A-A+

浅谈两种简单的还原/影子系统穿透方法

2019年02月18日 网络安全相关 暂无评论 阅读 100 views 次

一种是比较传统的,使用X86 IO,对IDE硬盘进行读写,
目前没有可以防御住该类读写的还原或者影子系统。但是IDE硬盘比较久远,现在用的电脑不是很多,所以可能他们这些软件并不是很关注这个问题。
使用该方法的软件,CrDisk(硬盘保护卡克星),对 0x102-0x107端口进行IO,未文档化或者为扩展的X86 IO端口。

另外一种通用性相对较高,对\GLOBAL??\PhysicalDrive%d设备进行读写,绝大多数还原或影子不能防御,像Shadow Defender的应对措施就是强制重起你的电脑。
使用该方法的软件,Sector Editor,如果结合文件系统结构,就可以很轻松的改写硬盘上的任何一个文件。

标签:

给我留言

您必须 登录 才能发表留言!

Copyright © 软件智博 保留所有权利.   Theme  Ality 鲁ICP备17027378号

用户登录 ⁄ 注册