谈谈历史吧!2005-2007年以来,机器狗问世以来。给不少使用还原软件的场合,带来极大的麻烦甚至是灾难性的后果。还原软件声称不会被任何病毒等类程序侵袭的传说也被机器狗打破,保证系统不被破坏的神话也就此消失。....

 

        机器狗之所以有机可乘,这是因为微软在磁盘驱动层留下了RING3控制口。发送控制码可直接操作磁盘,本身该接口留下是为了方便一些特殊软件如:光盘的NERO等使用。结果却意想不到的给病毒及***领域研究人员留下入口。

 

        我们传统的还原软件及虚拟还原等基本上都是做文件驱动、磁盘驱动等过滤或者映射操作。来完成虚拟写或者虚拟还原的。机器狗出现以后,最先的补丁就是直接在磁盘驱动阻止RING3发送SCSI请求。来防止机器狗直接操作磁盘。

 

        文件系统驱动分层,说明了占领致高领土是防范最好的办法。所以,直接用端口驱动过滤来做还原软件。效果更好!

 

        本人实验直接HOOK ATAPI驱动,配合VMDK算法(使用现成算法难得再研究)。建立映射到空闲扇区区域。这样防止机器狗更佳。

 

        扇区<->扇区直接映射,基本上不影响我们对本身下发IRP包的时间占用多大。而且大多公开还原软件看到的源代码。提到的 虚拟内存

 

与休眠文件须让其允许写。当然最后是哪样!实际上这里简单争论下,如果是扇区到扇区的直接映射虚拟内存读写,一样可以映射它不存在任何问题。当然这个文件映射不映射对文件系统一点没用。所以建议最后不要去管它。最后让虚拟内存设置在非保护状态。

     

        当然像机器狗这类东西,如果能得到RING0权限,有了RING0权限地球人都知道,一条指定搞定微软系统。哪肯定怎么防也防不了的。就像杀软一样肯定要防止直接加载驱动。

 

        无聊的疯掉~        打发无聊的时间就是这样麻木自己,比酒精对自己有益些~~~~~      杂乱写了点点,很讨厌写文字的东西。。。。。。。。

 

              我不知道我的步伐是不是落后了哈,走在人家后面啦?突然的一点点想法!!!                                    想组织一两个人(对还原软件使用场合很了解的人),我想如果有时间把此东西做成免费产品。满足其大量还原软件的使用场合,我们可能满足不了要求很高的场合,只要我们能满足使用很多的地方的场合就可以,以前突然一天到网吧看到'冰点'就不错他的网络功能做得可以。不过哪些都简单。只是它的更新太慢跟不了社会,如:网吧、学校,这样发布出去。                        目的:[了解]~