突破影子系统的防御

经过这两天来的测试，发现影子系统对自身防御的确做得很好

1、它好像会检测驱动的MajorFunction[IRP_MJ_WRITE]，对那个地址进行读取操作都有可能被其检测到，更加不用说修改它的MajorFunction[IRP_MJ_WRITE]指向我们的函数了。
2、它好像有代码校验，对影子系统直接进行内存补丁有危险！！！它当时好像不发作，但是在关机的时候会出问题的，轻则丢失用户配置文件，重则系统起不来！！！我VM重装了好几次了：-（
3、直接IDA Snpshot.sys的话，向我这种没有经验的人简直是天书，不信的话，哪位兄台可以看看，我只能反反那种最简单的，hoho
4、影子系统直接挂在\\Device\\Disk，太底层了

鉴于上面的问题，我目前的思路是：
1、得到驱动分发层次（影子下层《-影子驱动《-影子上层）
2、HOOK IoCallNextDriver
在IoCallNextDriver中检查是否为影子驱动设备，如果是的话。
修改其中的PDEVICE_OBJECT，直接到影子下层的设备。
关键就是HOOK IoCallNextDriver.

不错，早说了，如果不能兑付邪恶的系统HOOK，所有操作全是白费，嘿嘿。。。。。。

这真邪恶～

呵呵，有个问题，影子系统是给个人用户用的，不是在网吧用的，用户他们自己会去破坏自己的机器吗？

引用第1楼wowocock于2007-09-06 11:25发表的  :
不错，早说了，如果不能兑付邪恶的系统HOOK，所有操作全是白费，嘿嘿。。。。。。

除非你写这类病毒，不过还没有流行起来，就被抓起来了，呵呵

学好SCSI ,走骗天下都不怕，那里有这样麻烦？

I/o端口地址可以利用把？当然还有很多方法可以过它的，简直太多了。看看Daemon-tools 与StarForce 之间的颠峰斗法，就知道了。Disk 不算啥底层，人家这两个都杀到portdriver 里边去了都还没完捏。

郁闷ing，wowocock提示我一下，也没有好的方法啊？
很奇怪它怎么知道我访问内存地址的

自己搞个DISKAPERF挂到他上面，然后把IRP 直接发到DISK。嘿嘿。。。。。。

哈哈！我下午去试试看

引用第5楼liuyan1于2007-09-06 11:33发表的  :
学好SCSI ,走骗天下都不怕，那里有这样麻烦？

I/o端口地址可以利用把？当然还有很多方法可以过它的，简直太多了。看看Daemon-tools 与StarForce 之间的颠峰斗法，就知道了。Disk 不算啥底层，人家这两个都杀到portdriver 里边去了都还没完捏。

IO一样可以HOOK，而且随着CPU 虚拟技术的发展，所有硬件操作将位于VMM之上，你所操作的只能是虚拟CPU而已，估计以后肯定要把战火烧到位于RING -1 的VMM中去，特别考虑到MS已经把PATCH GUARD 往VMM里移了，以后恐怕日子更难过了，嘿嘿。。。。。

影子系统V2.6
各位测试的朋友小心点，首先进影子保护后
首先开启DebugView
然后启动我的sys
此时DebugView中会有拦截的数据出现；-（
然后unload我的sys
然后期待好运吧，my god！！！
本人能力有限，还没有理解影子的保护原理，请论坛的大牛帮我搞定他
（能偷偷的不被它发现的写数据即可）。我VM   ghost恢复N次了；-（

发现影子巨BT，流氓啊~~~~
各位兄弟测试好，把结果我，谢谢！！！希望你机器测试后还能动
如果希望打算重装系统的话，帮我在实际机器上测试，我不敢！怕了它了，太流氓了

wowocock 不行啊，我搞不定啊，可否研究一下阿

我觉得楼主挺无聊的，有你这个时间，我都做了一个和Powershadow一样的东西出来了

你开什么玩笑！！！你写的我估计用上面的方法就直接搞定了

2008版 只要改3个字节就可以 突破它。
2.8的只要改一个跳转就可以 突破它。
用IceSword 就可以干掉它。

你发一个我看看，我改了它的跳转，就启动不了了，我测试的是2.6
版本的，不会是他们良心发现吧？