【文件7】所谓hardlink 所谓XCB大法

最新推荐文章于 2023-06-14 09:43:08 发布
最新推荐文章于 2023-06-14 09:43:08 发布
阅读量3k 收藏 2
点赞数
分类专栏: 内核研究 文件系统 文章标签: object file dos attributes null 安全相关
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shevacoming/article/details/7559078
版权
本文探讨了NTFS文件系统中的HARDLINK概念,以及XCB大法如何通过修改CleanUpCount来影响句柄计数,从而实现对文件的特殊操作。内容包括逆向360FkAdv程序,解析内核调试信息,说明如何在不完全关闭句柄的情况下解锁文件,强调在硬链接中句柄计数和文件系统结构的重要性。
摘要由CSDN通过智能技术生成

所谓hardlink 所谓XCB大法

 

前两天看到NTFS之HARDLINK攻防第二版,本来是讲hardlink,不过提到了个XCB大法,卖了个关子,出于好奇就逆了360FkAdv,本来逆的差不多了想替换的,结果发现驱动由DLL释放,DLL又由别的释放,懒得写会原程序了。。。上篇blog有点前置知识。。

 

链接中的文章展示了一种删除Hive硬链接占坑同时解锁文件的方法(解锁文件其实是副作用)

 

根据逆向的结果,上一点关键Code

	if ( NT_SUCCESS(MyCreateFile(&FileHandle, SourceString, 0x10100u, 4u, 0) ) ) //尝试高权限打开
	{
		StripFileAttributes(FileHandle);
		IRPDeleteFile(FileHandle);
		return ZwClose(FileHandle);
	}


	if ( NT_SUCCESS(MyCreateFile(&FileHandle,SourceString,FILE_ATTRIBUTE_NORMAL, 4u, 0)))//独占一般是独占数据,如上参数可以打开文件句柄
	{
		StripFileAttributes(FileHandle);
		IRPDeleteFile(FileHandle);
		if ( ZwQueryInformationFile(FileHandle, &IoStatusBlock, &FileInformation, 0x28u, FileBasicInformation) < 0
			|| FileInformation.FileAttributes & FILE_ATTRIBUTE_DIRECTORY
			||  (
			status = ObReferenceObjectByHandle(
						FileHandle,
						0x80000000u,
						0,
						KernelMode,
						(PVOID *)&FileObject,
						0))
			|| !NT_SUCCESS( status))
			return ZwClose(FileHandle);	//硬链接针对文件而非目录,目录就返回了。
		pLowVolumedevice = IoGetBaseFileSystemDeviceObject(FileObject);	
		if ( pLowVolumedevice )
		{
			pLowVolumeDriver = pLowVolumedevice->DriverObject;
			if ( pLowVolumeDriver )
			{
				if ( pLowVolumeDriver->DriverName.Buffer )
				{
					RtlInitUnicodeString(&DestinationString, L"\\FileSystem\\FastFat");
					RtlInitUnicodeString(&String2, L"\\FileSystem\\Ntfs");
					if (!g_HardCodeIni)
					{					PsGetVersion(&MajorVersion,&MinorVersion, &BuildNumber, 0);
								if ( MajorVersion == 5 )
								{
									if ( MinorVersion )
									{                                                   // xp  硬编码了
										if ( MinorVersion !=1 && MinorVersion != 2 )
										{
											ObfDereferenceObject(FileObject);
											return ZwClose(FileHandle);
										}
										dword_1495C = 0x74u;
										dword_1494C = 0x20u;
										dword_14950 = 0x7Cu;
										dword_14940 
最低0.47元/天 解锁文章
Shevacoming
关注
专栏目录
文件强删
逆向学习
09-22 1191
文章目录前言内核层强删一个文件的思路一,需要打开这个文件。二,被其它程序独占的话如何解决?三,如果该文件正在运行的话如何解决?四,构建IRP删除文件。局限性扩展——其他方法局限性扩展——其他方法 前言 本人是驱动新手,因为秋招的一些方面的原因,我最近才进行驱动方面的学习。学了一段时间后了解了一个内核强删文件的方法。 内核层强删一个文件的思路 当病毒或者木马等进行了SSDT HOOK了一些API之后...
暴删文件Xcb填充
10-16 1495
   前段时间,恶意程序HBKrnl.sys的站炕文件导致粉碎机删不掉它,虽然是很古老的科普技术,但是一般的文件粉碎,诸如发IRP,清SectionObject等方法是删不掉的(直接磁盘填0的例外).       有感于MJ0011写的对付此程序的猥琐暴删文件方法.很想知道他是如何一步步跟踪出来那堆强大的偏移量的, 于是调试啊调试,最终淹没在系统浩瀚的汇编指令中... 难怪MJ在群上信
NTFS XCB定位
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-16 1069
标 题: 【原创】NTFS XCB定位。 作 者: zkgy 时 间: 2013-07-04,11:19:47 链 接: http://bbs.pediy.com/showthread.php?t=174789 NTFS XCB 定位小小的一个研究。。。顺便纠正一下sudami大牛在《NTFS底层挖掘中》关于通过SCB定位子LCB的一个错误。给研究NTFS的人做一点小小
什么是XCB
热门推荐
Alex Xu's blog
01-27 1万+
<br /> <!-- @page { margin: 2cm } P { margin-bottom: 0.21cm } --> <br />简单看了下XCB的功能,作用,大致总结如下,不知道是否正确。暂时如此理解吧。<br /><br /><br />XCB 是用来替代Xlib。当期Xlib实际是调用XCB。<br />XCB最大的特征是可以自动生成X协议的c语言绑定。<br />XLIB/XCB 就是用XML文件描述的x协议,并生成x协议的c语言绑定<br
「NTFS:让你的硬盘更安全、更高效!」NTFS文件系统详解,
最新发布
weixin_74021557的博客
06-14 3937
本文详细介绍了NTFS文件系统的结构、$Boot文件、$MFT元文件文件记录、属性的属性头和属性体分析。
xcb-proto-1.13.tar.gz
09-30
xcb-proto-1.13 的使用步骤通常包括解压文件,配置构建环境,编译并安装。这可能涉及到以下命令: 1. `tar -zxvf xcb-proto-1.13.tar.gz`:解压压缩包。 2. `cd xcb-proto-1.13`:进入解压后的目录。 3. `./...
Qt+x11+xcb的例子
03-08
7. **GlobalHotkeyLinux.pro**:这是Qt项目的配置文件,定义了构建项目时的选项和依赖。在这个例子中,可能会指定启用XCB支持以及其他特定于Linux全局热键的设置。 综上所述,这个例子展示了如何在Qt环境中利用X11...
QT 安装libX11-xcb.so.1
07-01
在开发基于Qt的应用程序时,有时会遇到依赖性问题,比如在安装或运行Qt时提示缺少`libX11-xcb.so.1`这个库文件。`libX11-xcb.so.1`是X11窗口系统的一部分,用于处理XCB(X Callbacks)协议,它是X11与Qt交互的关键...
FILE_OBJECT
春暖花开
08-07 2690
typedef struct _FILE_OBJECT {      CSHORT  Type;      CSHORT  Size;      PDEVICE_OBJECT  DeviceObject;      PVPB  Vpb;      PVOID  FsContext;      PVOID  FsContext2;      PSECTION_OBJECT_POINTE
强制删除一个文件
kernweak的博客
05-25 1735
注意点 关于打开文件,很可能这类操作被hook了,尽量用更底层的函数去打开,比如IoCreateFile相对zw低一些。 关于被其他程序独占,遍历系统句柄表,尝试去找到这个句柄表zwQuerySystemInformation,然后把他独占这个文件的进程,句柄关掉。但是这种对于硬链接占坑的方法失效,值能使用xcb方法或者磁盘填零法。对于句柄表,怎么确定是我们要删除的文件,就是通过句柄表内核对...
过滤驱动容易让新手纠结的几个函数
StoneRain
07-18 2915
1. IoAttachDevice NTSTATUS IoAttachDevice( IN PDEVICE_OBJECT SourceDevice, IN PUNICODE_STRING TargetDevice, OUT PDEVICE_OBJECT *AttachedDevice ); 将【指定指针】的设备对象附加到【指定名称】的设备对象所在的【设备对象栈】
【原创】NTFS文件系统底层挖掘
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
07-27 1603
标 题: 【原创】NTFS文件系统底层挖掘 作 者: sudami 时 间: 2009-05-02,23:37:18 链 接: http://bbs.pediy.com/showthread.php?t=87741 貌似关于NTFS文件系统的底层实现细节,网上资料很少. 这几天突然来了兴趣,于是挖掘了一下. 结合nt4src,IDA+ntfs.sys,windbg+VMWare,在X
windows内核开发学习笔记四十二:内核对象管理目录及接口
jyl_sh的专栏
07-04 702
windows内部维护了一个对象层次目录(即系统全局名字空间),其根目录对象是由全局变量ObpRootDirectoryObject来定义的。在根目录之下,系统内置了一些子目录,通过查询NtCreateDirectoryObject函数可以看到CallBack、ArcName、Device、Driver、FileSystem、KernelObjects、ObjectTypes、GLOBAL??和Security子目录的创建过程,下面的是创建Driver子目录的代码: //创建driver目...
[Win驱动7]ObReferenceObjectByName获取设备对象指针(PDEVICE_OBJECT)
輚至消亡
10-18 1461
1. ObReferenceObjectByName是通过设备对象名获取设备对象指针, 其会造成设备对象的引用计数增加所以还需要调用ObDereferenceObject来降低引用计数 2. IoGetDeviceObjectPointer可以通过设备对象名获取设备对象指针和与其相关文件对象指针,同样需要对其调用ObDereferenceObject来降低引用 第一种方式是通过这个未公开的内核函数ObReferenceObjectByName来获取设备对象指针,该原型是这样的: NTKERNELA
NTFS之HARDLINK攻防
10-14 962
 爆老技术啊爆老技术~NTFS支持一种HARDLINK技术,可以将两个文件“硬连接”起来,其实原理很简单,两个文件共享同样的fie record,操作一个文件相当与操作另一个文件,包括相关属性,删除其中一个,另一个会保留原有的数据存在~可使用系统工具fsutil.exe来创建一个硬连接,也可以使用windows提供的相关API、FSCTL来实现fsutil hardlink create c:/1
入侵Windows揭秘 平台内核级文件访问
04-02 1040
背景   在windows平台下,应用程序通常使用API函数来进行文件访问,创建,打开,读写文件。从kernel32的CreateFile/ReadFile/WriteFile函数,到本地系统服务,再到FileSystem及其FilterDriver,经历了很多层次。在每个层次上,都存在着安全防护软件,病毒或者后门作监视或者过滤的机会。作为安全产品开发者,我们需要比别人走得更远,因此我们需要一个底
内核函数时间获得
yldfree的博客
07-25 5709
struct timespec {         long       tv_sec; 秒数         long       tv_nsec; 纳秒数 }; struct timeval {     __kernel_time_t        tv_sec;        秒数     __kernel_suseconds_t    tv_usec; 微妙 }; struct rtc...
centos7安装libx11-xcb1
04-29
你可以通过以下命令在CentOS 7上安装libx11-xcb1: ``` sudo yum install libX11-xcb1 ``` 如果该命令无法找到软件包,则可能需要更新您的软件包索引。您可以通过运行以下命令来更新索引: ``` sudo yum update `...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值