|
阅读:2406回复:5
DisableControl
以前自己写测试的工具,本来已经丢垃圾箱了,整理硬盘的时候正好发现,就发上来了。控制和反控制是安全开发
永恒的主题,我们都希望自己能控制,都希望自己不被别人控制。 看论坛上吹得很久的什么铁盾, 的确不错,不过如果被病毒木马等用来保护自己,那么也很麻烦,毕竟DISKPERF 系列的技术很简单,但危害也很大。如果被病毒木马搞个驱动保护自己,就很难清除,所以就拿出自己以前写的垃圾程序。 可以选择性对FSD,和DS类的控制,用法很简单。 syntax: DisableControlConsole /setfsfilter (FSD过滤驱动有效化) DisableControlConsole /clearfsfilter (FSD过滤驱动无效化) DisableControlConsole /setdsfilter (DS过滤驱动有效化) DisableControlConsole /cleardsfilter (DS过滤驱动无效化) DisableControlConsole /setfsdispatch (fsd dispatch 无效化) DisableControlConsole /clearfsdispatch(fsd dispatch 有效化) DisableControlConsole /add_disabledrv \filesystem\cdfs DisableControlConsole /add_disabledrv \driver\cdrom DisableControlConsole /del_disabledrv \filesystem\cdfs DisableControlConsole /del_disabledrv \driver\cdrom (驱动能否收到系统消息) DisableControlConsole /get_disabledrv (无效化驱动列表) DisableControlConsole /get_disableinfo(FSD DS 无效化列表) DisableControlConsole /drvstart (驱动加载) DisableControlConsole /drvstop (驱动卸载) 驱动加载的时候会默认无效化文件和磁盘过滤驱动,并自动恢复可能对FSD 的INLINEHOOK,不过由于很多安全软件 都采用相应的技术,可以在注册表例添加DWORD (DisableDsFilter,DisableFsFilter,DisableFsInline,DisableFsDispatch) 控制各部分的有效性。 注意的是DisableDsFilter可以控制磁盘过滤驱动,所以可以无效化大多数目前基于DISKPERF的磁盘控制还原类软件 不过由于该系统的特殊性,一般建议不要使用该选项。特别是还原类软件,一般的问题不打,但对于影子系统的还原软件 ,由于其在启动时会对其自认为正确的BIPMAP对磁盘操作,但在我们驱动的作用下,他原来的操作可能就不正确了, 所以会导致系统崩溃。所以不要随意测试还原类软件。后果自负,同时由于和WINDOWS内核调试器不兼容,所以不要使用 诸如SOFTICE,SYSER,WINDBG等核心级调试器。 虽然理论上来说使用于2K/XP/2K3/VISTA等我手头只有XPSP2 和2K3 SP1 ,所以其他系统可能会有问题,所以测试的时候当心点。 USE IT AT YOUR OWN RISK. http://ds.360safe.com/?uid-195-action-viewspace-itemid-89 |
|
|
|
沙发#
发布于:2007-12-20 00:18
Code Virtualizer?
 |
|
|
板凳#
发布于:2007-12-20 01:01
到底是什么壳啊,wowocock的壳比他的驱动强大~~
驱动可以根据描述+黑盒测试就知道啦~~ 但是壳啊,我们需要这个壳~~太好了,至少F5不成功!! |
|
|
|
地板#
发布于:2007-12-20 09:52
Code Virtualizer
|
|
|
|
地下室#
发布于:2007-12-20 12:09
引用第3楼xikug于2007-12-20 09:52发表的 : ??? Joke? |
|
|
5楼#
发布于:2007-12-28 22:53
ding qi lai
 |
|