浅谈两种简单的还原/影子系统穿透方法
本帖最后由 JuncoJet 于 2019-2-21 10:24 编辑一种是比较传统的,使用X86 IO,对IDE硬盘进行读写,
目前没有可以防御住该类读写的还原或者影子系统。但是IDE硬盘比较久远,现在用的电脑不是很多,所以可能他们这些软件并不是很关注这个问题。
使用该方法的软件,CrDisk(硬盘保护卡克星),对 0x102-0x107端口进行IO,未文档化或者为扩展的X86 IO端口。
重新分析了下,修正了之前的看法。他使用了0x1F2-0x1F7端口对硬盘进行操作,是标准的X86 IO,可以在网上搜索到具体使用方法。
bochs上可以看到ATA通道0使用1F0端口,通道1使用170端口。SCSI/SATA的可同理,只是资料比较少,成功后更新POC。
另外一种通用性相对较高,对\GLOBAL??\PhysicalDrive%d设备进行读写,绝大多数还原或影子不能防御,像Shadow Defender的应对措施就是强制重启你的电脑。
使用该方法的软件,Sector Editor,如果结合文件系统结构,就可以很轻松的改写硬盘上的任何一个文件。
---
更新
有网友谈论冰点,可以很负责的说冰点的安全性不如Shadow Defender,很容易被穿透。
就算是Shadow Defender,也有穿透的可能,一键转储commit.exe,如果没有设置密码,
可能被其他程序调用,被注入(针对于需要签名或所有权验证的情况,没有验证的话可以直接对内核对象进行IO无需注入),利用、穿透。
有设置密码也并不绝对的安全,设置密码的话Ring0下还是能Patch密码验证过程从而穿透。
感兴趣的话可以参看一下我写过的一款主动防御 EzH!PS 的核心思路。http://www.vbgood.com/thread-97267-1-1.html
https://attach.52pojie.cn/forum/201902/18/151948vkbuh3o33thjooh3.jpg
https://attach.52pojie.cn/forum/201902/18/151949m1v15ev05txv4c1b.jpg
---
更新
补上完整的转储过程日志,可在附件里下载
转储完成会从内核设备\\.\DpControl中读出文件(这不绝对,才不说ReadFile也能用做写文件),读写大小正好为文件大小
第25号文件里面有转储的文件名,但没有路径。
---
更新,自己写了个驱动穿透IDE硬盘,上传录像
回复楼主的学习研究成果 表示拜膜!
但是我想说的是 转储文件是必然可以穿透木马的!但是!不会运行! 具体原理你肯定懂!
当一个文件感染了!你要转储那个文件是必然携带木马!
而相对来说,就算转储了。还要看转储那些类型的文件,是否能确认在这个系统下运行!比如目前 兼容性较差的 WIN10 函数调用包括HOOK都目前没超过三个大牛可以超过某些版本!
更别说咱们这些小罗喽了!!!
在,用影子系统的时候 ,本身就带杀毒系统,或者关闭杀毒系统,病毒根本不运行。。。。
上次咱们论坛说出现一个很厉害的病毒,我在虚拟机上测试了!完成杀除!
我说在本机运行试试。。。。此时亮了!病毒根本打不开!。。。。不运行 目前大多数我看到的木马可以运行的只有MGR那一块的蠕虫!但是无法注入主线程进行感染 ,形成不了宿主!达不成感染的目的!
“强制重起你的电脑”→→→“强制重启你的电脑”
抱歉,上面是我的强迫症,感谢大佬分享{:1_927:} 然后呢 有什么用 有什么价值原谅我我什么都不懂 冰点还原也行? 讲了半天有什么用? 簟纹灯影 发表于 2019-2-18 11:24
“强制重起你的电脑”→→→“强制重启你的电脑”
抱歉,上面是我的强迫症,感谢大佬分享
是的错了一个字。 冰点还原不行,我启用了冰点,结果首页总是被改成http://hao.eyy5.cn/7654.html,而且无法修改,注册表没有 学习学习
强制重启你的电脑 学习学习