360的文件粉碎,很强悍,MJMM的作品

  360的文件粉碎,很强悍,MJMM的作品,试用了一下,不错的说,MM作到如此程度,佩服呀.

不自己实现文件系统的话,总感觉不保险.

DS又不是自己文件系统 （发IRP之类的不算 ）

引用第0楼wangjianfeng于2007-05-07 10:54发表的“360的文件粉碎,很强悍,MJMM的作品”:
  360的文件粉碎,很强悍,MJMM的作品,试用了一下,不错的说,MM作到如此程度,佩服呀.

不正是驱网上讨论过的做法么？最早是谁用的来者？

大家弄明白没有怎么粉碎文件?按国际标准该怎么处理?

引用第4楼znsoft于2007-05-07 16:36发表的“”:
大家弄明白没有怎么粉碎文件?按国际标准该怎么处理?

粉碎只是暂时叫个名字，没想好怎么叫，反正目的是粉碎流氓木马

引用第3楼kakaba于2007-05-07 14:21发表的“”:



不正是驱网上讨论过的做法么？最早是谁用的来者？

很多人有提，不过好象都没怎么仔细说
我是写了这个后才看到的相关讨论的
RUNNING的花了20分钟反了下内核看的

引用第5楼WQXNETQIQI于2007-05-07 16:48发表的“”:

粉碎只是暂时叫个名字，没想好怎么叫，反正目的是粉碎流氓木马

我还以为你是为了安全而粉碎文件呢

粉碎数据有国际标准的。而且不按标准做，很容易被恢复出来。

引用第7楼znsoft于2007-05-07 16:52发表的“”:



我还以为你是为了安全而粉碎文件呢

.......

正是为了安全而粉碎呀
不过不是数据安全，而是系统安全，呵呵

那个标准早就知道了

这个主要是删文件，看来与真正的粉碎无关，应叫文件删除工具。
对于独占方式打开的文件，MJMM是怎么实现删除的，讲讲原理吧。

也就是原来的360驱动文件多了两种删除文件的方法
1. 发irp 删除
此时IoCreateFile 的DesiredAccess =  DesiredAccess = DELETET
|| FILE_WRITE_ATTRIBUTES ，打开的驱动文件在InputBuffer，没有从应用程序里调，自己跟一下

// 添加
2. 发irp 删除
此时IoCreateFile 的DesiredAccess =  FILE_READ_ATTRIBUTES ，打开的驱动文件在InputBuffer，没有从应用程序里调，自己跟一下

3. hook MmFlushImageSection 后再发 irp 删除，然后恢复hook MmFlushImageSection
此时IoCreateFile 的DesiredAccess =  FILE_READ_ATTRIBUTES

没有c代码，直接送idb 了，呵呵

居然用IoCreateFile打开文件（太弱了）
hook MmFlushImageSection的方法并不保险～
另外就是RemoveThreadNotify,有那么复杂么？
直接inline hook那个NotifyRoutine就可以了～
不需要真的Remove...

最后说句，这个删除文件的办法不是粉碎～
而是干掉顽固的家伙而已～

更好的方法就是不要用iocreatefile来打开文件，嘿嘿～～

就是干掉目前顽固的家伙而已，没人说要粉碎~（除了名字）
至于其他的iocreatefile之类，想突破都能突破 哈哈 老V能不能想点难突破的办法，不然太无聊了

自己实现MINI OS吧,不用系统的任何函数，你们好歹也是大公司了，做得应该专业点，嘿嘿。。。。。。

MINI OS是有啦，不用任何函数 ，但是大了慢了，不用

驱动用着挺好，我们不是变态

我很久以前就曾经跟wowocock说过，如果还采用FSD的方法，Darkspy永远突破不了现在的某些AntiRootkit软件。可惜MJMM没有看到那段话，所以在她的软件中还是使用这种过时的技术，不值得一提矣。

.....
00000166    0.02309651    command 0x1010,kill handled file    
00000167    0.02311355    killfile \??\H:\Inprise\CBuilder5\Projects\{...}\demo\Project1.exe    
00000168    0.02317613    {...}: Exclude DELETE Flag from FILE_SET_INFORMATION.    
00000169    0.02319261    DeleteFile OK!    
.....

你OK什么啊，我根本就没有把IRP发送到Fastfat.sys/Ntfs.sys里边去。

//---------------------------------------------------------------------------
//
// 设置文件相关信息
//
NTSTATUS
HookFsdSetInformation (
    IN PDEVICE_OBJECT   DeviceObject,
    IN PIRP             Irp
    )
{
    PIO_STACK_LOCATION  IrpStack;
    PFILE_OBJECT        FileObject;

    //////

    IrpStack = IoGetCurrentIrpStackLocation(Irp);
    FileObject = IrpStack->FileObject;

    //////

    //
    // 拒绝删除文件
    //
    if(IrpStack->Parameters.SetFile.FileInformationClass == FileDispositionInformation)    
    {
        KdPrint(("{...}: Excludes DELETE Flag from FILE_SET_INFORMATION.\n"));

        Irp->IoStatus.Status = STATUS_SUCCESS;
        Irp->IoStatus.Information = 0;

        IoCompleteRequest(Irp,IO_NO_INCREMENT);

        return STATUS_SUCCESS;
    }

    return HopData.FsdOrigSetInfo(DeviceObject,Irp);
}

------

解决方法只能是自己实现FSD读取原始数据文件，也就是wowocock推荐的。

BTW：MJMM，虽然你“说”过，自己实现了MINI OS，也自己实现了DirectRead/Write Disk（完全饶过系统的FSD/Ftdisk/Disk.sys），但是为什么一直没有publish出来呢？一直想看看你的这些技术。

毕竟，当初牛哄哄的所谓“独创”的“破冰”技术给人家分析之后，居然发现是一堆过时技术的组合，不过换过名字而已。谁知道你的那些MINI OS/DirectRead/Write Disk是不是也是这么回事呢？？？哄人的概念性的东西，还是让周XX去说吧，我们技术人最好不要玩这些虚的东西，就像wowocock说的一样，心理总感觉不爽。

楼上这种自以为是的东西更叫人心理不爽，看到楼上和它的代码就如一堆SHIT一样，吐

技术上的不多说，FSD早就被讨论烂了
写点东西出来用才是正道

大家火气都不要太大.我觉得呀楼上的说法是有点火,不过呢,意思还是比较明确.

确实啥技术之类的还是不要太吹,是啥就是啥,比如破冰之类的还是少在技术论坛上用.

这让我想起了一个杀毒软件的广告 (驱动级杀毒技术), 其实懂技术的都知道,在windows 95及以后,基本上没有不带驱动的杀毒软件,否则没法监控文件系统.. 只是一个商业和市场的炒作而已...


我们还是讨论技术,少人身攻击吧.. 大家都息息火,要是还有火,建议喝点王老吉(虽然我总觉得它象中药)

那么请问楼上，破冰我有在论坛上说过吗？
很明显，这个名字只是为了配合宣传
根本就不是我本人的意思

象楼上的楼上的楼上那种完全不懂什么叫软件产品的东西~一辈子只能玩那些最下贱的HOOK了，却还自以为是以为自己玩的是什么新技术？可笑