|
阅读:4883回复:22
传说中的总线级别文件隐藏~~
记得一年前cardmagic曾经写过一篇文章,其中提到了bus level的文件隐藏技术,不过没有涉及细节,现在旧话重提,希望大牛们暴暴料?
|
|
|
沙发#
发布于:2008-04-11 19:14
从pciidex下手?不过它只是export几个函数而已,而且拿windbg跟了一下,这几个函数只是在boot时被pciide总线驱动/intelide调了一下,后来就再没被调用了。。。系统在枚举文件时貌似只走到FS层吧?目前看来对整个storage stack还不太清晰
 |
|
|
板凳#
发布于:2008-04-11 21:09
自己顶
 |
|
|
地板#
发布于:2008-04-11 23:06
最简单的,hook atapi.sys的scsi dispatch,拿到IRP后,向下进行IRP堆栈搜索,搜索到fileobject为你要隐藏的目录的,返回错误,那个目录的文件就都隐藏了~
这算是最简单总线级隐藏了吧~ 几行代码就搞定。对付icesword , darkspy都好使~ |
|
|
|
地下室#
发布于:2008-04-12 08:20
scsi dispatch是哪一个IRP_MJ?另外你的是加载之后即可生效还是需要reboot?
这个貌似只能算是port级别的吧...不过还是赞一个  |
|
|
5楼#
发布于:2008-04-12 23:19
cardmagic所言总线级就是atapi这玩意儿~
加载后即生效~ |
|
|
|
6楼#
发布于:2008-04-13 09:06
对付某些WS工具还要禁止读取XXXX.sys才行~
|
|
|
|
7楼#
发布于:2008-04-13 10:20
我试了下,没有生效~~~~~
 主要还是mj说的scsi dispatch是处理那个mj irp的dispatch啊?mj说一下吧。。。 |
|
|
8楼#
发布于:2008-04-13 11:15
机密~
|
|
|
|
9楼#
发布于:2008-04-13 11:15
scsi dispatch
|
|
|
|
10楼#
发布于:2008-04-13 12:44
如果真如mj所说的那样加载之后就可以过is和ds的话我就疑惑了:
二者枚举文件貌似只走到fs层吧,关port层什么事? |
|
|
11楼#
发布于:2008-04-13 18:41
fs最后要走到port
|
|
|
|
12楼#
发布于:2008-04-13 22:16
但是在枚举文件时不会走port层吧?读写会走~~
我在port的dispatch上下断点后在枚举目录时softice根本就弹不出来啊,何谈过is和ds? |
|
|
13楼#
发布于:2008-04-14 04:01
文件枚举也是磁盘读取
你下的dispatch不对,当然不弹 |
|
|
|
14楼#
发布于:2008-04-14 09:37
引用第13楼WQXNETQIQI于2008-04-14 04:01发表的 : 我把port的每一个dispatch都轮流替换了一遍发现都不行。。。  也许是我人品有问题。。。 |
|
|
15楼#
发布于:2008-04-16 01:16
很神奇的哦~
|
|
|
|
16楼#
发布于:2008-04-16 01:39
可以从nt4或者DDK的fastfat的代码往下去解读~
|
|
|
|
17楼#
发布于:2008-04-16 08:31
简单测试了下,在ATAPI层获得的那些FILE 基本都是写注册表的LOG文件,很难找到需要的信息.
|
|
|
|
18楼#
发布于:2008-04-16 08:32
可能是在缓存里。
|
|
|
19楼#
发布于:2008-04-16 13:05
我觉得也是,看了mj的那段代码,如果能如此简单的通过fileobject来获取文件路径及名称的话过滤驱动岂不是很好写???
|
|
上一页
下一页