[恢复]金山毒霸系统清理专家能删除运行中的icesword,请解释一下

  这是在 2006年12月26日 09:02:24 GMT 检索到的 http://bbs.driverdevelop.com/htm_data/16/0612/121052.html 的 G o o g l e 缓存内容。
G o o g l e 已先预览各网页，拍下网页的快照存档。
这网页可能有更新的版本，请按此查看最新版。
本缓存网页可能引用了已经不存在的图片。单击此处，只查看缓存文本。
请使用网址 http://www.google.com/search?hl=zh-CN&q=cache:Y09UIXHwuw4J:http://bbs.driverdevelop.com/htm_data/16/0612/121052.html 链接此页或将其做成书签。


Google 和网页作者无关，不对网页的内容负责。
 

--------------------------------------------------------------------------------
  
 
控制面板 | 短消息 | 搜索 | 会员 | 帮助 | 社区 | 首页 | 无图版  
 

   密码忘了...怎么办?邮件收不到....
欢迎使用驱网身份认证服务。
发送 ARCK#UserName#Password 到 93891152 进行身份认证。
认证后可以用手机直接取回密码。


 驱动程序开发网技术社区 -> Kernel Mode discussion and Soft Driver -> 金山毒霸系统清理专家能删除运行中的icesword,请解释一下 转到动态网页  
 

    
--> 本页主题: 金山毒霸系统清理专家能删除运行中的icesword,请解释一下 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题  
imaoge


 


 
级别: 驱动牛犊
精华: 0
发帖: 11
威望: 12 点
积分: 110 分
贡献值: 0 点
注册时间:2006-04-29
          

 金山毒霸系统清理专家能删除运行中的icesword,请解释一下

据说金山毒霸系统清理专家能删除运行中的文件，下载下来一试，果真如此，它并不关闭所运行的进程，直接往文件里写东西。不管是icesword还是darkspy，都能给删掉，不知什么原理，那位高手给调试并解释一下？谢谢！  
 
高速无限下载文件,请申请vip会员
 
[楼 主] Posted:2006-12-11 17:06|  
 
 
WQXNETQIQI


 


 
级别: 驱动牛犊
精华: 1
发帖: 87
威望: 90 点
积分: 890 分
贡献值: 0 点
注册时间:2006-06-12
        



自己分析文件系统写的
 
高速无限下载文件,请申请vip会员
 
驱动开发者 呵呵  
[1 楼] Posted:2006-12-11 21:57|  
 
 
wowocock


 

 
 
级别: 驱动老牛
精华: 1
发帖: 4169
威望: 580 点
积分: 5727 分
贡献值: 1 点
注册时间:2002-04-08
        



很正常,我们的新版本的DARKSPY也能删除所有文件,包括正在运行的EXE,DLL,正被打开的文件等,新版本将会随VISTA一起推出,嘿嘿.
 
驱网网上商城-开发板,开发资料光盘
 
花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样 一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠  
[2 楼] Posted:2006-12-12 10:41|  
 
 
imaoge


 


 
级别: 驱动牛犊
精华: 0
发帖: 11
威望: 12 点
积分: 110 分
贡献值: 0 点
注册时间:2006-04-29
          



wowocock能不能分析一下删除的原理啊，不行的话只能自己摸黑进行分析了。
 
驱网网上商城-开发板,开发资料光盘
 
[3 楼] Posted:2006-12-12 11:05|  
 
 
kxsystem


 


 
级别: 驱动牛犊
精华: 0
发帖: 8
威望: 9 点
积分: 80 分
贡献值: 0 点
注册时间:2006-11-25
        



好像IceSword也能删除正在运行的程序文件
 
驱网网上商城-开发板,开发资料光盘
 
[4 楼] Posted:2006-12-12 13:21|  
 
 
cardmagic


 


 
级别: 驱动小牛
精华: 0
发帖: 299
威望: 274 点
积分: 2735 分
贡献值: 0 点
注册时间:2005-03-15
        




QUOTE:
引用第0楼imaoge于2006-12-11 17:06发表的“金山毒霸系统清理专家能删除运行中的icesword,请解释一下”:
据说金山毒霸系统清理专家能删除运行中的文件，下载下来一试，果真如此，它并不关闭所运行的进程，直接往文件里写东西。不管是icesword还是darkspy，都能给删掉，不知什么原理，那位高手给调试并解释一下？谢谢！  



这玩意是老trick了
 
驱网网上商城-开发板,开发资料光盘
 
牌术千术IT cardmagic.bokee.com  
[5 楼] Posted:2006-12-12 14:34|  
 
 
killvxk


 


 
级别: 论坛版主
精华: 0
发帖: 612
威望: 586 点
积分: 5831 分
贡献值: 0 点
注册时间:2005-10-03
        



嘿嘿，我也能删，嘿嘿——我直接暴力操作硬盘(非iofcalldriver,全采用接口in/out，暴力，暴力~~)
 
高速无限下载文件,请申请vip会员
 
[6 楼] Posted:2006-12-12 18:07|  
 
 
imaoge


 


 
级别: 驱动牛犊
精华: 0
发帖: 11
威望: 12 点
积分: 110 分
贡献值: 0 点
注册时间:2006-04-29
          



icesword并不具有这个功能，金山毒霸系统清理专家能删掉任何已知系统运行的文件，并不结束进程。
 
高速无限下载文件,请申请vip会员
 
[7 楼] Posted:2006-12-15 12:51|  
 
 
shadow3


 


 
级别: 驱动牛犊
精华: 0
发帖: 24
威望: 9 点
积分: 90 分
贡献值: 0 点
注册时间:2004-05-28
        



嘿嘿方法很多,给你个最简单的方法,HOOK NTFS.SYS或者FASTFAT.SYS上的MmFlushImageSection函数,然后自己下发个IRP去删除看看,呵呵
 
驱网网上商城-开发板,开发资料光盘
 
[8 楼] Posted:2006-12-15 20:17|  
 
 
kernel_kernel


 


 
级别: 驱动小牛
精华: 0
发帖: 107
威望: 15 点
积分: 184 分
贡献值: 0 点
注册时间:2002-12-08
        




QUOTE:
引用第7楼imaoge于2006-12-15 12:51发表的“”:
icesword并不具有这个功能，金山毒霸系统清理专家能删掉任何已知系统运行的文件，并不结束进程。


有吧，你的版本太老了？
不过这些都删不掉我的sys，xixi
 
高速无限下载文件,请申请vip会员
 
[9 楼] Posted:2006-12-16 11:05|  
 
 
kernel_kernel


 


 
级别: 驱动小牛
精华: 0
发帖: 107
威望: 15 点
积分: 184 分
贡献值: 0 点
注册时间:2002-12-08
        




QUOTE:
引用第5楼cardmagic于2006-12-12 14:34发表的“”:



这玩意是老trick了



很老啊？我从icesword1.20第一次看到
 
高速无限下载文件,请申请vip会员
 
[10 楼] Posted:2006-12-16 11:08|  
 
 
killvxk


 


 
级别: 论坛版主
精华: 0
发帖: 612
威望: 586 点
积分: 5831 分
贡献值: 0 点
注册时间:2005-10-03
        




QUOTE:
引用第8楼shadow3于2006-12-15 20:17发表的“”:
嘿嘿方法很多,给你个最简单的方法,HOOK NTFS.SYS或者FASTFAT.SYS上的MmFlushImageSection函数,然后自己下发个IRP去删除看看,呵呵

不推荐这种猥琐的方法~~~
而且这样对Ob*作了hook的XX没有效果~
 
驱网网上商城-开发板,开发资料光盘
 
[11 楼] Posted:2006-12-16 14:14|  
 
 
killvxk


 


 
级别: 论坛版主
精华: 0
发帖: 612
威望: 586 点
积分: 5831 分
贡献值: 0 点
注册时间:2005-10-03
        



暴力操作硬盘从本质上删除文件~
 
高速无限下载文件,请申请vip会员
 
[12 楼] Posted:2006-12-16 14:16|  
 
 
imaoge


 


 
级别: 驱动牛犊
精华: 0
发帖: 11
威望: 12 点
积分: 110 分
贡献值: 0 点
注册时间:2006-04-29
          



可能这个问题有没有自删除难，像那段经典的代码：

#include "windows.h"

int main(int argc, char *argv[])
{
char buf[MAX_PATH];
HMODULE module;

module = GetModuleHandle(0);
GetModuleFileName(module, buf, MAX_PATH);
CloseHandle((HANDLE)4);

__asm
{
lea eax, buf
push 0
push 0
push eax
push ExitProcess
push module
push DeleteFile
push UnmapViewOfFile
ret
}

return 0;
}
(没有检查正不正确,在网上抄的,呵呵)却在XP下不行,同样,有人搞出来了没有(不用批处理命令).
 
高速无限下载文件,请申请vip会员
 
[13 楼] Posted:2006-12-16 14:19|  
 
 
killvxk


 


 
级别: 论坛版主
精华: 0
发帖: 612
威望: 586 点
积分: 5831 分
贡献值: 0 点
注册时间:2005-10-03
        




QUOTE:
引用第13楼imaoge于2006-12-16 14:19发表的“”:
可能这个问题有没有自删除难，像那段经典的代码：

#include "windows.h"

int main(int argc, char *argv[])
.......

随便找个进程插个远程线程删除文件就行了
 
驱网网上商城-开发板,开发资料光盘
 
[14 楼] Posted:2006-12-16 14:50|  
 
 
wowocock


 

 
 
级别: 驱动老牛
精华: 1
发帖: 4169
威望: 580 点
积分: 5727 分
贡献值: 1 点
注册时间:2002-04-08
        




QUOTE:
引用第12楼killvxk于2006-12-16 14:16发表的“”:
暴力操作硬盘从本质上删除文件~

恩,这个方法最好,直接IO最爽.
 
高速无限下载文件,请申请vip会员
 
花开了，然后又会凋零，星星是璀璨的，可那光芒也会消失。在这样 一瞬间，人降生了，笑者，哭着，战斗，伤害，喜悦，悲伤憎恶，爱。一切都只是刹那间的邂逅，而最后都要归入死亡的永眠  
[15 楼] Posted:2006-12-16 17:08|  
 
 
imaoge


 


 
级别: 驱动牛犊
精华: 0
发帖: 11
威望: 12 点
积分: 110 分
贡献值: 0 点
注册时间:2006-04-29
          




QUOTE:
引用第9楼kernel_kernel于2006-12-16 11:05发表的“”:


有吧，你的版本太老了？
不过这些都删不掉我的sys，xixi


我的is为1.18啊,只要是程序在运行就是删不掉的.
 
驱网网上商城-开发板,开发资料光盘
 
[16 楼] Posted:2006-12-17 18:48|  
 
 
cardmagic


 


 
级别: 驱动小牛
精华: 0
发帖: 299
威望: 274 点
积分: 2735 分
贡献值: 0 点
注册时间:2005-03-15
        




QUOTE:
引用第8楼shadow3于2006-12-15 20:17发表的“”:
嘿嘿方法很多,给你个最简单的方法,HOOK NTFS.SYS或者FASTFAT.SYS上的MmFlushImageSection函数,然后自己下发个IRP去删除看看,呵呵


这个方法不是很安全,某些情况下会导致问题.
 
驱网网上商城-开发板,开发资料光盘
 
牌术千术IT cardmagic.bokee.com  
[17 楼] Posted:2006-12-19 23:02|  
 
 

  快速跳至 >> 初学者入门  |- c/c++入门(含vc使用)  |- InnoSetup 中文讨论区  |- 黑客反汇编之 asm2c  |- Keil C 使用  |- 电子技术基础  |- ABC初学者  |- 驱动及应用程序安装程序制作 >> 安全技术  |- 反流氓、反木马和rootkit  |- 特洛伊之木马故乡  |- 网络安全技术  |- 病毒技术分析 >> 阅读与交流  |- windows 源码解读  |- 书评 >> 各取所需  |- 求职专区  |- 合作开发  |- 供需信息 >> 驱动开发  |- 每周话题  |- vista & x64 驱动程序  |- WDF 学习与研究  |- Kernel Mode discussion and Soft Driver  |- USB驱动开发  |- 非USB硬件驱动开发  |- 图形设备驱动版(打印、扫描、显示...驱动)  |- Mac 驱动开发  |- NDIS网络接口开发  |- LINUX&UNIX核心开发  |- 开发工具使用  |- (IEEE1394)FireWire  |- 文件系统(过滤)驱动程序开发  |- 软件工程在驱动开发中的应用  |- 总结、原创区 >> 硬件开发  |- DSP & PLD &FPGA  |- 硬件设计  |- FirmWare  |- 集成电路设计(IC) >> SNMP网管  |- SNMP网管软件开发 >> 嵌入式系统及掌上设备  |- 嵌入式系统开发  |- Wince 程序开发  |- VxWorks >> 程序人生  |- 疯狂灌水  |- 新闻,要闻,花边  |- IT新闻  |- 情感小屋  |- I love English  |- 程序人生  |- 志宁自语  |- MP3 & FLASH 共享  |- 艺术&帖图区  |- 漂流一族 >> 其它事务  |- 用户留言  |- 软件使用与交流 >> 公司黑白名单  |- 白名单  |- 黑名单 >> 合作网站技术支持论坛  |- 驱动开发网在线商城  |- syser debugger  |- S1系列PCI开发板、FPGA开发板支持  |- PLX PCI 开发板支持  |- DriverStudio 技术支持  

 驱动程序开发网技术社区 -> Kernel Mode discussion and Soft Driver
    

快速发帖 顶端
 
内容：
HTML 代码不可用

使用签名
Wind Code自动转换

[查看帖子长度]  标题:  
表情:        
      

     按 Ctrl+Enter 直接提交    


 


Powered by PHPWind v4.3.2 Code ? 2003-05 PHPWind
This is html template view this page faster

You can contact us

自己分析文件系统做的：）
其实就是我做的，呵呵

引用第1楼Men like wind于2007-02-28 13:51发表的“”:
自己分析文件系统做的：）
其实就是我做的，呵呵

风般~~
太久没看到你了~
       

引用第2楼killvxk于2007-02-28 13:58发表的“”:

风般~~
太久没看到你了~
       

没想到在这看到你：），CVC挂太久了，你还在QQ上天天冒充MM
还有啊，要不是想问个问题，偶看到偶N年前在驱网发的菜鸟帖子都不好意思来驱网（谁帮我把他们删了吧）

分析FAT32和NTFS,直接WriteFile扇区?老大,你真有才.佩服.

把文件名第一个字节改成0xE5嘛，这招俺也会。

直接IO硬盘太危险，还是在Ring3下安全！