|
阅读:3284回复:31
召唤在影子保护模式下写文件的大牛悬赏影子系统下写文件
这几天跟影子系统耗上了,哈哈!不过始终没有找到好的方法,可以在影子模式保护下对C盘进行数据读写。我测试的时候可以写文件到磁盘,但是重启后就系统挂掉,谣传是影子系统做了C盘的硬盘分区表(DPT)备份?重启后由于其恢复该表,导致C盘数据错误???
实在是太BT了,召唤牛人中... 我在DOS看到C盘数据的确是写入了,而且的确是拦截到了snpshot..sys WRITE操作 |
|
|
沙发#
发布于:2007-09-17 15:54
坚决不用,弄不好连洗澡水带孩子一块泼掉了。
|
|
|
板凳#
发布于:2007-09-17 14:20
引用第25楼boywhp于2007-09-11 22:50发表的 : 嘿,真的是这样么?我倒是觉得影子系统是“用户”永远的痛苦才对。 本来只是防一防木马,嘿,装了影子系统后得防着系统彻底完蛋。 得天天求佛拜神的拜托木马不要找影子系统的麻烦,不然,嘿~~重装系统吧就~ 我是不用那东西的~我宁可中上N只马,也不想装那个~~ |
|
|
地板#
发布于:2007-09-17 09:22
没有看到高手,呵呵,连个内行都没有看到
|
|
|
地下室#
发布于:2007-09-14 17:31
关注一下
 |
|
|
5楼#
发布于:2007-09-12 15:49
看看这些所谓的大牛们都干些什么勾当
|
|
|
6楼#
发布于:2007-09-12 07:39
引用第24楼WQXNETQIQI于2007-09-11 20:54发表的 :  修改BIOS 太邪恶了~ |
|
|
|
7楼#
发布于:2007-09-11 22:50
 影子系统是干坏事的家伙永远的痛苦啊WQXNETQIQI能否详细讲一下? |
|
|
8楼#
发布于:2007-09-11 20:54
用顶块交换
          |
|
|
|
9楼#
发布于:2007-09-11 12:14
引用第22楼ProPlayboy于2007-09-11 10:09发表的 : 无法~ 除非比他早,要不然无法成功~ 比他早还要可以修改和修改后没有后遗症的只有mbr了~~ 唉~~ |
|
|
|
10楼#
发布于:2007-09-11 10:09
引用第20楼killvxk于2007-09-10 18:18发表的 : VXK想在引导时玩残影子?这样做不难啊。。但他们想的是在影子正常运行的情况下,写入数据,而不影响它的正常运行。 |
|
|
|
11楼#
发布于:2007-09-10 21:44
引用第16楼killvxk于2007-09-10 13:31发表的 : 在FSD层上的简单,再往下就比较困难了,要考虑到很多情况,有空发个不稳定版本上来,哈哈...... |
|
|
|
12楼#
发布于:2007-09-10 18:18
首先绕过影子写磁盘是可以的,所以自己写mbr和备份mbr,然后阻止影子的加载就可以搞定~~
(参考boot rootkit) |
|
|
|
13楼#
发布于:2007-09-10 18:15
要阻止影子的驱动加载——如果影子有mbr部分,那就无奈了~
|
|
|
|
14楼#
发布于:2007-09-10 13:44
期待wowocock的终极绝招
 |
|
|
15楼#
发布于:2007-09-10 13:43
我上次也是这么想的,不过好像不怎么好使,感觉
是不是影子系统启动时,首先把C盘的结构备份在一个阴暗的角落。 然后在下一次重启后将C盘的文件结构什么的覆盖,由于我写了文件到C盘,导致文件数据结构错乱,windows就挂了????,磁盘分配表好像很小的;-《 |
|
|
16楼#
发布于:2007-09-10 13:31
不过好像可以在iofcalldriver上做文章,正常驱动走iofcalldriver发散irp,想象一下,我们拦截fsd的iofcalldriver,给他M$结构上合理的发散,disk层上也是如此~
不过需要多研究才行~ |
|
|
|
17楼#
发布于:2007-09-10 10:49
 |
|
|
18楼#
发布于:2007-09-09 19:12
搞不定~~一写磁盘就完蛋~
|
|
|
|
19楼#
发布于:2007-09-09 19:05
哈哈,wowocock重装了几次系统啊
不过我们可以写一个这样的病毒,让那些用影子系统的人去哭吧 WQXNETQIQI 提供一点思路吧 嘿嘿 |
|
上一页
下一页