A | 75 05 jnz short winmine01003411
0100340C | 6A 09 push 9
0100340E | 59 pop ecx
0100340F | EB 07 jmp short winmine01003418
01003411 |> 83F9 0F cmp ecx, 0F
01003414 | 75 02 jnz short winmine01003418
01003416 | 33C9 xor ecx, ecx
01003418 |> 24 E0 and al, 0E0
0100341A | 0AC1 or al, cl
0100341C | 8802 mov byte ptr ds:[edx], al
0100341E \ C2 0800 retn 8
//根据行、列,将上面过程变换后内存中的值恢复
01003421 /$ 8B4424 08 mov eax, dword ptr ss:[esp+8]
01003425 | 8B4C24 04 mov ecx, dword ptr ss:[esp+4]
01003429 | C1E0 05 shl eax, 5
0100342C | 8D9408 00570001 lea edx, dword ptr ds:[eax+ecx+1005700]
01003433 | 8A8408 00570001 mov al, byte ptr ds:[eax+ecx+1005700]
0100343A | 8AC8 mov cl, al
0100343C | 83E1 1F and ecx, 1F
0100343F | 83F9 09 cmp ecx, 9
01003442 | 75 04 jnz short winmine01003448
01003444 | 6A 0D push 0D
01003446 | EB 06 jmp short winmine0100344E
01003448 |> 85C9 test ecx, ecx
0100344A | 75 03 jnz short winmine0100344F
0100344C | 6A 0F push 0F
0100344E |> 59 pop ecx
0100344F |> 24 E0 and al, 0E0
01003451 | 0AC1 or al, cl
01003453 | 8802 mov byte ptr ds:[edx], al
01003455 \ C2 0800 retn 8
————————————————————————————————————————
二、逆向
1、用ExeScope为Winmineexe添加一个菜单项:ID=0x259=601(大于0x20B),Name="过关"。
2、在Winmineexe的消息循环中作如下修改,使自己的添加的菜单选项能够被响应。
01001A30 > \B9 4E020000 mov ecx, 24E
01001A35 3BC1 cmp eax, ecx
==〉 修改成
01001A30 /E9 4B2F0000 jmp winmine01004980 //跳转到自己的处理代码处
01001A35 |3BC1 cmp eax, ecx
3、在01004980处写入如下代码:
下面的代码是在Winmineexe中找了一段全为零的地方写入的,也可以添加一个节后写入节中。
01004980 3D 58020000 cmp eax, 258 ;
01004985 7F 0A jg short winmine01004991 ; > 0x258
01004987 B9 4E020000 mov ecx, 24E ; 恢复原来的代码
0100498C ^ E9 A4D0FFFF jmp winmine01001A35 ; 跳回
01004991 3D 59020000 cmp eax, 259 ; 是否选择了“过关”
01004996 7F 40 jg short winmine010049D8 ; > 0x259 ?跳 继续处理其它
// 下面是过关代码
01004998 B8 01000000 mov eax, 1 ; 双重循环遍历;
0100499D B9 01000000 mov ecx, 1
010049A2 50 push eax
010049A3 51 push ecx
010049A4 50 push eax
010049A5 51 push ecx
010049A6 50 push eax
010049A7 51 push ecx
010049A8 E8 3CEAFFFF call winmine010033E9 ; 变换
010049AD A8 80 test al, 80 ; 是否为雷
010049AF 75 07 jnz short winmine010049B8 ;
010049B1 E8 F9E6FFFF call winmine010030AF ; 不是雷,点开
010049B6 EB 05 jmp short winmine010049BD
010049B8 E8 64EAFFFF call winmine01003421 ; 是雷,恢复
010049BD 59 pop ecx
010049BE 58 pop eax
010049BF 41 inc ecx ; 列数增1
010049C0 3B0D CC520001 cmp ecx, dword ptr ds:[10052CC] ; 遍历完该行的所有列?
010049C6 ^ 7E DA jle short winmine010049A2
010049C8 40 inc eax ; 行数增1
010049C9 3B05 C8520001 cmp eax, dword ptr ds:[10052C8] ; 遍历完所有行?
010049CF ^ 7E CC jle short winmine0100499D
010049D1 6A 01 push 1
010049D3 E8 9AE5FFFF call winmine01002F72 ; 游戏过关
010049D8 ^ E9 58D3FFFF jmp winmine01001D35 ; 返回到原来的消息循环结束处
在OD中写入代码后,复制到可执行文件,保存即可!
4、运行Winmineexe,选择菜单中的“过关”即可!
以色列人设计的“梅卡瓦”主战坦克算得上是当今世界上最具活力、最有特色的主战坦克了。从1978年“梅卡瓦”坦克装备以色列军队以来,它亲历了巴以爆发的多次冲突,而且在这期间,从“梅卡瓦”1到“梅卡瓦”4发展了四代。单就这两点,当今世界上的主战坦克中没有哪个能望其项背。梅卡瓦”坦克独特的动力传动装置前置的总体布置方案,令世界上各国坦克设计师们投以惊异和怀疑的眼光。在“世界主战坦克排行榜”上,“梅卡瓦”主战坦克也是屡屡榜上有名。从1998/1999年“梅卡瓦”3居第10位,到2000年“梅卡瓦”3“猎鹰”居第6位,再到2001/2002年“梅卡瓦”4跃居第4位,“梅卡瓦”坦克的蹿升,令人刮目相看。“梅卡瓦”主战坦克的战斗全重为60吨,乘员4人(车长、炮长、驾驶员、装填手)。车体内部由前至后分别为:动力-传动舱(前左)、驾驶室(前右)、战斗室和车厢。通常情况下,后部的车厢只装弹药,这也是“梅卡瓦”坦克的弹药基数大得惊人的缘故。必要时,后部车厢可载8名全副武装的步兵或4副担架。车体后门的结构很有意思,它实际上有3个后门,左面是蓄电池装卸舱门,右面是三防装置保养舱门,中间的主后门分上下两扇,上扇门向上开,下扇门向下开,可以从车外开启,但车内有闭锁装置,像防盗门一样,中间后门主要用于装卸弹药、乘员上下车和运送伤员,门上有一个60升的饮用水桶。战斗室内,车长位于火炮右侧,炮长在车长的前下位置,装填手位于火炮左侧靠后的部位。
结构特点
一、总体布置
该坦克的车体是铸造的,前上装甲焊接有良好防弹形状的装甲板,右边比左边高些。这一层铸造装甲后面有一空间,装有燃油,其后是另一层装甲,这种结构使该坦克有较好的防破甲弹和反坦克导弹的能力。
该坦克的车内布置与普通炮塔式坦克不同,战斗舱在车体的中部和后部,驾驶舱在车体前左,车体前右是动力舱。
驾驶员有1个向左开启的单扇舱盖和3个潜望式观察镜,中央1个可换成被动式夜视镜。驾驶舱与战斗舱之间有1通道,驾驶椅向前折叠时,驾驶员可以通向战斗舱。
车体后部可以储存炮弹,弹药装在特制的弹药箱内并放在弹架上。弹架可以拆除,以便腾出空间乘坐一组指挥人员,或者放4副担架,或者载10名步兵。
车体后面开有3个门,左边是一个电瓶装卸门,右边一个是三防装置保养门,中间一个门有上下两扇,上扇向上翻,下扇向下翻,可以从车外开启,但车内设有闭锁装置。中间门主要供装卸炮弹和运送伤员,门上有1个容积为60L的饮用水箱。
炮塔呈尖嘴状,正面面积小,中弹率较低。后部有个大尾舱,放有电台和液压件。
车长位于火炮右侧,炮长在车长前下位置,装填手位于火炮左侧靠后的部位。
二、武器系统
1主要武器和弹药
梅卡瓦MK1型坦克的主要武器是1门M68式105mm线膛坦克炮,由以色列军事工业(Israel Military Industries)公司生产,炮管上装有热护套。火炮俯仰角为-85°~+20°。车体前上装甲右部装有火炮行军固定架。
该火炮可以发射标准型105mm破甲弹和碎甲弹,以色列军事工业公司还为此炮研制了M111式尾民办稳定脱壳穿甲弹,初速为1465m/s,直射距离达1600m,有1个直径较小的全钨弹芯和1个滑动弹带,弹丸飞行速度降较小,性能优于美国M735式尾翼稳定脱壳穿甲弹。
该坦克上载有92发105mm炮弹,8发待发射炮弹存放在炮塔座圈下方,其余84发弹储存在车体后部,其中12发弹装在2发弹的容器内,72发弹装在4发弹的容器内。
2辅助武器
在105mm火炮左侧装有1挺762mm并列机枪,在车长指挥塔门和装填手门上方各装1挺762mm机枪,3挺机枪型号相同,经比利时FN公司许可,由以色列制造。装在弹链上的2000发762mm机枪弹储存在间隙装甲的夹层空间里。
有些梅卡瓦坦克在105mm火炮炮管上方装有1挺从车内遥控射击的M2 HB式127mm机枪,该机枪用于训练炮长。在黎巴嫩城市战中,该机枪曾代替火炮使用。
3火控系统
梅卡瓦MK1型坦克采用斗牛士(Matador)MK1火控系统,它的数字式火控装置由埃尔比特计算机有限公司(Elbit Computers Limited)设计,激光测距仪由埃劳普公司制造,车长和炮长均可使用。该系统以中央处理装置为中心,包括操作装置、控制和反馈伺服回路以及传感器。操作装置包括车长、炮长和装填手3个操作装置。炮长操作装置是主操作装置,它为弹道计算机提供所需的人工输入信息,例如弹种和每种弹在高低秀和水平角上的后坐补偿。此外,炮长操作装置还包括能使系统进行炮膛觇视和供系统进行自检的逻辑板以及预选输入显示装置。车长操作装置提供系统显示器读数、射击距离和弹药输入信息。装填手操作装置提供弹药输入信息。
控制回路向火炮液压俯仰驱动装置传输计算机瞄准角数据,并向运动的十字线传输方向角数据。反馈回路可确保实际瞄准角及十字线方向角与计算数据一致,并对误差进行精确校正。
火控系统传感元件包括大气传感器、激光测距仪、炮塔倾角指标器和目标角速度传感器。
计算机出现故障时,炮长可使用方向机和高低机操纵火炮。车长可使用超越控制装置先于炮长控制火炮和实施射击。
火炮配有双向稳定器,稳定系统与美国卡迪拉克·盖奇(Cadillac Gage)公司的相同,由以色列PML精密机械有限公司(PML Precision Mechanism Ltd)特许生产。
车长有1个可360°旋转的瞄准镜,放大倍率为4×和20×,车长潜望镜的可旋转头部通过1个反向旋转装置与炮塔方向驱协系统相连,以补偿炮塔旋转量。炮长潜望镜的放大倍率为1×和8×,并与激光测距仪合为一体。
该坦克的夜视设备是微光夜视系统,也可以选择热像式夜视系统。
三、推进系统
1发动机
该坦克使用美国泰莱达因·大陆(Teledyne Continental)公司的AVDS-1790-6A型12缸风冷柴油机,标定功率为662kW(900马力)。详见“坦克装甲车辆发动机”部分。
2传动装置
与上述柴油机相匹配的美国底特律柴油机阿里逊(DDA)公司的CD-850-6A型传动装置,它有高档、低档和倒档各1个,详见“坦克装甲车辆传动装置”部分。
3行动装置
该坦克采用平衡式螺旋弹簧悬挂装置,车体每侧有3组悬挂装置,每组有2个平衡肘和2个双轮缘负重轮。6个平衡肘均独立地相对于各自的螺旋弹簧运动。车体每侧还有4个液压减振器、4个限制器以及4个托带轮,其中第一、二、四个托带轮仅支撑履带靠车体半边。
4车长指挥控制系统
普通坦克车长与驾驶员的联系借助车内通话系统,但梅卡瓦坦克使用车长指挥控制系统。
该系统包括车长使用的转向手柄信号发生装置、电子设备和与车内通话器相连接的驾驶员用显示器。车长手柄信号发生装置安装在炮塔上,电子设备可随意布放,驾驶员用的显示器固定安装在驾驶员座位处,无论开窗与否,都易于驾驶员观察。
车长转动转向手柄时,驾驶员可从耳机中听到待命信号,同时可从显示器上看到相应的待命符号。车长松开转向手柄时,转向手柄会自动回到中心位置,此时驾驶员从耳机中听到“驾驶员,好”的命令。
四、防护系统
鉴于该坦克将防护性能置于3大性能之首,为此采取了如下措施:
1总体布置
为减少弹药爆炸引起的二次效应,车体前部和炮塔座圈以上部分不放置弹药。为保障乘员安全,尽可能使座位靠车体后部和相对较低的位置布置。用于保护乘员的装甲重量占坦克战斗全重的70%,大大高于其他坦克。
2动力传动前置
该坦克与众不同之处是,将动力传动装置前置,主要目的是提高坦克正面防护能力,以保护乘员安全。
3重要部分采用间隙和(或)间隔装甲技术
该坦克在最容易受攻击的车体前上装甲、炮塔顶部和四周部位以及战斗舱顶部、后部和两侧重点保护部位,均采用间隙和(或)间隔装甲结构。夹层空间有的储存燃料,有的存放机枪弹,以增强防护和防二次效应。
4附加防护
充分利用坦克部件和设备对乘员进行保护是该坦克设计的指导思想。例如,将蓄电池、三防装置、液压动力元件、悬挂装置以及发动机和传动装置布置在乘员舱的周围,以增强对乘员的保护。
5弹药的特殊防护
为防止弹药引爆产生二次效应,该坦克将其放在可耐高温的特制容器内,布放在不易受攻击的炮塔座圈以下的车体中后部。
机枪弹存放在间隙装甲的夹层空间里,同样可防枪弹爆炸对乘员的伤害。
6自动灭火抑爆装置
该坦克装有以色列斯佩克卓尼克斯(Spectronix)公司专门研制的自动灭火抑爆装置,可在60ms内抑制并扑灭油气混合气体的燃烧和爆炸。
7三防装置
该坦克装有集体防护式的三防装置,由中央增压系统在车内建立超压,从而可防止生物、毒气和放射性尘埃进入车内。
8瞄准镜的特殊保护
炮长瞄准镜使用防弹片和机枪弹的钢板加以保护。车前大灯安装在可伸缩的装置上,不使用时缩回,以提高防护性。炮塔前部右侧焊有若干小肋板,以防弹片和机枪弹击中车长瞄准镜和激光测距仪。
型号演变
该坦克至今已发展了梅卡瓦MK1型、梅卡瓦MK2型和梅卡瓦MK3型坦克3个型号。
1梅卡瓦MK2型坦克
1983年投产的该坦克与MK1型相比有下列改进:
(1)增强车体正面防护
除继续采用梅卡丽MK1型里的夹层式间隙装甲和在间隙中储存燃料的防护措施外,该坦克还在发动机后面加了1层特种装甲隔板,以提高坦克车体的正面防护性。
在发动机上方加有1个矩形铸钢盖板,它既是车体前上装甲的一部分,又可作为起吊发动机和传动装置的吊车支架,打开盖板,还可方便地维修发动机。
车体前上倾斜装甲板一直向上延伸,高出炮塔座圈,对炮塔与车体的结合部位有保护作用。
(2)采用复合装甲保护炮塔
该坦克的炮塔除继续采用MK1型的防护措施外,在正面和侧面部位均使用复合装甲,以增强炮塔的防护性;在炮塔尾舱下面垂吊有铁链作为对破甲弹的屏蔽措施。
(3)改进炮弹防二次效应措施
该坦克的所有炮弹,包括待发射弹均存放在有隔离衬层的玻璃纤维储弹筒里面,储弹筒有一定的防弹能力,即使坦克装甲被击穿,炮弹也不会轻易被击中,储弹筒有一定隔热能力,即使车内形成高温,短时间储弹筒内的炮弹也不会自爆。
(4)加装自卫用60mm迫击炮
在该坦克炮塔左边,装有1门可从车内装弹和射击的60mm迫击炮,该炮可发射榴弹,以杀伤软目标,也可以发射烟幕弹和照明弹。
(5)改进火控系统
该坦克使用斗牛士MK2型火控系统,与斗牛士MK1型相比,改进之处包括用钇铝石榴石(YaG)激光测距仪代替钕玻璃激光测距仪,采用更先进的弹道计算机。该火控系统可以将相应俯仰角和提前角信息送入炮长瞄准镜,该镜的反射镜可做俯仰运动,放大倍率为8倍。车长瞄准镜为周视式,带有可变焦距镜头,放大倍率为4倍和20被,变换放大倍率用脚踏板控制。
在梅卡瓦MK2A型坦克中,车长有1个微光夜间瞄准镜。
炮长有1个夜间射击使用的休斯(Hughes)公司热成像瞄准镜,该瞄准镜与昼间瞄准镜结合成一体,与火炮相连接。车长有1个监视器,可显示炮长热成像瞄准镜上的热像。在梅卡瓦MK2B型坦克中,装有1台更先进的埃尔比特(Elbit)公司数字式计算机、1个气象中心装置和1个侧倾自动修正仪。气象中心装置包括横风、气温、气压等传感器,可为火炮提供较完整的射击修正参数。借助“射击门”装置进行射击,能大大提高坦克的行进间射击能力。
2梅卡瓦MK3型坦克
1987年投产并装备部队的该坦克在外观上与前两种型号无太大变化,然而,几乎每个主要部件都是新的,从而明显地提高了火力、机动和防护性能。
该坦克的主要改进有:
(1)防护
与前两种型号相比,该坦克使用了更多更先进的复合装甲,尤其是在炮塔设计中采用了可更换的模块式复合装甲,这咱装甲模块还可以被更先进的复合装甲模块所代替。
炮塔体不再是双层间隙钢板装甲,而是单层壳体结构。这种单层壳体既是基体钢装甲,又是炮塔正面和两侧安装复合装甲模块的基体。复合装甲模块是一个个钢装甲盒子,盒内装有复合装甲板组件,与炮塔基体相连接,用螺栓固定。
突出炮塔座圈的车体外壁上也采用这种模块装甲。在驾驶员前的前上装甲板上也用螺栓固定有模块装甲,以增强对付来自左侧的攻击。侧裙板也采用以弹性连接方式连接的复合装甲裙板。
为尽量减小燃料着火的危险性,在两个后部燃料箱遭到攻击小面积破损时可迅速将燃料排掉,万一碰到大面积破损时可从顶部把燃料排掉。
车体底板的夹层中不再储存燃油,但两层板的间隙对衰减地雷爆炸冲击波极为有利。底甲板的加厚也提高了防地雷能力。
三防装置位置移向炮塔尾舱,蓄电池位于炮塔座圈以外,从而达到易维修和增强侧面防护双重目的。
(2)火控系统
该坦克装有斗牛士MK3型火控系统,主要改进是新型炮长瞄准镜有12倍放大倍率,进行独立双向稳定,装有掺钕钇铝石榴石激光测距仪,备有昼夜观察通道。该镜连同弹道计算机和一套传感器构成指挥仪式火控系统,可简化目标捕捉进程和大大提高行进间命中率。
该坦克装有由阿姆科拉姆(Amcoram)公司发展的先进的威胁报警系统,3个广角探测器分装在炮塔后部两侧和火炮防盾上,可全方位探测并将威胁预警显示在车长屏幕上。
为提高生存力,该坦克装有全电式炮塔旋转驱动和火炮俯仰驱动装置。
(3)武器系统
主要武器由1门105mm线膛炮改为120mm滑膛炮,由以色列军事工业公司研制,可发射M1A1坦克和豹2坦克的炮弹,但后坐装置设计得更紧凑。该后坐装置为同心式,采用氮气作弹性介质,从而使该装置的直径比同灶装置小100mm;另一优点是可以从炮塔前部抽出火炮。
炮弹仍储存在车体后部,但每箱装4发炮弹改为1发弹。该坦克的炮弹携带基数为50发。
(4)推进装置
该坦克采用AVDS-1790-9AR型风冷柴油机,是前两种型号坦克发动机的改进型,功率从原来的662kW(900马力)增高到895kW。功率提高的主要原因是采用了新型涡轮增压器和中冷器、新型连杆和活塞以及10孔喷油器等。
传动装置是唯一的继承性部件。
行动装置有12个弹性支撑在两个同心螺旋弹簧上的负重轮,每侧6个,其中4个有旋转式液压减振器,前后两个有液压限制器,悬挂总行程增至600mm,其中行动程为300mm。履带为干式钢质单销式,每条履带有110块履带板。0至32km/h加速时间为10s。
变型车
1梅卡瓦155mm自行火炮
该车系索尔塔姆(Soltam)公司用梅卡瓦坦克底盘发展而成的。
2安装推土铲/扫雷设备的梅卡瓦坦克
该车系车体前下装甲板上装有以色列自己设计和制造的扫雷设备和推土铲的梅卡瓦坦克。
3排级通信型梅卡瓦坦克
该车系装有附加通信设备和附加天线的梅卡瓦坦克。
性能数据:
型号: 梅卡瓦MK1型坦克 梅卡瓦MK3型坦克
乘员: 4人 4人
战斗全重: 60000kg 61000kg
净重: 58000kg 59000kg
单位功率: 1103kW/t 1467kW/t
单位压力: 883kPa 960kPa
车长(炮向前): 8630m 8780m
车体长: 7450m 7600m
车宽: 3700m 3700m
车高 :
至指挥塔顶: 2750m 2760m
至炮塔顶: 2640m 2650m
火线高: 2150m
车底距地面高: 047m 053m
履带宽: 640mm 660m
履带着地长: 4780m
公路最大速度: 46km/h 55km/h
0—32km/h加速时间: 13s 10s
燃料储备: 900L
公路最大行程: 400km 500km
涉水深 :
无准备: 138m 138m
有准备: 20m 24m
爬坡度: 60% 70%
侧倾坡度: 38% 38%
攀垂直墙高: 095m 1m
越壕宽: 30m 35m
发动机 :
生产公司: 泰莱达国·大陆公司 泰莱达国·大陆公司
型号: AVDS-1790-6A AVDS-1790-9AR
类型: 4冲程12V90° 4冲程12V90°
风冷涡轮增压柴油机 风冷涡轮增压中冷柴油机
功率/转速: 662kW/2400r/min 895kW/2400r/
传动装置 :
生产公司: 底特律柴油机 底特律柴油机
阿里逊公司 阿里逊公司
型号: CD-850-6A CD-850-6A
类型: 液力机械 液力机械
前进档/倒档数: 2/1 2/1
转向装置类型: 双差速器式 双差速器式
悬挂装置类型: 平衡式螺旋弹簧 独立式同心螺旋弹簧
主要武器口径/型号/类型: 105mm/M68/线膛 120mm/ /滑膛
并列武器口径/类型/数量: 762mm/机枪/1挺 762mm/机枪/1挺
防空武器口径/类型/数量: 762mm/机枪/2挺 762mm/机枪/2挺
热烟幕: 无 无
烟幕弹发射器口径: 785mm
弹药基数 :
105mm炮弹 62-85发
120mm炮弹 50发
762mm机枪弹 1000发 2000发
炮塔驱动方式: 电液式 电动式
炮塔旋转范围: 360° 360°
车长超越控制: 有 有
火炮俯仰范围: -85°~+20° -8°~+20°
火炮稳定器 :
水平向: 有
高低向: 有
火控系统类型: 指挥仪式
夜间瞄准具类型: 微光像增强或热成像 微光像增强或热成像
装甲结构类型
车体 :
前上: 间隙 间隙+模块装甲
前下: 均质 均质
侧部(裙板): 间隙 均质+模块装甲
顶部: 均质 均质
底部: 间隙 间隙
炮塔:
正面: 间隙 均质+模块装甲
侧面: 间隙 均质+模块装甲
顶部: 间隙 均质+模块装甲
尾部: 均质 均质
三防装置: 有 有
灭火抑爆系统: 有 有
光电报警设备: 无 有
电气系统电压: 24V
蓄电池数量/电压/容量: 8个/12V/500Ah
非传统布局
梅卡瓦MK1型坦克最大的特点当然是其与众不同的动力系统前置、驾驶室居中、战斗室后置的布局。驾驶员位于车体前部左侧,其右侧是发动机舱。驾驶员有一扇向左开启的舱门并有3具潜望观察镜用于闭仓观察(中间一具可用被动夜视仪替代)。由于发动机顶板的凸起部分仅占坦克车体前部侧的2/3,所以基本可保证驾驶员的前方世界。驾驶室内装有以色列自行研制的坦克驾驶员语音受令系统。车长通过手柄提示驾驶员坦克应当前进的方向,并通过按钮发出速度指令,而驾驶员前方的显示器会出现相应前进方向的箭头,同时能通过装在坦克帽内的耳机听到“快”、“慢”、“前”、“后”等由计算机合成的提示音。这套装置是以色列埃尔塔公司专门为坦克设计的。车长借助此装置,即使不用内部通讯大声呼叫,也能使坦克迅速而准确地进行战术机动。
在动力室的后面是战斗室,驾驶倚位置也可以用装甲板和战斗室隔开,但通常情况下,驾驶员离车时,应从椅子后方进入战斗室,再从战斗室后部的出入口下车。这是应为在战斗中,主要的火力威胁多来自前方,驾驶员如果迎着枪淋弹雨从车体前方下车的话,基本上死的可能比活的可能要大。平常训练时就养成良好的操作习惯,可以在高度紧张的战场情况下也不至于乱了方寸。
梅卡瓦坦克的战斗室位于车体的后半部,其空间的宽敞度令人吃惊,车长、炮长和装填手的操作空间都很大,这主要是内部设备的合理布局带来的好处。梅卡瓦坦克后藏的空间可搭载一个班的步兵,但是一般情况下不会这样做,特别是在战时需要为伤员提供安全空间。在紧急情况下,梅卡瓦最多考虑到可以搭载8名伤员。
手枪是一种我们都非常熟悉的武器,手枪的外形与玩具手枪相似,其作用在**及电视上也都看到过。它样子小巧,可放在口袋里,提包里,以及那些不太显眼的小地方。当遇到危险的时候,你就可以拿出它来,保护自己。 手枪在50米内,能够具有较好的杀伤力,它是近距离作战和自卫用的小型武器。所以说,它是防身的最好武器。 手枪按其用途可以归纳为自卫手枪、战斗手枪和特种手枪。按其结构又可以归纳为转轮手枪和自动手枪两种。 我们所说的左轮枪就是属于转轮手枪这一类。此种手枪通常可以装5~6颗的子弹。而自动手枪则采用弹匣装子弹,一匣就可以装6~12发子弹,有的甚至还可以装20发子弹。一般说来,转轮手枪和自动手枪被统称为自卫手枪 特种手枪有两种:一种称为微声手枪,另一种称为隐形手枪,它们是用于执行特殊任务的。 在现代的战争中,大面积的布雷也是对付坦克群的一种很有效的办法。但装甲部队为了迅速的排雷却伤透了脑筋。而今,有了扫雷坦克的跟随,排雷就好办多了。 说起扫雷坦克的外形其实与普通坦克也无多大差异,扫雷坦克,只是在车体的前方安装了一种特殊的扫雷器。而扫雷器的种类也很多,军队里最常见的是犁刀式扫雷器——它的外形有点像耕地的犁,就用此犁刀将埋在地里的雷先像挖地瓜一样一个个的翻出来,然后再把地雷堆放在坦克两侧。不过,这种扫雷器也有局限性,比如对付土质特别硬或冻土地带的地雷困难就很大了。于是,便采用了另一种滚压的方法。当然,这决不是说用坦克去压,而是要在车前装上一个大的滚筒,样子活像个大碾子。此种扫雷器本身少则有七八吨重,多则有几十吨重,但压向地雷时本身却不会损坏,最多也只向上跳一跳。扫雷坦克除了用挖与压的方法扫雷以外,还可以用打的办法。只要在车前装上链条式的打雷器,让高速旋转的链条不断地鞭打地面,埋在地下的地雷就会因抽打而引爆。 扫雷坦克在完成扫雷任务以后,只要卸下所装的打雷器,就能像其它坦克一样参加各种战斗。
希望采纳
曾有人说过"百姓为求得幸福生活不辞辛劳,军人为不辱荣耀任务杀身成仁。"军人是人民的守护者,是战争时期的保卫者。为了人民他们甘于贡献,为了国度他们勇于牺牲。假如说有一种任务需求用汗水和鲜血来完成的话,那一定就是军人的任务。身处于战争年代的我们可能并没有阅历过战争,但在那个战火纷飞的年代,人民生活在安居乐业之中,国度处于危机存亡之时。挺身而出的正是那些热血男儿,他们深知本人军人的任务,为了国度抛头颅洒热血,用生命换来了我们的战争生活。
固然已是战争年代,但在我国的边境仍有着许多战争所遗留下来的风险物品,其中一种便是地雷。而有着这么一位名叫杜富国的战士,年岁悄悄便参加到了扫雷大队,在他工作的几年间便排雷2400颗。
但在18年他为救一名战友,失去了本人的双臂和双眼,成为了重度残疾。在几年后的今天,他如何了呢?
杜富国1991年出生在贵州湄潭,他的家中有着兄妹四人,而杜富国排行老大。从小他便有一个幻想,那就是当一名巨大的军人。
在幻想的驱动下,杜富国在19岁时便报名从军。入伍后的他参加了扫雷大队,成为了一名排雷兵。排雷兵,是工作风险最高的兵种之一。许多埋藏在地底的地雷由于年代长远,招致其中的化学性质并不稳定,稍有不慎便会发作爆炸。
但面对如此之大的风险,杜富国并没有畏惧。他认真地参与每一次的排雷锻炼,确保之后的每一次排雷工作不呈现失误。
不久之后,杜富国便到了排雷的一线工作。在每一次的排雷过程中,杜富国都非常的冷静,面对着风险的地雷,杜富国从未畏缩过一步。每次排雷时总能听到杜富国与队友们说到:"你退后,让我来"。
就这样,杜富国在当排雷兵的几年间,参与了1000屡次的排雷任务,扫除了2400多颗地雷,并屡次取得部队的嘉奖。但天有不测风云,不测还是发作了,一场排雷任务的失败让杜富国身受重伤,也招致他彻底分开了这个他所酷爱的岗位。
2018年10月11日下午2点,杜富国所在的扫雷大队来到云南省麻栗坡县某雷场停止扫雷任务。在搜索过程中,杜富国小队发现了一颗半露在地表的手雷。在排雷过程中任何看似风险性不大的地雷常常藏着宏大的风险,而当时的排查的中央本就是一片密集的雷区。
于是杜富国判定,他们找到了一处雷窝,在这颗手雷下可能藏着许多的小雷。他立即向分队长报告状况,分队长也立刻下达了排查的指令。
杜富国毫不犹疑地接下了这个命令,与他一同停止排查任务的还有他的战友艾岩。面对着这个艰巨的任务,杜富国对着艾岩说出了一句:"你退下,让我来"。
杜富国缓缓地走向雷区,战战兢兢地停止手雷的排查。但是就在这时不测发作了,这颗雷是一颗阴谋雷,只需悄悄一碰便会爆炸。杜富国一不当心便触发了手雷,手雷在一霎时爆炸开来。杜富国并没有第一时间跑离雷区,而是扑向了离雷区不远的艾岩,并将他护在了身下。
爆炸的碎片和冲击波全部被杜富国挡了下来,他的防护服此时早就被炸得不成样子,身上也早已被鲜血染红。
而被他护在身下的艾岩,被他好好地维护住了,并没有什么大碍。不测发作后,杜富国被立刻送往了医院治疗,在医生们的竭力抢救之下,杜富国固然活了下来,但是他却失去了双臂,并且永远的双目失明。
医生们将状况通知了杜富国的父母,希望他们能为杜富国做好意理的引导,不要让他做出过于极端的行为。杜富国的父母看到本人的孩子变成了如今这样,含着泪点了点头。
杜富国醒来后并没有解体的心情,他晓得本人失去双臂后,有着些许失落。但之后他便跟父亲说,本人后面要装个智能手臂,继续停止排雷工作。
此时的杜富国还不晓得本人双目也曾经失明,仍抱着可以回到工作岗位上的愿望。在之后的治疗中,杜富国积极地配合着医生们的康复方案,忍着身体的疼痛,坚持着医生们的叮嘱,只为可以早日返回部队。
但是谎话究竟有被拆穿的一天,当杜富国讯问本人是不是能够摘掉眼睛上的纱布时,医生们只好把真相通知了他。
杜富国听完后并没有像医生们料想中的那样解体到痛哭,他缄默了许久然后叹了口吻。或许在他心中曾经意料到了这种结局,又或许是觉得哭闹并没有什么用途而选择了缄默。
逐步的杜富国承受了这一个理想,身为一名军人的他,并未像普通人普通颓丧,而是刚强空中对着生活。伤情好点后,杜富国开端下床活动。他努力顺应着失去双臂和失明的生活,在战友和父母的陪伴下,杜富国常会在户外散漫步,或者快步小跑一会儿。
杜富国恢复的速度很快,不久之后生活便能自理了。而即便身体残疾,杜富国照旧想要回到部队工作,由于关于他来说部队曾经不只仅只是他工作的中央,而是他的家。
于是在杜富国康复出院后,他开端努力地练习播音技巧,最后成为了军队播送《南路之声》的播音员。
伤痛并未让他放弃希望,更没有让他遗忘了那颗甘于贡献的心。他不顾一切地救下战友,无论何时都怀揣着回归部队的心,这是由于他的担当,这是由于他的英勇,而最重要的是由于他是一名中国军人!
杜富国的英雄事迹渐渐地被人们所熟知,人们都理解到了这个舍生取义的中国军人。在人们的眼中:杜富国就是这个时期青年们的典范,是这个时期的英雄。
而他的那种军人风范,甘于贡献,刚强英勇的肉体,也深深地感染了许多的年轻人。
后来杜富国先后取得了"全国自强模范"、"打动中国十大人物"、陆军"四有"新时期反动军人标兵等称号,荣立个人一等功,中共中央宣传部为杜富国授予了"时期楷模"的称号。最后让我们记住他的名字,一个巨大的军人——杜富国
一
在开机时,进入”带命令提示符的安全”模式
输入
NET USER+用户名+123456/ADD
可把某用户的密码强行设置为”123456
方法二
如用户忘记登入密码可按下列方法解决
1在计算机启动时按〔F8〕及选〔Safe Mode With Command Prompt〕
2选〔Administrator〕后便会跳出〔Command Prompt〕的窗口
3用〔Net〕的命令增加一个用户,例:增加一个用户名为seek,命令语法如下:
net user seek/add
4、将新增用户提升至Administrator的权力,例:提升刚才增加用户seek的权力,命令语法如下
net localgroup administrators seek/add
5、完成上列步骤后重新启动计算机,在启动画面上便增加了一个用户seek了,选seek进入
6登入后在〔控制台〕→〔使用者账户〕→选忘记密码的用户,然后选〔移除密码〕后〔等出〕
7在登入画面中选原来的用户便可不需密码情况下等入(因已移除了)
8删除刚才新增的用户,在〔控制台〕→〔使用者账户〕→选〔seek〕,然后选〔移除账户〕便可
方法三
1、重新启动Windows XP,在启动画面出现后的瞬间,按F8,选择”带命令行的安全模式”运行。
2、运行过程停止时,系统列出了超级用户administrator和本地用户owner的选择菜单,鼠标点击administrator,进入命令行模式。
3、键入命令:
net user owner 123456/add
强制性将OWNER用户的口令更改为”123456〃。若想在此添加某一用户(如:用户名为seek,口令为123456) 的话,请键入
net user seek 123456/add
添加后可用
net localgroup administrators seek/add
命令将用户提升为系统管理组administrators用户,具有超级权限。
4DOS下删windows\system32\config里面的SAM档就可以了
5开机后按键盘的Delete键进入BIOS界面。找到User Password选项,其默认为关闭状态。启动并输入用户密码(1~8位,英文或者数字)。计算机提示请再输入一遍以确认密码无误,保存退出后重新启动机器,这时就会在开机时出现密码菜单
方法四
如果是FAT32,进入DOS,删除c:winntsystem32configsam就可以了。
登陆只要输入administrator不输密码即可。然后创建一个新的。要是NTFS则无效
另外如果你的系统没有加过微软的输入法补丁的话也可以利用输入法的漏洞去做一个管理员权限账号,
具体方法如下:
开机后,Win2000自启动,出现登录窗口,显示用户名,并要求输入密码(当然这时你不会有密码)。这时请将输入焦点置于用户名一项,用Ctrl+Shift切换输入法(随便选上一种,只要能出现输入法工具条的就行)。在出现的输入法提示工具条上单击右键,选择帮助,会弹出一个帮助窗口。接下来你需要在这个窗口里找到一个(绿色带下划线)超级链接,并用SHIFT+鼠标左键单击,打开它会弹出一个IE窗口,请在窗口地址栏里输入c:,到这步你应该很清楚怎么做了。只要点击标准按键的”向上”,会发现你可以进入”控制面板”了,进入后你可以直奔”用户和密码”
接下发生的事只有你自己知道了。
方法五
我们知道在安装Windows XP过程中,首先是以”administrator”默认登录,然后会要求创建一个新账户,以便进入Windows XP时使用此新建账户登录,而且在Windows XP的登录接口中也只会出现创建的这个用户账号,不会出现”administrator”,但实际上该”administrator”账号还是存在的,并且密码为空。
欢迎分享,转载请注明来源:浪漫分享网
微信扫一扫
支付宝扫一扫
评论列表(0条)