暴删文件之Xcb填充

最新推荐文章于 2021-01-25 10:48:00 发布
最新推荐文章于 2021-01-25 10:48:00 发布
阅读量1.4k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: query security file 汇编 api system
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/3086503
版权

 

 

 前段时间,恶意程序HBKrnl.sys站炕文件导致粉碎机删不掉它,虽然是很古老的科普技术,但是一般的文件粉碎,诸如发IRP,清SectionObject等方法是删不掉的(直接磁盘填0的例外).

      有感于MJ0011写的对付此程序的猥琐暴删文件方法.很想知道他是如何一步步跟踪出来那堆强大的偏移量的, 于是调试啊调试,最终淹没在系统浩瀚的汇编指令中... 难怪MJ在群上信誓旦旦的说 "跟一个版本的那几个偏移量就花了一晚上",哎呀,我花了2天多时间都没跟出来,不过从实践中也学到了许多调试经验,也罢,跟了一部分,找到一个很像的offset: 0x48,也只能到这步了.不搞咯.顺便贴点资料上来,供有兴趣的同学参考,总之, Xcb填充是很强大滴.

      其实,恶意程序把自己文件站炕防删后,可以在内存中保存一份,开DPC/线程循环监视,被删了就重新生成,再注册个关机Notify(当然可以被别人摘除).关机回写.... 这样保护自己文件差不多了吧~~~
   -------------------------------------------------------------------------------------------------------------------------------

Driver object (81797808) is for:
/FileSystem/Ntfs
DriverEntry: f97a8184 Ntfs!GsDriverEntry
DriverStartIo: 00000000
DriverUnload: 00000000
AddDevice: 00000000

Dispatch routines:
[00] IRP_MJ_CREATE f9748c01 Ntfs!NtfsFsdCreate
[01] IRP_MJ_CREATE_NAMED_PIPE 804f43f8 nt!IopInvalidDeviceRequest
[02] IRP_MJ_CLOSE f97480ea Ntfs!NtfsFsdClose
[03] IRP_MJ_READ f9725f3b Ntfs!NtfsFsdRead
[04] IRP_MJ_WRITE f9724b57 Ntfs!NtfsFsdWrite
[05] IRP_MJ_QUERY_INFORMATION f97492b9 Ntfs!NtfsFsdDispatchWait
[06] IRP_MJ_SET_INFORMATION f9726618 Ntfs!NtfsFsdSetInformation
[07] IRP_MJ_QUERY_EA f97492b9 Ntfs!NtfsFsdDispatchWait
[08] IRP_MJ_SET_EA f97492b9 Ntfs!NtfsFsdDispatchWait
[09] IRP_MJ_FLUSH_BUFFERS f9762ec8 Ntfs!NtfsFsdFlushBuffers
[0a] IRP_MJ_QUERY_VOLUME_INFORMATION f9749404 Ntfs!NtfsFsdDispatch
[0b] IRP_MJ_SET_VOLUME_INFORMATION f9749404 Ntfs!NtfsFsdDispatch
[0c] IRP_MJ_DIRECTORY_CONTROL f974afbd Ntfs!NtfsFsdDirectoryControl
[0d] IRP_MJ_FILE_SYSTEM_CONTROL f974d758 Ntfs!NtfsFsdFileSystemControl
[0e] IRP_MJ_DEVICE_CONTROL f9749404 Ntfs!NtfsFsdDispatch
[0f] IRP_MJ_INTERNAL_DEVICE_CONTROL 804f43f8 nt!IopInvalidDeviceRequest
[10] IRP_MJ_SHUTDOWN f97375af Ntfs!NtfsFsdShutdown
[11] IRP_MJ_LOCK_CONTROL f979caa3 Ntfs!NtfsFsdLockControl
[12] IRP_MJ_CLEANUP f9748ab8 Ntfs!NtfsFsdCleanup
[13] IRP_MJ_CREATE_MAILSLOT 804f43f8 nt!IopInvalidDeviceRequest
[14] IRP_MJ_QUERY_SECURITY f9749404 Ntfs!NtfsFsdDispatch
[15] IRP_MJ_SET_SECURITY f9749404 Ntfs!NtfsFsdDispatch
[16] IRP_MJ_POWER 804f43f8 nt!IopInvalidDeviceRequest
[17] IRP_MJ_SYSTEM_CONTROL 804f43f8 nt!IopInvalidDeviceRequest
[18] IRP_MJ_DEVICE_CHANGE 804f43f8 nt!IopInvalidDeviceRequest
[19] IRP_MJ_QUERY_QUOTA f97492b9 Ntfs!NtfsFsdDispatchWait
[1a] IRP_MJ_SET_QUOTA f97492b9 Ntfs!NtfsFsdDispatchWait
[1b] IRP_MJ_PNP f97657f0 Ntfs!NtfsFsdPnp

哈哈,然后下断点~~~

Raymond : advdbg.org/forums/1211/ShowPost.aspx

1)对NtDeleteFile设置断点后,在资源管理器(Shift+Delete)和命令行(del)执行删除文件操作,断点都没有命中。

2)观察NtDeleteFile的汇编代码(uf NtDeleteFile),可以看到,其中的主要调用是nt!ObOpenObjectByName,也就是通过这个调用向文件系统发出请求的。

3)Win32 API的DeleteFile是用来删除文件的,使用另一个WinDBG通过用户态调试对其跟踪,以下是DeleteFileW(DeleteFile的宽字符版本,DeleteFileA会调用这个函数)的执行过程:

0:000> wt
Tracing kernel32!DeleteFileW to return address 7c831e4e
    14      0 [   0] kernel32!DeleteFileW
    12      0 [   1]    ntdll!RtlDosPathNameToNtPathName_U
    30   1556 [   1]    ntdll!RtlDosPathNameToNtPathName_U
    44   1586 [   0] kernel32!DeleteFileW
     3      0 [   1]    ntdll!NtOpenFile
     2      0 [   2]      ntdll!KiFastSystemCall
     1      0 [   1]    ntdll!NtOpenFile
    55   1592 [   0] kernel32!DeleteFileW
     1      0 [   1]    ntdll!NtQueryInformationFile
     2      0 [   1]    ntdll!ZwQueryInformationFile
     2      0 [   2]      ntdll!KiFastSystemCall
     1      0 [   1]    ntdll!ZwQueryInformationFile
    69   1598 [   0] kernel32!DeleteFileW
     3      0 [   1]    ntdll!RtlFreeHeap
    79     69 [   1]    ntdll!RtlFreeHeap
    78   1746 [   0] kernel32!DeleteFileW
     1      0 [   1]    ntdll!ZwSetInformationFile
     2      0 [   1]    ntdll!NtSetInformationFile
     2      0 [   2]      ntdll!KiFastSystemCall
     1      0 [   1]    ntdll!NtSetInformationFile
    81   1752 [   0] kernel32!DeleteFileW
     1      0 [   1]    ntdll!NtClose
     2      0 [   1]    ntdll!ZwClose
     2      0 [   2]      ntdll!KiFastSystemCall
     1      0 [   1]    ntdll!ZwClose
    90   1758 [   0] kernel32!DeleteFileW

1848 instructions were executed in 1847 events (0 from other threads)

可以发现,DeleteFile API根本没有调用NtDeleteFile,其主要操作是先打开文件,然后调用内核服务NtSetInformationFile,最后再关闭文件。这印证了API文档中的说法: The DeleteFile function marks a file for deletion on close. Therefore, the file deletion does not occur until the last handle to the file is closed.

哎,刚好手头有本wy同学的<文件系统内幕.NTFSI>,里面关于VPB、VCB、FCB、CCB、SCB等讲解的还是很清楚的,得抓紧时间补补啦.

 

 

 

 

 

 

 

 

 

 

 

大的MJ,不是一般的强大,这样跟系统的东西,能这么高效跟出来的没多少人了...

附件是调试笔记,有兴趣的可参考下,估计你看了会吐血,做好心理准备.

NtfsFsdCleanup.rar (5.04 KB)

NtfsFsdCleanup.txt (17.69 KB)

 

 

iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
文件7】所谓hardlink 所谓XCB大法
Returns' Station
05-11 3073
所谓hardlink 所谓XCB大法   前两天看到NTFS之HARDLINK攻防第二版,本来是讲hardlink,不过提到了个XCB大法,卖了个关子,出于好奇就逆了360FkAdv,本来逆的差不多了想替换的,结果发现驱动由DLL释放,DLL又由别的释放,懒得写会原程序了。。。上篇blog有点前置知识。。   链接中的文章展示了一种删除Hive硬链接占坑同时解锁文件的方法(解锁文件其实是副
强删文件--->构建IRP---->独占--->正在运行 以及磁盘读写(思路)
zhuhuibeishadiao
04-03 2881
个人比较崇拜360 一个小小的按钮下面蕴含着很多的原理 要有多么强大才能1天搞定偏移 -------致敬360 致敬MJ-001 无奈本人学业不精 只能说说“独占”和“正在运行” 打开文件 一般使用ZwCreateFile NtCreateFile 但这些函数还不够底层 使用IoCreateFile会好一些 被其它程序独占 枚举句柄表 ZwQuerySystemInformation -
NTFS XCB定位
多媒体编程、网络编程、系统编程、网络安全编程、驱动编程
11-16 1063
标 题: 【原创】NTFS XCB定位。 作 者: zkgy 时 间: 2013-07-04,11:19:47 链 接: http://bbs.pediy.com/showthread.php?t=174789 NTFS XCB 定位小小的一个研究。。。顺便纠正一下sudami大牛在《NTFS底层挖掘中》关于通过SCB定位子LCB的一个错误。给研究NTFS的人做一点小小
NTFS之HARDLINK攻防第二版
10-14 1234
 by mj0011 Hardlink 之文件蹲坑~首先用oo.exe蹲坑一个文件 c:/1.txt~可以看到文件打不开了~图1:=700) window.open(http://www.debugman.com/attachment/Fid_10/10_3842_791023878d86a74.jpg);" src="http://www.debugman.com/attachmen
windows文件操作简单笔记
研究源码的最底层,只持有正确的仓位
01-15 1228
 windows中文件操作:   copyfile-&gt;copyfileexw(fileopcr.c)-&gt;BasepCopyFileExW(检查源文件是否存在,看是否是链接文件   NtQueryInformationFile查询文件拷贝的大小)-&gt;BaseCopyStream(查询原文件时间和属性,新建目的文件,做目的文件的句柄处理,拷贝数据,处理the reparse p...
文件隐藏技术(二)
anhkgg的专栏
05-21 2282
SSDT HOOK实现文件保护 nokyo.blogbus.com   很久没写点什么了,最近在忙着做一些零碎的程序,过一段儿时间一定放新东西。   现在手头上的其中一件事情就是帮同学做一个文件保护的毕业设计,考虑再三还是使用SSDT HOOK,因为这个最简单,而且比较稳定,也容易理解。   提到文件保护,无非就是文件隐藏、文件打开、读写、删除保护等。   一、文件隐藏   文件
xcb-proto-1.13.tar.gz
09-30
xcb-proto-1.13 的使用步骤通常包括解压文件,配置构建环境,编译并安装。这可能涉及到以下命令: 1. `tar -zxvf xcb-proto-1.13.tar.gz`:解压压缩包。 2. `cd xcb-proto-1.13`:进入解压后的目录。 3. `./...
fonts-for-xcb:在XCB中为XCB带来类似Xft的功能
05-11
XCB的好的字体 一个有关为XCB创建类似于Xft的项目。 项目路线图: 字体匹配阶段(fontconfig):创建可以使用的字符串。 字体光栅化阶段(freetype):使用fontconfig中给出的模式从给定的字体文件中光栅化 使用...
QT 安装libX11-xcb.so.1
07-01
在开发基于Qt的应用程序时,有时会遇到依赖性问题,比如在安装或运行Qt时提示缺少`libX11-xcb.so.1`这个库文件。`libX11-xcb.so.1`是X11窗口系统的一部分,用于处理XCB(X Callbacks)协议,它是X11与Qt交互的关键...
Qt+x11+xcb的例子
03-08
在Linux上,可以设置`QMAKEFEATURES`环境变量或在Qt项目文件(.pro文件)中添加`QT += xcb`来启用XCB支持。 2. **XCB的优势**:XCB比Xlib更轻量级,能减少延迟并提高响应性,特别是在处理大量窗口和事件时。此外,...
冰刃—强制删除自己删不了的文件
07-07
用以强制删除删不了的文件,使用时应小心,避免删错文件对你的软件或系统造成损害,由此造成的后果请自负
突破icesword实现文件隐藏
08-14 763
估计想在icesword下隐藏文件的人有很多吧。今天我介绍一种方法。  先介绍一下icesword是如何查找文件的。基本原理就是自己构造一个irp出来,然后直接IoCallDriver发送到fsd。但是icesword做了更多的工作。它直接读取ntfs.sys 和fastfat.sys,从pe文件格式的角度上计算出正确的fsd的dispatch routine地址,然后再call。而且iceswo
R0 下 FSD inline Hook 防删除
Rootkit ﹏
09-02 936
<br />/*<br />                By 炉子[0GiNr]<br />                http://hi.baidu.com/breakinglove_<br />                http://0ginr.com<br />*/<br />typedef NTSTATUS (*pfnDrvDispath)(<br />                                  IN PDEVICE_OBJECT        DeviceOb
强制删除一个文件
kernweak的博客
05-25 1719
注意点 关于打开文件,很可能这类操作被hook了,尽量用更底层的函数去打开,比如IoCreateFile相对zw低一些。 关于被其他程序独占,遍历系统句柄表,尝试去找到这个句柄表zwQuerySystemInformation,然后把他独占这个文件的进程,句柄关掉。但是这种对于硬链接占坑的方法失效,值能使用xcb方法或者磁盘填零法。对于句柄表,怎么确定是我们要删除的文件,就是通过句柄表内核对...
cd C:\:$i30:$bitmap导致的NTFS错误漏洞分析
玄道的网安博客
01-25 2180
对于近期cd C:\:$i30$bitmap可以导致驱动器损坏,并导致重启后执行磁盘检查。这里也进行了一次复现,同时发现在windows日志中记录了此错误,描述为MFT中包含损坏的文件记录。 随后对该漏洞进行分析查找漏洞触发点,但由于作者对ntfs文件系统的了解不多。因此本文章更多的是描述跟踪查找此漏洞触发点的步骤。 首先通过procmon 对cmd 的cd 命令进行监控。发现以下文件操作: 发现是CreateFile操作导致的漏洞产生。随后写一段代码证实。 #include <st
文件(6)XCB前奏
Returns' Station
05-11 1328
1.句柄,文件对象,CleanUp,Close CreateFile成功会得到一个句柄,存放于进程句柄表中。并与之对应一个文件对象。 XCB 有一个CleanUpCount  记录了打开的句柄数,ZwClose在关闭一个句柄并且通过IopCloseFile发送一个IRP_MJ_CLEANUP进行清理工作(其细节将在下篇blog中详细记录) Close,句柄全关闭之后不会立即发送I
Windows XP 开机预读取过程
lichangkun2012的专栏
06-01 1606
开机预读这个功能是Windows Xp的之后加入的目的是为了加快开机速度改善用户体验,微软不光对技术,对产品方面也是非常用心的。为什么预读就能改加快开机速度呢?其实一个开机过程中所做的操作就是将需要的数据读入内存中并初始化环境,没有太大量的CPU运算属于IO密集性的过程。其中硬盘(机械盘)操作是最浪费时间的(有人说过访问硬盘的时间相对于访问内存的时间可以认为是无限大,单看磁盘的寻道,数据的读取都是
-xcb \ -xcb-xlib \
最新发布
04-10
根据您提供的引用内容,这是一个关于使用命令行参数的问题。下面是一个关于使用`-xcb`和`-xcb-xlib`参数的简单介绍[^1]: `-xcb`参数用于启用XCB后端,它是一种用于与X Window System通信的协议。XCB提供了一种更高效的方式来处理X Window System的请求和事件。 `-xcb-xlib`参数用于启用XCB后端的Xlib兼容模式。Xlib是一个用于与X Window System通信的库,它提供了一组函数和数据结构来处理X Window System的请求和事件。使用`-xcb-xlib`参数可以在使用Xlib的应用程序中使用XCB后端。 以下是一个使用这两个参数的示例命令行指令[^1]: ```shell ./configure -xcb -xcb-xlib ``` 这个命令将在配置过程中启用XCB后端,并使用Xlib兼容模式。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值