浅谈两种简单的还原/影子系统穿透方法

JuncoJet

一种是比较传统的，使用X86 IO，对IDE硬盘进行读写，
目前没有可以防御住该类读写的还原或者影子系统。但是IDE硬盘比较久远，现在用的电脑不是很多，所以可能他们这些软件并不是很关注这个问题。
使用该方法的软件，CrDisk（硬盘保护卡克星），对 0x102-0x107端口进行IO，未文档化或者为扩展的X86 IO端口。
重新分析了下，修正了之前的看法。他使用了0x1F2-0x1F7端口对硬盘进行操作，是标准的X86 IO，可以在网上搜索到具体使用方法。
bochs上可以看到ATA通道0使用1F0端口，通道1使用170端口。SCSI/SATA的可同理，只是资料比较少，成功后更新POC。





另外一种通用性相对较高，对\GLOBAL??\PhysicalDrive%d设备进行读写，绝大多数还原或影子不能防御，像Shadow Defender的应对措施就是强制重启你的电脑。
使用该方法的软件，Sector Editor，如果结合文件系统结构，就可以很轻松的改写硬盘上的任何一个文件。




---
更新
有网友谈论冰点，可以很负责的说冰点的安全性不如Shadow Defender，很容易被穿透。
就算是Shadow Defender，也有穿透的可能，一键转储commit.exe，如果没有设置密码，
可能被其他程序调用，被注入（针对于需要签名或所有权验证的情况，没有验证的话可以直接对内核对象进行IO无需注入），利用、穿透。
有设置密码也并不绝对的安全，设置密码的话Ring0下还是能Patch密码验证过程从而穿透。
感兴趣的话可以参看一下我写过的一款主动防御 EzH!PS 的核心思路。http://www.vbgood.com/thread-97267-1-1.html




---
更新
补上完整的转储过程日志，可在附件里下载



转储完成会从内核设备\\.\DpControl中读出文件（这不绝对，才不说ReadFile也能用做写文件），读写大小正好为文件大小



第25号文件里面有转储的文件名，但没有路径。



---
更新，自己写了个驱动穿透IDE硬盘，上传录像

录像1.part1.rar (3 MB, 下载次数: 46)

2019-2-21 10:23 上传

点击文件名下载附件
下载积分: 吾爱币 -1 CB

录像1.part2.rar (1.97 MB, 下载次数: 36)

2019-2-21 10:23 上传

点击文件名下载附件
下载积分: 吾爱币 -1 CB

kilkilo502

回复楼主的学习研究成果 表示拜膜！
但是我想说的是 转储文件是必然可以穿透木马的！但是！不会运行！ 具体原理你肯定懂！
当一个文件感染了！你要转储那个文件是必然携带木马！
而相对来说，就算转储了。还要看转储那些类型的文件，是否能确认在这个系统下运行！比如目前 兼容性较差的 WIN10 函数调用包括HOOK都目前没超过三个大牛可以超过某些版本！
更别说咱们这些小罗喽了！！！
在，用影子系统的时候 ，本身就带杀毒系统，或者关闭杀毒系统，病毒根本不运行。。。。
上次咱们论坛说出现一个很厉害的病毒，我在虚拟机上测试了！完成杀除！
我说在本机运行试试。。。。此时亮了！病毒根本打不开！。。。。不运行 目前大多数我看到的木马可以运行的只有MGR那一块的蠕虫！但是无法注入主线程进行感染 ，形成不了宿主!达不成感染的目的！

簟纹灯影

“强制重起你的电脑”→→→“强制重启你的电脑”
抱歉，上面是我的强迫症，感谢大佬分享

子义

然后呢 有什么用 有什么价值  原谅我我什么都不懂

xxkz

冰点还原也行？

shaokui123

讲了半天有什么用？

kk1212

簟纹灯影 发表于 2019-2-18 11:24
“强制重起你的电脑”→→→“强制重启你的电脑”
抱歉，上面是我的强迫症，感谢大佬分享

是的  错了一个字。

jiukou

冰点还原不行，我启用了冰点，结果首页总是被改成http://hao.eyy5.cn/7654.html，而且无法修改，注册表没有

javacafe

学习学习

kingaero

强制重启你的电脑

夏520

学习学习