|
阅读:3153回复:31
召唤在影子保护模式下写文件的大牛悬赏影子系统下写文件
这几天跟影子系统耗上了,哈哈!不过始终没有找到好的方法,可以在影子模式保护下对C盘进行数据读写。我测试的时候可以写文件到磁盘,但是重启后就系统挂掉,谣传是影子系统做了C盘的硬盘分区表(DPT)备份?重启后由于其恢复该表,导致C盘数据错误???
实在是太BT了,召唤牛人中... 我在DOS看到C盘数据的确是写入了,而且的确是拦截到了snpshot..sys WRITE操作 |
|
|
沙发#
发布于:2007-09-07 16:55
- - 怎么最近都喜欢搞这个玩意~
要搞掉影子系统何必这样XX呢~` |
|
|
|
板凳#
发布于:2007-09-07 17:16
引用第1楼WQXNETQIQI于2007-09-07 16:55发表的 : 莫非有什么好办法??我要求重启后不能系统挂掉哦!!!WQXNETQIQ |
|
|
地板#
发布于:2007-09-07 20:40
....
... ... .. |
|
|
|
地下室#
发布于:2007-09-08 09:00
 大牛们给个思路可好??? |
|
|
5楼#
发布于:2007-09-08 20:08
直接io不行吗
|
|
|
6楼#
发布于:2007-09-08 22:30
还不如逆向它的卸载程序。。。。
|
|
|
|
7楼#
发布于:2007-09-09 08:12
貌似卸载后,那个驱动还在运行的,删了就进不了系统
|
|
|
8楼#
发布于:2007-09-09 08:14
而且在影子模式保护下 是卸载不了影子的,重启以后还是什么都没有一样
BT吧 哈哈 |
|
|
9楼#
发布于:2007-09-09 13:18
修改老T就行吧....
|
|
|
10楼#
发布于:2007-09-09 15:36
我也测试过,发现即使过滤发往它驱动IRP,直接传往DISK,重启后还是会出问题,关键是在它早期启动的时候到底做了些什么呢???
|
|
|
|
11楼#
发布于:2007-09-09 15:43
貌似可行的思路是,先拦截其所有发往SNPSHOT的操作,全部发往下层DISK,这样可以确保你写入磁盘,而后把你的驱动写入注册表,在SNPSHOT前加载,同样拦截对磁盘的操作,把SNPSHOT完全架空,这样应该就可以绕过他了,相信他还不会通过MBR来加载处理自己,不然就只有大家血拼启动了,嘿嘿。。。。。。
|
|
|
|
12楼#
发布于:2007-09-09 18:24
影子系统没有MBR 雨过天晴可是有的 嘿嘿,,,,
|
|
|
|
13楼#
发布于:2007-09-09 19:05
哈哈,wowocock重装了几次系统啊
不过我们可以写一个这样的病毒,让那些用影子系统的人去哭吧  WQXNETQIQI 提供一点思路吧 嘿嘿 |
|
|
14楼#
发布于:2007-09-09 19:12
搞不定~~一写磁盘就完蛋~
|
|
|
|
15楼#
发布于:2007-09-10 10:49
 |
|
|
16楼#
发布于:2007-09-10 13:31
不过好像可以在iofcalldriver上做文章,正常驱动走iofcalldriver发散irp,想象一下,我们拦截fsd的iofcalldriver,给他M$结构上合理的发散,disk层上也是如此~
不过需要多研究才行~ |
|
|
|
17楼#
发布于:2007-09-10 13:43
我上次也是这么想的,不过好像不怎么好使,感觉
是不是影子系统启动时,首先把C盘的结构备份在一个阴暗的角落。 然后在下一次重启后将C盘的文件结构什么的覆盖,由于我写了文件到C盘,导致文件数据结构错乱,windows就挂了????,磁盘分配表好像很小的;-《 |
|
|
18楼#
发布于:2007-09-10 13:44
期待wowocock的终极绝招
 |
|
|
19楼#
发布于:2007-09-10 18:15
要阻止影子的驱动加载——如果影子有mbr部分,那就无奈了~
|
|
|
上一页
下一页