首页>编程与逆向>内核编程>救命!磁盘过滤被穿透了
回复
« 返回列表
1 2 3 下一页 »
zxl250
zxl250
驱动牛犊
驱动牛犊
  • 注册日期2007-12-02
  • 最后登录2016-01-09
  • 粉丝2
  • 关注0
  • 积分-3分
  • 威望283点
  • 贡献值0点
  • 好评度23点
  • 原创分0分
  • 专家分0分
写私信
阅读:6156回复:42

救命!磁盘过滤被穿透了

楼主#
更多 发布于:2008-03-10 20:07
我做了磁盘过滤驱动 主要是用于还原的
但发现机器狗能穿透我的驱动 好像机器狗的都能穿透
我是用diskperf来做的
大家来讨论下机器狗的原理及其防范的方法!
喜欢1

最新喜欢:

anglesangles
回复
wasm120
wasm120
驱动牛犊
驱动牛犊
  • 注册日期2008-06-11
  • 最后登录2008-06-13
  • 粉丝0
  • 关注0
  • 积分5分
  • 威望5点
  • 贡献值0点
  • 好评度0点
  • 原创分0分
  • 专家分0分
写私信
沙发#
发布于:2008-06-12 18:23
看来大家都是高手哦,,

谁能搞个native 程序,,,使用的时候可以检测指定文件的 md5hash  不同就从别的位置复制一份来,

就这样的程序应该就可以防狗了
回复(0) 喜欢(0)
icesword
icesword
驱动牛犊
驱动牛犊
  • 注册日期2002-06-03
  • 最后登录2009-10-10
  • 粉丝0
  • 关注0
  • 积分3分
  • 威望52点
  • 贡献值0点
  • 好评度22点
  • 原创分0分
  • 专家分0分
写私信
板凳#
发布于:2008-05-29 16:07
穿透了也没法创建文件,还原卡会恢复fat 表
回复(0) 喜欢(0)
klever
klever
驱动牛犊
驱动牛犊
  • 注册日期2007-08-03
  • 最后登录2009-11-10
  • 粉丝0
  • 关注0
  • 积分20分
  • 威望3点
  • 贡献值0点
  • 好评度2点
  • 原创分0分
  • 专家分0分
写私信
地板#
发布于:2008-05-25 02:10
sata硬盘好像不能io吧,我找了很久都没有资料
另外我上次在学校机房用sectoreditor,那机器是p4+256m+fx5200的,猜也知道是ide硬盘,可还是被还原了


楼上说的好bios rootkit不知道对无盘系统有用不,
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
地下室#
发布于:2008-05-16 21:28
穿还原度么没有意思,还是bios好~
防格式化~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
dreamsity
dreamsity
驱动小牛
驱动小牛
  • 注册日期2006-09-01
  • 最后登录2013-07-04
  • 粉丝0
  • 关注0
  • 积分40分
  • 威望821点
  • 贡献值1点
  • 好评度68点
  • 原创分1分
  • 专家分0分
写私信
5楼#
发布于:2008-05-15 22:55
直接用IDE命令写磁盘吧。呵呵。
一切都是时间问题!
回复(0) 喜欢(0)
akira1207
akira1207
驱动牛犊
驱动牛犊
  • 注册日期2006-09-24
  • 最后登录2008-10-12
  • 粉丝0
  • 关注0
  • 积分2分
  • 威望27点
  • 贡献值0点
  • 好评度25点
  • 原创分0分
  • 专家分0分
写私信
6楼#
发布于:2008-05-04 15:16
mvp帖子!
回复(0) 喜欢(0)
eleqi
eleqi
驱动小牛
驱动小牛
  • 注册日期2005-12-20
  • 最后登录2014-01-03
  • 粉丝4
  • 关注2
  • 积分172分
  • 威望1475点
  • 贡献值0点
  • 好评度115点
  • 原创分0分
  • 专家分0分
写私信
7楼#
发布于:2008-05-01 00:15
学习中,大家继续
回复(0) 喜欢(0)
icesword
icesword
驱动牛犊
驱动牛犊
  • 注册日期2002-06-03
  • 最后登录2009-10-10
  • 粉丝0
  • 关注0
  • 积分3分
  • 威望52点
  • 贡献值0点
  • 好评度22点
  • 原创分0分
  • 专家分0分
写私信
8楼#
发布于:2008-04-28 12:05
关于磁盘IO,一般驱动是没权限作的吧
你怎么提升权限,我就怎么禁止你提升,说到底还是谁先启动的问题
回复(0) 喜欢(0)
zxl250
zxl250
驱动牛犊
驱动牛犊
  • 注册日期2007-12-02
  • 最后登录2016-01-09
  • 粉丝2
  • 关注0
  • 积分-3分
  • 威望283点
  • 贡献值0点
  • 好评度23点
  • 原创分0分
  • 专家分0分
写私信
9楼#
发布于:2008-03-15 01:40
高手还是出来了
有对还原驱动 及其保护很厉害 很感兴趣的可以和我联系
谢谢大家的关注
不知道这些大牛牛们每天都在忙啥呢?
能解决问题的肯定是有报酬的啦
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
10楼#
发布于:2008-03-14 16:37
http://bbs.360safe.com/viewthread.php?tid=459812&extra=page%3D1
楼主欢迎免费使用或捆绑360还原保护产品到你的还原产品上

360安全卫士可为您的还原系统提供最专业的防护
驱动开发者 呵呵
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
11楼#
发布于:2008-03-14 13:35
VM啊,不需要硬件啊,有CPU就可以啊

根本不需要新添硬件啦~
驱动开发者 呵呵
回复(0) 喜欢(0)
studehard
studehard
驱动牛犊
驱动牛犊
  • 注册日期2008-02-28
  • 最后登录2008-03-31
  • 粉丝0
  • 关注0
  • 积分150分
  • 威望16点
  • 贡献值0点
  • 好评度15点
  • 原创分1分
  • 专家分0分
写私信
12楼#
发布于:2008-03-14 13:30
sorry ,我也不熟悉网吧........很少去的


用VM就清不掉了,直接VMEVENT了~
============================

呵呵,要是想要效率的话,我有个硬件级IO指令过滤方案:
就是用硬件重定位硬盘端口! 比如把IDE硬盘用硬件做成USB接口或者串口或者网卡接口,
再在软件层拦截IRP操作重定向到新的端口,就可以彻底残废那些直接IO写硬盘的勾当啦....
回复(0) 喜欢(0)
wowocock
wowocock
VIP专家组
VIP专家组
  • 注册日期2002-04-08
  • 最后登录2016-01-09
  • 粉丝16
  • 关注2
  • 积分601分
  • 威望1651点
  • 贡献值1点
  • 好评度1227点
  • 原创分1分
  • 专家分0分
写私信
13楼#
发布于:2008-03-14 10:57
VM基本声已经接近硬件层了,不过要做个稳定可用的VM也不容易啊 .我现在看VM就吐血......
花开了,然后又会凋零,星星是璀璨的,可那光芒也会消失。在这样 一瞬间,人降生了,笑者,哭着,战斗,伤害,喜悦,悲伤憎恶,爱。一切都只是刹那间的邂逅,而最后都要归入死亡的永眠
回复(0) 喜欢(0)
WQXNETQIQI
WQXNETQIQI
驱动大牛
驱动大牛
  • 注册日期2006-06-12
  • 最后登录2010-10-26
  • 粉丝0
  • 关注0
  • 积分13分
  • 威望1076点
  • 贡献值0点
  • 好评度895点
  • 原创分1分
  • 专家分0分
写私信
14楼#
发布于:2008-03-14 00:29
MJ说的I/O监视也有办法穿透,可以绑定所有的CPU,然后全部cli后清除DRX,  用I/O指令写盘后再还原DRX .....

====
用VM就清不掉了,直接VMEVENT了~
 
驱动开发者 呵呵
回复(0) 喜欢(0)
zxl250
zxl250
驱动牛犊
驱动牛犊
  • 注册日期2007-12-02
  • 最后登录2016-01-09
  • 粉丝2
  • 关注0
  • 积分-3分
  • 威望283点
  • 贡献值0点
  • 好评度23点
  • 原创分0分
  • 专家分0分
写私信
15楼#
发布于:2008-03-14 00:07
studehard 你好!
看来你对网吧行业的技术挺熟悉的!
可以留下你的联系方式吗?
看有没有合作的机会!
如果有对网吧管理软件比较感兴趣的可以和我联系啊
只要技术好 大家应该有合作的机会的
回复(0) 喜欢(0)
studehard
studehard
驱动牛犊
驱动牛犊
  • 注册日期2008-02-28
  • 最后登录2008-03-31
  • 粉丝0
  • 关注0
  • 积分150分
  • 威望16点
  • 贡献值0点
  • 好评度15点
  • 原创分1分
  • 专家分0分
写私信
16楼#
发布于:2008-03-13 09:43
另外特别说一下,大家认为还原卡是硬件还原,是大错特错!
还原卡的工作方式和所有的还原软件工作方式是一样的,都是在软件层过滤和重定向磁盘操作,
还原卡和其他还原软件唯一不同的是还原卡可以抢在操作系统(包括光盘启动)启动前就发挥作用!
工作方式是纯软件的.

而真正的硬件级还原卡可能很多人没见过,那卡连接在硬盘IDE接口上,拦截的是I/O操作的电子信号
! 不会占用任何系统资源!而且不会被穿透
回复(0) 喜欢(0)
studehard
studehard
驱动牛犊
驱动牛犊
  • 注册日期2008-02-28
  • 最后登录2008-03-31
  • 粉丝0
  • 关注0
  • 积分150分
  • 威望16点
  • 贡献值0点
  • 好评度15点
  • 原创分1分
  • 专家分0分
写私信
17楼#
发布于:2008-03-13 09:36
网吧使用的无盘系统,是穿不透的!
因为所有的本地磁盘操作通过网卡发送给主机,在主机那头被完全的转化为主机的文件cache操作,
根本就没有穿透这个概念!!!!

还有使用硬件还原卡,不是普通的那种!! 是纯硬件的,那卡插在硬盘IDE接口线上,真正的是对IO口
电子信号进行过滤和重定向! 也是穿不透的...只是价格很贵!

所谓的穿透,都是针对本机的软还原方式
MJ说的I/O监视也有办法穿透,可以绑定所有的CPU,然后全部cli后清除DRX,  用I/O指令写盘后再还原DRX .....


 
回复(0) 喜欢(0)
ks12345
ks12345
驱动小牛
驱动小牛
  • 注册日期2006-09-21
  • 最后登录2016-01-09
  • 粉丝0
  • 关注0
  • 积分7分
  • 威望223点
  • 贡献值0点
  • 好评度189点
  • 原创分0分
  • 专家分0分
写私信
18楼#
发布于:2008-03-12 21:23
Thinking
回复(0) 喜欢(0)
killvxk
killvxk
论坛版主
论坛版主
  • 注册日期2005-10-03
  • 最后登录2014-04-14
  • 粉丝3
  • 关注1
  • 积分1082分
  • 威望2003点
  • 贡献值0点
  • 好评度1693点
  • 原创分2分
  • 专家分0分
写私信
19楼#
发布于:2008-03-11 23:22
现在新病毒每天成K的出现,免杀版本到处都是~~~
没有战争就没有进步 X3工作组 为您提供最好的军火
回复(0) 喜欢(0)
上一页
游客

关于phpwind联系我们问题反馈程序建议

Powered by phpwind v9.0.2 ©2003-2015 phpwind.com 京ICP备05006834号

返回顶部