NTFS之HARDLINK攻防第二版

最新推荐文章于 2024-07-22 15:25:58 发布
最新推荐文章于 2024-07-22 15:25:58 发布
阅读量1.2k 收藏
点赞数
文章标签: border 磁盘 测试工具 system c 工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/3076018
版权

 by mj0011

 

Hardlink 之文件蹲坑~

首先用oo.exe蹲坑一个文件 c:/1.txt~
可以看到文件打不开了~

图1:




然后fsutil.exe hardlink create c:/7.txt c:/1.txt

创建硬链接~

图2:



你会发现7.txt也被独占了~打不开啊打不开,

图3:




当你去拿着7.txt去unlockme, 去process explorer.,去超级巡警暴力删除地时候,你会发现,找不到啊找不到,删不到啊删不到


图4:who lock me 啊 ,找不到找不到~





因为这些喜欢跑到别人进程里去关句柄的SB删除工具,完全不知道是由于1.txt被蹲坑了,所以7.txt才被蹲坑了

因此这样的文件unlockme,  process explorer , 超级巡警暴力删除都傻眼了,傻眼了


恩,所以说,牛比还是360啊


我们的XCB大法就可以干掉这个文件了

图5~, XCB大法测试工具,force delete后  7.txt瞬间消失~



补充一点,使用磁盘层抹文件的方法,确实也可以删除掉这个7.txt,

不过危险的是,用磁盘层方法会导致1.txt也被干掉,因为是共享的FILE RECORD~,这时候如果攻击者拿c:/windows/system32/config/system去站坑~磁盘层白痴删除工具,就傻眼了傻眼了

所以磁盘删除文件啊,不靠谱啊不靠谱~

XCB大法就不会有这个问题,删除完7.TXT后,只是1.txt被解除占用,1.txt的数据仍然保留得好好的~


因此XCB大法结合HARDLINK其实可以变相解锁文件~例如先拿HIVEhardlink占坑4.txt,然后XCB大法删除4.txt,此时hive就可以正常访问了~

见图~:


但其实文件的句柄仍在,SYSTEM进程仍然可以正常访问System hive~

见图:



所以说XCB大法是安全解锁~不伤句柄~

 

iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
【文件7】所谓hardlink 所谓XCB大法
Returns' Station
05-11 3061
所谓hardlink 所谓XCB大法   前两天看到NTFSHARDLINK攻防第二版,本来是讲hardlink,不过提到了个XCB大法,卖了个关子,出于好奇就逆了360FkAdv,本来逆的差不多了想替换的,结果发现驱动由DLL释放,DLL又由别的释放,懒得写会原程序了。。。上篇blog有点前置知识。。   链接中的文章展示了一种删除Hive硬链接占坑同时解锁文件的方法(解锁文件其实是副
NTFSHARDLINK攻防
10-14 945
 爆老技术啊爆老技术~NTFS支持一种HARDLINK技术,可以将两个文件“硬连接”起来,其实原理很简单,两个文件共享同样的fie record,操作一个文件相当与操作另一个文件,包括相关属性,删除其中一个,另一个会保留原有的数据存在~可使用系统工具fsutil.exe来创建一个硬连接,也可以使用windows提供的相关API、FSCTL来实现fsutil hardlink create c:/1
NTFS XCB定位
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-16 1052
标 题: 【原创】NTFS XCB定位。 作 者: zkgy 时 间: 2013-07-04,11:19:47 链 接: http://bbs.pediy.com/showthread.php?t=174789 NTFS XCB 定位小小的一个研究。。。顺便纠正一下sudami大牛在《NTFS底层挖掘中》关于通过SCB定位子LCB的一个错误。给研究NTFS的人做一点小小
硬盘文件系统系列专题之二 NTFS
存储随笔
09-10 7805
一、NTFS概述NTFS (New Technology File System),是 WindowsNT 环境的文件系统。新技术文件系统是Windows NT家族(如常见的Windows XP、Win7 、Win8、Win10)等的限制级专用的文件系统(操作系统所在的盘符的文件系统必须格式化为NTFS的文件系统,4096簇环境下)。NTFS取代了老式的FAT文件系统。NTFS可以支持的分区(如果采用动态磁盘则称为卷)大小可以达到2TB。
第21节-NTFS权限二.mp4
05-27
大飞哥网络安全第一阶段课程,适合0基础/初学者体系化学习,也适合老手巩固基础观看,希望大家在学习过程中理解技术原理,为更深层次的防御攻击等学习打好基础。最好别用mac,好多工具不兼容。
Linux之如何支持NTFS文件系统?
01-09
在Linux操作系统中,由于默认不直接支持微软的NTFS文件系统,因此为了在Linux下读取、写入或管理NTFS格式的硬盘分区,我们需要安装额外的软件支持。本教程将详细讲解如何在Linux上安装并使用NTFS-3G插件来实现对NTFS...
Mounty for NTFS 最新版1.14
06-23
一个小工具,用于在 macOS 下以读写模式重新安装写保护的 NTFS 卷。 A tiny tool to re-mount write-protected NTFS volumes under macOS in read-write mode. 最新版本:1.14 发布日期:2022-06-06 免费方便的小...
NTFS 助手 家庭版
05-08
NTFS 助手是一款在Mac电脑上读写NTFS磁盘的小工具,让你在苹果电脑上对NTFS磁盘上的文件进行拷贝,修改,,编辑,删除等操作。轻松解决Mac电脑不能读写NTFS移动硬盘的问题。
NTFS_Link-v2.1.exe
05-08
最好用的NTFS LINK工具,junction工具的可视版。
暴删文件之Xcb填充
10-16 1485
   前段时间,恶意程序HBKrnl.sys的站炕文件导致粉碎机删不掉它,虽然是很古老的科普技术,但是一般的文件粉碎,诸如发IRP,清SectionObject等方法是删不掉的(直接磁盘填0的例外).       有感于MJ0011写的对付此程序的猥琐暴删文件方法.很想知道他是如何一步步跟踪出来那堆强大的偏移量的, 于是调试啊调试,最终淹没在系统浩瀚的汇编指令中... 难怪MJ在群上信
.NET单元测试使用AutoFixture按需填充的方法总结
这是一个web全栈开发的博客,取其精华去其糟粕,争取让大家一看就懂,一学就会,一用就成~
07-19 651
是一个.NET库,旨在简化单元测试中的数据设置过程。通过自动生成测试数据,它帮助开发者减少测试代码的编写量,使得单元测试更加简洁、易读和易维护。AutoFixture可以用于任何.NET测试框架,如xUnit、NUnit或MSTest。如果直接使用生成的User对象,他会默认给你填充Id为随机整数,Name和Email为一串Guid,显然这里的邮箱地址生成就不能满足要求,并不是一个有效的邮箱格式那么如何让AutoFixture按需生成有效的测试数据呢?
测试管理工具、自动化测试工具、跨浏览器测试工具 推荐
最新发布
ufrontend的博客
07-22 896
Xray 是排名第一的手动与自动化测试管理应用,专为质量保证而设计。它是一个功能齐全的工具,能够无缝集成于 Jira 中。其目的是通过有效和高效的测试帮助公司提高产品质量。功能特点:需求、测试、缺陷和执行之间的可追溯性定义可重复使用的前提条件并与测试关联在文件夹和测试集中组织测试跟踪进度的测试计划测试环境BDD–在Jira中编写Cucumber场景与测试自动化框架(Selenium、JUnit、Nunit、Robot等)集成内置REST APICI集成(Bamboo、Jenkins)
MVCC和多版本并发控制策略
jun778895的博客
07-22 948
它通过维护数据的多个版本和利用Undo日志、Read View等机制,实现了读写操作的并发进行,提高了数据库的并发性能。为了克服这些限制,多版本并发控制(MVCC)应运而生,它允许数据库事务在读取数据时不必加锁,从而提高了并发性能。这样,即使其他事务正在修改相同的数据,当前事务也不会受到干扰,因为它看到的是修改前的版本。总之,MVCC是现代数据库并发控制领域的一项重要技术,它为提高数据库的并发性能和一致性做出了重要贡献。在这些场景中,大量的并发读操作可以通过MVCC机制实现无锁读取,从而显著提高性能。
Activiti7+ SpringBoot+SpringMVC 开发
weixin_42057187的博客
07-18 310
【代码】Activiti7+ SpringBoot+SpringMVC 开发。
pytest常用命令行参数解析
we chat:玩转测试开发
07-20 304
pytest作为一个成熟的测试框架,它提供了许多命令行参数来控制测试的运行方式,以配合适用于不同的测试场景。例如 -x 可以用于希望出现错误就停止,以便定位和分析问题。–reruns=num适用于希望进行失败重跑等个性化测试策略。: 启用多线程或分布式运行测试用例。允许并行运行的测试用例数量,当设置为auto时,设置为CPU核心数,效率最高。: 与 -x 功能相似,但允许指定失败用例的最大数量后停止执行。: 一旦有任何一个用例执行失败,就停止当前线程的测试执行。: 失败用例重跑指定次数。
SpringMVC的底层工作原理?
weixin_60246228的博客
07-18 406
7.HandlerAdapter 将Controller 执行结果 ModelAndView 返回给 DispatcherServlet.8. DispatcherServlet 将ModelAndView 传给 ViewReslover 视图解析器。10.DispatcherServlet 根据 View 进行渲染视图(即将模型数据填充至视图中)。4. DispatcherServlet 调用 HandlerAdapter 处理器适配器。(如果有则生成)一并返回给DispatcherServlet.
Windows NTFS权限管理与安全控制
"这篇文档主要介绍了Windows网络操作系统中的NTFS权限管理,旨在帮助用户理解和掌握如何保障企业信息的安全,通过设定不同的访问权限满足不同用户或部门的需求。文档内容包括NTFS文件系统的概念、种类,以及NTFS权限...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值