吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 35458|回复: 53
收起左侧

[系统底层] 浅谈两种简单的还原/影子系统穿透方法

  [复制链接]
JuncoJet 发表于 2019-2-18 10:49
本帖最后由 JuncoJet 于 2019-2-21 10:24 编辑

一种是比较传统的,使用X86 IO,对IDE硬盘进行读写,
目前没有可以防御住该类读写的还原或者影子系统。但是IDE硬盘比较久远,现在用的电脑不是很多,所以可能他们这些软件并不是很关注这个问题。
使用该方法的软件,CrDisk(硬盘保护卡克星),对 0x102-0x107端口进行IO,未文档化或者为扩展的X86 IO端口。
重新分析了下,修正了之前的看法。他使用了0x1F2-0x1F7端口对硬盘进行操作,是标准的X86 IO,可以在网上搜索到具体使用方法。
bochs上可以看到ATA通道0使用1F0端口,通道1使用170端口。SCSI/SATA的可同理,只是资料比较少,成功后更新POC。

Image 316.jpg
Image 315.jpg
未标题-1.jpg

另外一种通用性相对较高,对\GLOBAL??\PhysicalDrive%d设备进行读写,绝大多数还原或影子不能防御,像Shadow Defender的应对措施就是强制重启你的电脑。
使用该方法的软件,Sector Editor,如果结合文件系统结构,就可以很轻松的改写硬盘上的任何一个文件。

Image 318.jpg
Image 317.jpg

---
更新
有网友谈论冰点,可以很负责的说冰点的安全性不如Shadow Defender,很容易被穿透。
就算是Shadow Defender,也有穿透的可能,一键转储commit.exe,如果没有设置密码,
可能被其他程序调用,被注入(针对于需要签名或所有权验证的情况,没有验证的话可以直接对内核对象进行IO无需注入),利用、穿透。
有设置密码也并不绝对的安全,设置密码的话Ring0下还是能Patch密码验证过程从而穿透。
感兴趣的话可以参看一下我写过的一款主动防御 EzH!PS 的核心思路。http://www.vbgood.com/thread-97267-1-1.html




---
更新
补上完整的转储过程日志,可在附件里下载

Image 321.jpg

转储完成会从内核设备\\.\DpControl中读出文件(这不绝对,才不说ReadFile也能用做写文件),读写大小正好为文件大小

Image 322.jpg

第25号文件里面有转储的文件名,但没有路径。

hookIO_25.jpg

---
更新,自己写了个驱动穿透IDE硬盘,上传录像

录像1.part1.rar (3 MB, 下载次数: 46) 录像1.part2.rar (1.97 MB, 下载次数: 36)

HookIO.rar

1.35 MB, 下载次数: 61, 下载积分: 吾爱币 -1 CB

分析日志

免费评分

参与人数 15吾爱币 +21 热心值 +14 收起 理由
v0id_alphc + 1 我很赞同!
xsidesign + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Nickdlk + 1 谢谢@Thanks!
ttao88 + 1 + 1 谢谢@Thanks!
willJ + 6 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
梦入神机 + 1 + 1 用心讨论,共获提升!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
fangchang819 + 1 热心回复!
silverkey + 1 + 1 真大神
寒枫雨雪 + 1 + 1 用心讨论,共获提升!
qiyou + 1 + 1 热心回复!
onedaywwd + 1 鼓励转贴优秀软件安全工具和文档!
yixi + 1 + 1 谢谢@Thanks!
YOUNGPO + 1 我很赞同!
簟纹灯影 + 1 谢谢@Thanks!

查看全部评分

本帖被以下淘专辑推荐:

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

kilkilo502 发表于 2019-2-20 00:39
回复楼主的学习研究成果 表示拜膜!
但是我想说的是 转储文件是必然可以穿透木马的!但是!不会运行! 具体原理你肯定懂!
当一个文件感染了!你要转储那个文件是必然携带木马!
而相对来说,就算转储了。还要看转储那些类型的文件,是否能确认在这个系统下运行!比如目前 兼容性较差的 WIN10 函数调用包括HOOK都目前没超过三个大牛可以超过某些版本!
更别说咱们这些小罗喽了!!!
在,用影子系统的时候 ,本身就带杀毒系统,或者关闭杀毒系统,病毒根本不运行。。。。
上次咱们论坛说出现一个很厉害的病毒,我在虚拟机上测试了!完成杀除!
我说在本机运行试试。。。。此时亮了!病毒根本打不开!。。。。不运行 目前大多数我看到的木马可以运行的只有MGR那一块的蠕虫!但是无法注入主线程进行感染 ,形成不了宿主!达不成感染的目的!
簟纹灯影 发表于 2019-2-18 11:24
“强制重起你的电脑”→→→“强制重启你的电脑”
抱歉,上面是我的强迫症,感谢大佬分享
子义 发表于 2019-2-18 12:28
然后呢 有什么用 有什么价值  原谅我我什么都不懂
xxkz 发表于 2019-2-18 12:52
冰点还原也行?
shaokui123 发表于 2019-2-18 12:52
讲了半天有什么用?
kk1212 发表于 2019-2-18 13:30
簟纹灯影 发表于 2019-2-18 11:24
“强制重起你的电脑”→→→“强制重启你的电脑”
抱歉,上面是我的强迫症,感谢大佬分享

是的  错了一个字。
jiukou 发表于 2019-2-18 13:48
冰点还原不行,我启用了冰点,结果首页总是被改成http://hao.eyy5.cn/7654.html,而且无法修改,注册表没有
javacafe 发表于 2019-2-18 13:50
学习学习
kingaero 发表于 2019-2-18 13:53
强制重启你的电脑
头像被屏蔽
夏520 发表于 2019-2-18 14:05
提示: 作者被禁止或删除 内容自动屏蔽
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-12-22 00:59

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表