浅谈两种简单的还原/影子系统穿透方法

形腿望舞

一种是比较传统的，使用X86 IO，对IDE硬盘进行读写，
目前没有可以防御住该类读写的还原或者影子系统。但是IDE硬盘比较久远，现在用的电脑不是很多，所以可能他们这些软件并不是很关注这个问题。
使用该方法的软件，CrDisk（硬盘保护卡克星），<strike>对 0x102-0x107端口进行IO，未文档化或者为扩展的X86 IO端口。</strike>
重新分析了下，修正了之前的看法。他使用了0x1F2-0x1F7端口对硬盘进行操作，是标准的X86 IO，可以在网上搜索到具体使用方法。
bochs上可以看到ATA通道0使用1F0端口，通道1使用170端口。SCSI/SATA的可同理，只是资料比较少，成功后更新POC。





另外一种通用性相对较高，对\GLOBAL??\PhysicalDrive%d设备进行读写，绝大多数还原或影子不能防御，像Shadow Defender的应对措施就是强制重启你的电脑。
使用该方法的软件，Sector Editor，如果结合文件系统结构，就可以很轻松的改写硬盘上的任何一个文件。




---
更新
有网友谈论冰点，可以很负责的说冰点的安全性不如Shadow Defender，很容易被穿透。
就算是Shadow Defender，也有穿透的可能，一键转储commit.exe，如果没有设置密码，
可能被其他程序调用，被注入（针对于需要签名或所有权验证的情况，没有验证的话可以直接对内核对象进行IO无需注入），利用、穿透。
有设置密码也并不绝对的安全，设置密码的话Ring0下还是能Patch密码验证过程从而穿透。
感兴趣的话可以参看一下我写过的一款主动防御 EzH!PS 的核心思路。http://www.vbgood.com/thread-97267-1-1.html




---
更新
补上完整的转储过程日志，可在附件里下载



转储完成会从内核设备\\.\DpControl中读出文件（这不绝对，才不说ReadFile也能用做写文件），读写大小正好为文件大小



第25号文件里面有转储的文件名，但没有路径。



---
更新，自己写了个驱动穿透IDE硬盘，上传录像

录像1.part1.rar录像1.part2.rar

HookIO.rar
1.35 MB, 下载次数: 11, 下载积分: 吾爱币 -1 CB

分析日志

来源：http://www.12558.net
免责声明：如果侵犯了您的权益，请联系站长，我们会及时删除侵权内容，谢谢合作！