阅读:6156回复:42
救命!磁盘过滤被穿透了
我做了磁盘过滤驱动 主要是用于还原的
但发现机器狗能穿透我的驱动 好像机器狗的都能穿透 我是用diskperf来做的 大家来讨论下机器狗的原理及其防范的方法! |
|
最新喜欢:angles |
沙发#
发布于:2008-06-12 18:23
看来大家都是高手哦,,
谁能搞个native 程序,,,使用的时候可以检测指定文件的 md5hash 不同就从别的位置复制一份来, 就这样的程序应该就可以防狗了 |
|
板凳#
发布于:2008-05-29 16:07
穿透了也没法创建文件,还原卡会恢复fat 表
|
|
地板#
发布于:2008-05-25 02:10
sata硬盘好像不能io吧,我找了很久都没有资料
另外我上次在学校机房用sectoreditor,那机器是p4+256m+fx5200的,猜也知道是ide硬盘,可还是被还原了 楼上说的好bios rootkit不知道对无盘系统有用不, |
|
地下室#
发布于:2008-05-16 21:28
穿还原度么没有意思,还是bios好~
防格式化~ |
|
|
5楼#
发布于:2008-05-15 22:55
直接用IDE命令写磁盘吧。呵呵。
|
|
|
6楼#
发布于:2008-05-04 15:16
mvp帖子!
|
|
7楼#
发布于:2008-05-01 00:15
学习中,大家继续
|
|
8楼#
发布于:2008-04-28 12:05
关于磁盘IO,一般驱动是没权限作的吧
你怎么提升权限,我就怎么禁止你提升,说到底还是谁先启动的问题 |
|
9楼#
发布于:2008-03-15 01:40
高手还是出来了
有对还原驱动 及其保护很厉害 很感兴趣的可以和我联系 谢谢大家的关注 不知道这些大牛牛们每天都在忙啥呢? 能解决问题的肯定是有报酬的啦 |
|
10楼#
发布于:2008-03-14 16:37
http://bbs.360safe.com/viewthread.php?tid=459812&extra=page%3D1
楼主欢迎免费使用或捆绑360还原保护产品到你的还原产品上 360安全卫士可为您的还原系统提供最专业的防护 |
|
|
11楼#
发布于:2008-03-14 13:35
VM啊,不需要硬件啊,有CPU就可以啊
根本不需要新添硬件啦~ |
|
|
12楼#
发布于:2008-03-14 13:30
sorry ,我也不熟悉网吧........很少去的
用VM就清不掉了,直接VMEVENT了~ ============================ 呵呵,要是想要效率的话,我有个硬件级IO指令过滤方案: 就是用硬件重定位硬盘端口! 比如把IDE硬盘用硬件做成USB接口或者串口或者网卡接口, 再在软件层拦截IRP操作重定向到新的端口,就可以彻底残废那些直接IO写硬盘的勾当啦.... |
|
13楼#
发布于:2008-03-14 10:57
VM基本声已经接近硬件层了,不过要做个稳定可用的VM也不容易啊 .我现在看VM就吐血......
|
|
|
14楼#
发布于:2008-03-14 00:29
MJ说的I/O监视也有办法穿透,可以绑定所有的CPU,然后全部cli后清除DRX, 用I/O指令写盘后再还原DRX .....
==== 用VM就清不掉了,直接VMEVENT了~ |
|
|
15楼#
发布于:2008-03-14 00:07
studehard 你好!
看来你对网吧行业的技术挺熟悉的! 可以留下你的联系方式吗? 看有没有合作的机会! 如果有对网吧管理软件比较感兴趣的可以和我联系啊 只要技术好 大家应该有合作的机会的 |
|
16楼#
发布于:2008-03-13 09:43
另外特别说一下,大家认为还原卡是硬件还原,是大错特错!
还原卡的工作方式和所有的还原软件工作方式是一样的,都是在软件层过滤和重定向磁盘操作, 还原卡和其他还原软件唯一不同的是还原卡可以抢在操作系统(包括光盘启动)启动前就发挥作用! 工作方式是纯软件的. 而真正的硬件级还原卡可能很多人没见过,那卡连接在硬盘IDE接口上,拦截的是I/O操作的电子信号 ! 不会占用任何系统资源!而且不会被穿透 |
|
17楼#
发布于:2008-03-13 09:36
网吧使用的无盘系统,是穿不透的!
因为所有的本地磁盘操作通过网卡发送给主机,在主机那头被完全的转化为主机的文件cache操作, 根本就没有穿透这个概念!!!! 还有使用硬件还原卡,不是普通的那种!! 是纯硬件的,那卡插在硬盘IDE接口线上,真正的是对IO口 电子信号进行过滤和重定向! 也是穿不透的...只是价格很贵! 所谓的穿透,都是针对本机的软还原方式 MJ说的I/O监视也有办法穿透,可以绑定所有的CPU,然后全部cli后清除DRX, 用I/O指令写盘后再还原DRX ..... |
|
18楼#
发布于:2008-03-12 21:23
|
|
|
19楼#
发布于:2008-03-11 23:22
现在新病毒每天成K的出现,免杀版本到处都是~~~
|
|
|
上一页
下一页