NTFS之HARDLINK攻防

最新推荐文章于 2021-02-20 22:44:58 发布
最新推荐文章于 2021-02-20 22:44:58 发布
阅读量732 收藏 2
点赞数
分类专栏: Window 文件系统 文章标签: system 磁盘 windows 测试工具 工具 delete

NTFS之HARDLINK攻防

引用:

http://www.debugman.com/thread/2061/1/1

http://www.debugman.com/thread/2062/1/1

http://huaidan.org/archives/2398.html

http://huaidan.org/archives/2399.html

----------------------------------------------------------------------------------------------------------------------------------

第一章

作者:MJ0011

爆老技术啊爆老技术~

NTFS支持一种HARDLINK技术,可以将两个文件“硬连接”起来,其实原理很简单,两个文件共享同样的fie record,操作一个文件相当与操作另一个文件,包括相关属性,删除其中一个,另一个会保留原有的数据存在~

可使用系统工具fsutil.exe来创建一个硬连接,也可以使用windows提供的相关API、FSCTL来实现

fsutil hardlink create c:\1.txt c:\2.txt,即可建立c:\2.txt的连接,c:\1.txt

那么用于攻防,能做什么呢,简单就想到啦,使用文件路径过滤的同学们就惨了

pryrege.sys是一个最近流行的木马程序,其包含了一个文件系统过滤驱动,当你去删除他的文件的时候,他会假装返回成功了,实际是失败了~另外它的驱动有只读属性,并且不允许你修改它的属性,所以要写入也是不行的了~

你以为怎么清除它?上驱动?NONONO,没必要啊,hardlink来帮忙

我们首先用fsutil创建一个对它的hardlink, c:\2.txt,如图1

你会发现,2.txt也是有只读属性的,没关系,将c:\2.txt的属性只读去掉

此时pryrege.sys的只读属性也没了,如图2

我们来用记事本把2.txt的内容清空~

你会发现pryrege.sys也变成0字节空文件了~~ ,如图3:

至此,该木马作者哼哧哼哧地捣鼓出了个20多K的文件过滤狗屎驱动,只要一行命令就把他搞定了~

当然hardlink也是有攻防两面性的,例如用来删除或改写卡巴7的文件~ 用来读取被XX文件安全岛保护的文件~等等,技术是双刃剑啊~看你怎么用了。

不过,360的自我保护早考虑到这块,彻底抛弃了原始的路径过滤方法了,如图~ 没法给360的程序创建硬连接的,另外,即使你创建成功了,操作也无法成功映射过去,至于这点怎么做到的~碍于职业道德,我就不说啦~大伙自己研究吧~


----------------------------------------------------------------------------------------------------------------------------------

第二章

Hardlink 之文件蹲坑~

首先用oo.exe蹲坑一个文件 c:\1.txt~
可以看到文件打不开了~

图1:

然后fsutil.exe hardlink create c:\7.txt c:\1.txt

创建硬链接~

图2:

你会发现7.txt也被独占了~打不开啊打不开,

图3:

当你去拿着7.txt去unlockme, 去process explorer.,去超级巡警暴力删除地时候,你会发现,找不到啊找不到,删不到啊删不到

图4:who lock me 啊 ,找不到找不到~

因为这些喜欢跑到别人进程里去关句柄的SB删除工具,完全不知道是由于1.txt被蹲坑了,所以7.txt才被蹲坑了

因此这样的文件unlockme,  process explorer , 超级巡警暴力删除都傻眼了,傻眼了

恩,所以说,牛比还是360啊

我们的XCB大法就可以干掉这个文件了

图5~, XCB大法测试工具,force delete后  7.txt瞬间消失~

补充一点,使用磁盘层抹文件的方法,确实也可以删除掉这个7.txt,

不过危险的是,用磁盘层方法会导致1.txt也被干掉,因为是共享的FILE RECORD~,这时候如果攻击者拿c:\windows\system32\config\system去站坑~磁盘层白痴删除工具,就傻眼了傻眼了

所以磁盘删除文件啊,不靠谱啊不靠谱~

XCB大法就不会有这个问题,删除完7.TXT后,只是1.txt被解除占用,1.txt的数据仍然保留得好好的~

因此XCB大法结合HARDLINK其实可以变相解锁文件~例如先拿HIVEhardlink占坑4.txt,然后XCB大法删除4.txt,此时hive就可以正常访问了~

见图~:

但其实文件的句柄仍在,SYSTEM进程仍然可以正常访问System hive~

见图:

所以说XCB大法是安全解锁~不伤句柄~



ljmwork
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何在NTFS文件系统中创建文件的Link
张羿的CSDN专栏
08-13 4878
大部分朋友可能知道UNIX提供了创建文件的Link的功能,而用过WindowsNTFS文件系统所支持的Link功能的朋友可能就没有那么多了(注意我说的不是Shortcut)。今天正好由于工作原因研究了一下相关内容,整理一下分享出来。本文简单介绍如何在Windows系统中使用NTFS文件系统所提供的功能创建LinkNTFS支持两种Link,Junction Point和Hard Link。J
NTFSHARDLINK攻防第二版
10-14 1227
 by mj0011 Hardlink 之文件蹲坑~首先用oo.exe蹲坑一个文件 c:/1.txt~可以看到文件打不开了~图1:=700) window.open(http://www.debugman.com/attachment/Fid_10/10_3842_791023878d86a74.jpg);" src="http://www.debugman.com/attachmen
NTFS 下的硬链接(hard link)与符号链接(symbolic link)
ljmwork的专栏
10-14 4345
NTFS 下的硬链接(hard link)与符号链接(symbolic link) 在 Linux 使用的 ext2 等文件系统里,都有 hard link 与 symbolic link 的功能,这个功能简单的说就是让我们可以用多个路径去访问同一个文件或者目录。比如说让 /vmlinuz 和 /boot/vmlinuz-2.6.7-1-38 表示的是同一个文件。但 hard l
创建硬链接
心想事成
06-29 523
创建硬链接网上都说用 mklink,根本就找不到这个文件。 实际上,现在使用 fsutil 命令了。fsutil hardlink create 连接 实际文件
junction ntfs link
01-21
NTFS链接主要有两种类型:硬链接(Hard Links)和符号链接(Symbolic Links)。硬链接是指向同一文件inode(文件系统内节点)的不同文件名,它们共享相同的物理数据,改变其中一个链接的文件内容会影响到所有链接。...
Linux之如何支持NTFS文件系统?
01-09
在Linux操作系统中,由于默认不直接支持微软的NTFS文件系统,因此为了在Linux下读取、写入或管理NTFS格式的硬盘分区,我们需要安装额外的软件支持。本教程将详细讲解如何在Linux上安装并使用NTFS-3G插件来实现对NTFS...
ntfs hard links creator
06-25
ntfs hard links creator
NTFS Link Ext-开源
05-02
NTFS Link Ext-开源】项目是基于Michael Elsdoerfer最初的NTFS Link软件的扩展和改进版本,该软件最初在Novell Forge平台上被维护和分发。这个开源项目旨在提供对NTFS(New Technology File System)文件系统的...
NTFS_Link-v2.1.exe
05-08
最好用的NTFS LINK工具,junction工具的可视版。
DOS命令:fsutil
ChaoYue_miku的博客
02-20 2271
fsutil命令,显示或配置文件系统属性 fsutil---查看FSUTIL支持的子命令 Fsutil 是可用于执行多种与 FAT 和 NTFS 文件系统相关的任务(例如管理重解析点、管理稀疏文件、卸载卷或扩展卷)的命令行实用程序。由于 Fsutil 功能非常强大,因而只有完全掌握 Windows XP 的高级用户才能使用它。此外,必须作为管理员或管理员组的成员登录才能使用 Fsutil。 Fsutil是一个命令行工具,需要子命令来实现强大的功能,子命令有: Fsutil:behavior.
NTFS文件系统下的硬链接和软链接
长安新都市业主家园
09-27 777
熟悉Linux系统的同学都知道“硬链接”、“软连接”的概念及其方便的使用,其实自Windows2000之后的NTFS3.0版以来,Windows下也能支持这两个概念了。   硬链接: 在Windows 2000 及以上版本里可以使用 fsutil hardlink create 这个复杂的命令来创建一个硬链接,用法倒是很简单: fsutil hardlink create <新文...
NTFS 文件系统小秘密
Henzox的专栏
06-27 2895
大多数人没有听说过 HardLink ,它是 NTFS 文件系统的一个技术,通过它有时可以达到出其不意的效果,甚至可以骗过一些安全软件。
[转]FSUTIL--Windows 下的又一个超级强大的命令
msdnchina的专栏@JiNan,ShanDong
06-10 1943
https://www.cnblogs.com/libao/articles/2794552.html windows下有这个命令! C:\WINDOWS>fsutil ---- 支持的命令 ---- behavior 控制文件系统行为 dirty 管理卷的被损坏的位数 file 文件特定命令 fsinfo 文件...
爆料之注册表也LINK
10-14 1534
 NTFSHARDLINK~ 注册表也有个REG_LINK类型顾名思义,就是可以把一个真实存在的注册表映射成一个symbolic link类似的注册表~实际过程是使用ZwCreateKey创建一个REG_OPTION_CREATE_LINK的注册表键,然后给其设置SymbolicLinkValue 键值,DATA即是要创建连接的注册表名,然后就能自动link上了,操作被LINK的注册表项同操作原
硬链接(hard link)和符号连接(symbolic link)的区别
weixin_33895604的博客
05-03 1386
硬链接(hard link)和符号连接(symbolic link)的区别: 通俗一点理解,可以把硬链接当成源文件的副本,他和源文件一样的大小但是事实上却不占任何空间。 符号链接可以理解为类似windows一样的快捷方式。 一、链接文件 链接文件有两种方式,符号链接和硬链接。 1、符号链接文件 符号链接,这个文件包含了另一个文件的路径名。可以是任意文件或目录,也可...
Windows 下也能创建硬链接和符号(软)链接
老刀专栏
02-21 2182
首先简单理解一下硬链接和符号(软)链接的区别(此文中的符号链接和软链接指同一概念):硬连接指向的是节点(inode),而软连接指向的是路径(path) 。最初的文件名与所有的硬链接地位是对等的,比如为文件 a 建立了硬链接 b、c、d。那么a、b、c、d之中只要有一个文件未删除,这个文件就可通未删除的名称访问的。你也可以认为每个文件都可认为至少有一个硬链接,就是说 a 也是一个硬链接。软链接特性上
Windows中的4种链接
八白龙的专栏
11-12 516
Windows 中我们经常会用到快捷方式,但其实除了快捷方式外,Windows 还有 3 种链接方式,即一共有 4 种链接方式。 硬链接 软件链接/符号链接 Junction/目录联接 快捷方式 后两种是 Windows 独有的。 链接通常可以使用 mklink 命令进行创建。 硬链接 mklink /H Link Target 只能为文件创建硬链接。 硬链接跟原文件没有什么差别,通过下面命...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值