12558网页游戏私服论坛

 找回密码
 立即注册
游戏开服表 申请开服
游戏名称 游戏描述 开服状态 游戏福利 运营商 游戏链接
攻城掠地-仿官 全新玩法,觉醒武将,觉醒技能 每周新区 经典复古版本,长久稳定 进入游戏
巅峰新版攻 攻城掠地公益服 攻城掠地SF 新兵种、新武将(兵种) 进入游戏
攻城掠地公 散人玩家的天堂 新开 进入游戏
改版攻城掠 上线即可国战PK 稳定新区 全新改版,功能强大 进入游戏
少年江山 高福利高爆率 刚开一秒 江湖水落潜蛟龙 进入游戏
太古封魔录 开服送10亿钻石 福利多多 不用充钱也可升级 进入游戏
神魔之道 签到送元宝 稳定开新区 送豪华签到奖励 进入游戏
神奇三国 统帅三军,招揽名将 免费玩新区 激情国战,征战四方 进入游戏
龙符 三日豪礼领到爽 天天开新区 助你征战无双 进入游戏
王者之师 免费领豪华奖励 免费玩新区 6元送6888元宝 进入游戏
三国霸业 战车-珍宝-觉醒-攻城掠地SF-全新玩法 免费玩新区 攻城掠地私服 进入游戏
手游私服盒子 各类免费游戏 0.1折送海量资源 各类手游私服 进入游戏
皇家MU2 《奇迹 2:传奇》韩国网禅公司《奇迹》正统续作。 3D锁视角Mmrpg 暗黑3+传奇+流放之路+奇迹 进入游戏
查看: 574|回复: 0

浅谈两种简单的还原/影子系统穿透方法

[复制链接]
发表于 2019-8-21 10:25:08 | 显示全部楼层 |阅读模式
一种是比较传统的,使用X86 IO,对IDE硬盘进行读写,
目前没有可以防御住该类读写的还原或者影子系统。但是IDE硬盘比较久远,现在用的电脑不是很多,所以可能他们这些软件并不是很关注这个问题。
使用该方法的软件,CrDisk(硬盘保护卡克星),<strike>对 0x102-0x107端口进行IO,未文档化或者为扩展的X86 IO端口。</strike>
重新分析了下,修正了之前的看法。他使用了0x1F2-0x1F7端口对硬盘进行操作,是标准的X86 IO,可以在网上搜索到具体使用方法。
bochs上可以看到ATA通道0使用1F0端口,通道1使用170端口。SCSI/SATA的可同理,只是资料比较少,成功后更新POC。





另外一种通用性相对较高,对\GLOBAL??\PhysicalDrive%d设备进行读写,绝大多数还原或影子不能防御,像Shadow Defender的应对措施就是强制重启你的电脑。
使用该方法的软件,Sector Editor,如果结合文件系统结构,就可以很轻松的改写硬盘上的任何一个文件。




---
更新
有网友谈论冰点,可以很负责的说冰点的安全性不如Shadow Defender,很容易被穿透。
就算是Shadow Defender,也有穿透的可能,一键转储commit.exe,如果没有设置密码,
可能被其他程序调用,被注入(针对于需要签名或所有权验证的情况,没有验证的话可以直接对内核对象进行IO无需注入),利用、穿透。
有设置密码也并不绝对的安全,设置密码的话Ring0下还是能Patch密码验证过程从而穿透。
感兴趣的话可以参看一下我写过的一款主动防御 EzH!PS 的核心思路。http://www.vbgood.com/thread-97267-1-1.html




---
更新
补上完整的转储过程日志,可在附件里下载



转储完成会从内核设备\\.\DpControl中读出文件(这不绝对,才不说ReadFile也能用做写文件),读写大小正好为文件大小



第25号文件里面有转储的文件名,但没有路径。



---
更新,自己写了个驱动穿透IDE硬盘,上传录像

录像1.part1.rar录像1.part2.rar

HookIO.rar
1.35 MB, 下载次数: 4, 下载积分: 吾爱币 -1 CB

分析日志

来源:http://www.12558.net
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
楼主热帖
回复

使用道具 举报

*滑块验证:
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|12558网页游戏私服论坛 |网站地图

GMT+8, 2024-11-28 11:44 , Processed in 0.093750 second(s), 31 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表