|
阅读:6114回复:42
救命!磁盘过滤被穿透了
我做了磁盘过滤驱动 主要是用于还原的
但发现机器狗能穿透我的驱动 好像机器狗的都能穿透 我是用diskperf来做的 大家来讨论下机器狗的原理及其防范的方法! |
|
最新喜欢: angles
|
|
沙发#
发布于:2008-03-10 20:16
机器狗不算什么,我做的什么还原都能穿透,还能随意创建文件,还原的日子差不多到头了。
 |
|
|
板凳#
发布于:2008-03-10 22:07
魔高一尺,道高一丈,楼上得意的日子不长了
我教楼主一招:把你的改成Disk.sys的dispatch hook,什么破机器狗,完全不怕~ |
|
|
|
地板#
发布于:2008-03-10 23:20
引用第2楼WQXNETQIQI于2008-03-10 22:07发表的 : 您不知道磁盘可以直接I/O吗? |
|
|
地下室#
发布于:2008-03-10 23:43
谢谢大家的回复!
几位有比较好的防范的办法没有呢? hook disk.sys 也可以 但短时间也改不了 我的意思是在目前整样在驱动里防住呢? |
|
|
5楼#
发布于:2008-03-11 00:30
引用第3楼yuanyuan于2008-03-10 23:20发表的 : 您不知道调试寄存器可以监视I/O吗? 您不知道想要直接I/O需要加载驱动吗? 您不知道加载驱动有无数种手段可以拦截吗? |
|
|
|
6楼#
发布于:2008-03-11 00:35
战术上来说,攻防永无止境
战略上来说,得道多助,失道寡助 因此所谓还原穿透,必然只能昙花一现,很快被消灭 |
|
|
|
7楼#
发布于:2008-03-11 01:04
引用第5楼WQXNETQIQI于2008-03-11 00:30发表的 : 不要光停留在理论上。 拦截哪个驱动呢?用Blacklist呢?还是Whitelist呢? 做的像HIPS那样愚蠢?还是像AV那样白痴呢? 你的产品加了调试寄存器监视I/O?拿出来亮亮,让大家开开眼界。 SectorEditor,CleanMBR,KillDisk已经面世多少年了,哪个还原能防住了? |
|
|
8楼#
发布于:2008-03-11 01:15
引用第6楼WQXNETQIQI于2008-03-11 00:35发表的 : 10年前有多少病毒?5年前有多少病毒?1年前有多少病毒?何来得道多助?何来失道寡助? |
|
|
9楼#
发布于:2008-03-11 10:10
1.拦截必然是有效的,这和得道失道有关
2.监视IO的文章你可以自己找找,不少game protect程序里也有,不过你可能不关注 呵呵 3.那些只会写标准驱动的还原作者可能不会防,也没有防,不代表没有人能防 4.所谓得道,即用户支持,只要网吧业主还把穿还原的恨得牙痒痒,还原穿透永远失道 细节就请楼上自己体会吧 |
|
|
|
10楼#
发布于:2008-03-11 10:16
|
|
|
|
11楼#
发布于:2008-03-11 11:32
引用第9楼WQXNETQIQI于2008-03-11 10:10发表的 : 说了半天,还是停留在理论上,更增笑耳。 |
|
|
12楼#
发布于:2008-03-11 13:56
在说别人停留在理论前,我建议楼上把你的 通用的 直接I/O穿透还原的拿出来瞧瞧
 |
|
|
|
13楼#
发布于:2008-03-11 15:46
MJ和yuanyuan。。。算了,我不出声.
 |
|
|
|
14楼#
发布于:2008-03-11 16:23
无盘工作站+网络虚拟磁盘才是王道啊
|
|
|
|
15楼#
发布于:2008-03-11 16:57
引用第14楼xikug于2008-03-11 16:23发表的 : 虚拟机方案才是王道,嘿嘿 |
|
|
16楼#
发布于:2008-03-11 17:23
网吧使用无盘是不错选择
个人使用则没有必要用还原系统 |
|
|
|
17楼#
发布于:2008-03-11 17:23
驱动大牛都喜欢拽文了?
|
|
|
18楼#
发布于:2008-03-11 18:12
虚拟机也被穿了啊被穿了
没有攻不破的防御,也没有防不住的攻击~~ |
|
|
|
19楼#
发布于:2008-03-11 18:33
没有什么是安全的,就像戴套做爱防AIDS一样。。
|
|
|
上一页
下一页