wangjianfeng
驱动小牛
驱动小牛
  • 注册日期2004-05-28
  • 最后登录2013-10-02
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望263点
  • 贡献值0点
  • 好评度260点
  • 原创分0分
  • 专家分0分
阅读:14660回复:71

360的文件粉碎,很强悍,MJMM的作品

楼主#
更多 发布于:2007-05-07 10:54
  360的文件粉碎,很强悍,MJMM的作品,试用了一下,不错的说,MM作到如此程度,佩服呀.
附件名称/大小 下载次数 最后更新
360IceBreaker.rar (6KB)  281 2007-05-07 10:54
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
沙发#
发布于:2007-05-07 12:51
不自己实现文件系统的话,总感觉不保险.
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
板凳#
发布于:2007-05-07 14:18
DS又不是自己文件系统 (发IRP之类的不算
驱动开发者 呵呵
kakaba
驱动牛犊
驱动牛犊
  • 注册日期2005-08-30
  • 最后登录2007-04-30
  • 粉丝0
  • 关注0
  • 积分198分
  • 威望21点
  • 贡献值0点
  • 好评度19点
  • 原创分0分
  • 专家分0分
地板#
发布于:2007-05-07 14:21
引用第0楼wangjianfeng2007-05-07 10:54发表的“360的文件粉碎,很强悍,MJMM的作品”:
  360的文件粉碎,很强悍,MJMM的作品,试用了一下,不错的说,MM作到如此程度,佩服呀.



不正是驱网上讨论过的做法么?最早是谁用的来者?
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
  • 社区居民
  • 最爱沙发
  • 社区明星
地下室#
发布于:2007-05-07 16:36
大家弄明白没有怎么粉碎文件?按国际标准该怎么处理?
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
5楼#
发布于:2007-05-07 16:48
引用第4楼znsoft2007-05-07 16:36发表的“”:
大家弄明白没有怎么粉碎文件?按国际标准该怎么处理?

粉碎只是暂时叫个名字,没想好怎么叫,反正目的是粉碎流氓木马
驱动开发者 呵呵
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
6楼#
发布于:2007-05-07 16:50
引用第3楼kakaba2007-05-07 14:21发表的“”:



不正是驱网上讨论过的做法么?最早是谁用的来者?


很多人有提,不过好象都没怎么仔细说
我是写了这个后才看到的相关讨论的
RUNNING的花了20分钟反了下内核看的
驱动开发者 呵呵
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
  • 社区居民
  • 最爱沙发
  • 社区明星
7楼#
发布于:2007-05-07 16:52
引用第5楼WQXNETQIQI2007-05-07 16:48发表的“”:

粉碎只是暂时叫个名字,没想好怎么叫,反正目的是粉碎流氓木马



我还以为你是为了安全而粉碎文件呢

粉碎数据有国际标准的。而且不按标准做,很容易被恢复出来。
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
8楼#
发布于:2007-05-07 17:24
引用第7楼znsoft2007-05-07 16:52发表的“”:



我还以为你是为了安全而粉碎文件呢

.......


正是为了安全而粉碎呀
不过不是数据安全,而是系统安全,呵呵

那个标准早就知道了
驱动开发者 呵呵
wangjianfeng
驱动小牛
驱动小牛
  • 注册日期2004-05-28
  • 最后登录2013-10-02
  • 粉丝0
  • 关注0
  • 积分1002分
  • 威望263点
  • 贡献值0点
  • 好评度260点
  • 原创分0分
  • 专家分0分
9楼#
发布于:2007-05-07 21:17
这个主要是删文件,看来与真正的粉碎无关,应叫文件删除工具。
对于独占方式打开的文件,MJMM是怎么实现删除的,讲讲原理吧。
throb
驱动牛犊
驱动牛犊
  • 注册日期2005-02-23
  • 最后登录2022-03-04
  • 粉丝0
  • 关注0
  • 积分5分
  • 威望86点
  • 贡献值0点
  • 好评度36点
  • 原创分0分
  • 专家分0分
  • 社区居民
10楼#
发布于:2007-05-08 15:43
也就是原来的360驱动文件多了两种删除文件的方法
1. 发irp 删除
此时IoCreateFile 的DesiredAccess =  DesiredAccess = DELETET
|| FILE_WRITE_ATTRIBUTES ,打开的驱动文件在InputBuffer,没有从应用程序里调,自己跟一下

// 添加
2. 发irp 删除
此时IoCreateFile 的DesiredAccess =  FILE_READ_ATTRIBUTES ,打开的驱动文件在InputBuffer,没有从应用程序里调,自己跟一下

3. hook MmFlushImageSection 后再发 irp 删除,然后恢复hook MmFlushImageSection
此时IoCreateFile 的DesiredAccess =  FILE_READ_ATTRIBUTES

没有c代码,直接送idb 了,呵呵
附件名称/大小 下载次数 最后更新
360IceBreaker.rar (197KB)  75 2007-05-08 15:43
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
11楼#
发布于:2007-05-08 16:24
居然用IoCreateFile打开文件(太弱了)
hook MmFlushImageSection的方法并不保险~
另外就是RemoveThreadNotify,有那么复杂么?
直接inline hook那个NotifyRoutine就可以了~
不需要真的Remove...

最后说句,这个删除文件的办法不是粉碎~
而是干掉顽固的家伙而已~
没有战争就没有进步 X3工作组 为您提供最好的军火
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
12楼#
发布于:2007-05-08 16:25
更好的方法就是不要用iocreatefile来打开文件,嘿嘿~~
没有战争就没有进步 X3工作组 为您提供最好的军火
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
13楼#
发布于:2007-05-08 17:43
就是干掉目前顽固的家伙而已,没人说要粉碎~(除了名字)
至于其他的iocreatefile之类,想突破都能突破 哈哈 老V能不能想点难突破的办法,不然太无聊了
驱动开发者 呵呵
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
14楼#
发布于:2007-05-08 18:27
自己实现MINI OS吧,不用系统的任何函数,你们好歹也是大公司了,做得应该专业点,嘿嘿。。。。。。
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
15楼#
发布于:2007-05-08 18:29
MINI OS是有啦,不用任何函数 ,但是大了慢了,不用

驱动用着挺好,我们不是变态
驱动开发者 呵呵
slwqw
驱动大牛
驱动大牛
  • 注册日期2002-07-18
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分7分
  • 威望197点
  • 贡献值0点
  • 好评度147点
  • 原创分0分
  • 专家分0分
16楼#
发布于:2007-05-08 18:55
我很久以前就曾经跟wowocock说过,如果还采用FSD的方法,Darkspy永远突破不了现在的某些AntiRootkit软件。可惜MJMM没有看到那段话,所以在她的软件中还是使用这种过时的技术,不值得一提矣。

.....
00000166    0.02309651    command 0x1010,kill handled file    
00000167    0.02311355    killfile \??\H:\Inprise\CBuilder5\Projects\{...}\demo\Project1.exe    
00000168    0.02317613    {...}: Exclude DELETE Flag from FILE_SET_INFORMATION.    
00000169    0.02319261    DeleteFile OK!    
.....

你OK什么啊,我根本就没有把IRP发送到Fastfat.sys/Ntfs.sys里边去。

//---------------------------------------------------------------------------
//
// 设置文件相关信息
//
NTSTATUS
HookFsdSetInformation (
    IN PDEVICE_OBJECT   DeviceObject,
    IN PIRP             Irp
    )
{
    PIO_STACK_LOCATION  IrpStack;
    PFILE_OBJECT        FileObject;

    //////

    IrpStack = IoGetCurrentIrpStackLocation(Irp);
    FileObject = IrpStack->FileObject;

    //////

    //
    // 拒绝删除文件
    //
    if(IrpStack->Parameters.SetFile.FileInformationClass == FileDispositionInformation)    
    {
        KdPrint(("{...}: Excludes DELETE Flag from FILE_SET_INFORMATION.\n"));

        Irp->IoStatus.Status = STATUS_SUCCESS;
        Irp->IoStatus.Information = 0;

        IoCompleteRequest(Irp,IO_NO_INCREMENT);

        return STATUS_SUCCESS;
    }

    return HopData.FsdOrigSetInfo(DeviceObject,Irp);
}

------

解决方法只能是自己实现FSD读取原始数据文件,也就是wowocock推荐的。

BTW:MJMM,虽然你“说”过,自己实现了MINI OS,也自己实现了DirectRead/Write Disk(完全饶过系统的FSD/Ftdisk/Disk.sys),但是为什么一直没有publish出来呢?一直想看看你的这些技术。

毕竟,当初牛哄哄的所谓“独创”的“破冰”技术给人家分析之后,居然发现是一堆过时技术的组合,不过换过名字而已。谁知道你的那些MINI OS/DirectRead/Write Disk是不是也是这么回事呢???哄人的概念性的东西,还是让周XX去说吧,我们技术人最好不要玩这些虚的东西,就像wowocock说的一样,心理总感觉不爽。
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
17楼#
发布于:2007-05-08 19:49
楼上这种自以为是的东西更叫人心理不爽,看到楼上和它的代码就如一堆SHIT一样,吐

技术上的不多说,FSD早就被讨论烂了
写点东西出来用才是正道
驱动开发者 呵呵
znsoft
管理员
管理员
  • 注册日期2001-03-23
  • 最后登录2023-10-25
  • 粉丝300
  • 关注6
  • 积分910分
  • 威望14796点
  • 贡献值7点
  • 好评度2410点
  • 原创分5分
  • 专家分100分
  • 社区居民
  • 最爱沙发
  • 社区明星
18楼#
发布于:2007-05-08 20:33
大家火气都不要太大.我觉得呀楼上的说法是有点火,不过呢,意思还是比较明确.

确实啥技术之类的还是不要太吹,是啥就是啥,比如破冰之类的还是少在技术论坛上用.

这让我想起了一个杀毒软件的广告 (驱动级杀毒技术), 其实懂技术的都知道,在windows 95及以后,基本上没有不带驱动的杀毒软件,否则没法监控文件系统.. 只是一个商业和市场的炒作而已...


我们还是讨论技术,少人身攻击吧.. 大家都息息火,要是还有火,建议喝点王老吉(虽然我总觉得它象中药)
http://www.zndev.com 免费源码交换网 ----------------------------- 软件创造价值,驱动提供力量! 淡泊以明志,宁静以致远。 ---------------------------------- 勤用搜索,多查资料,先搜再问。
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
19楼#
发布于:2007-05-08 20:51
那么请问楼上,破冰我有在论坛上说过吗?
很明显,这个名字只是为了配合宣传
根本就不是我本人的意思

象楼上的楼上的楼上那种完全不懂什么叫软件产品的东西~一辈子只能玩那些最下贱的HOOK了,却还自以为是以为自己玩的是什么新技术?可笑
驱动开发者 呵呵
上一页
游客

返回顶部