lgjmfyx的博客

享受生活每一天

日志

关于我

lgjmfyx

博客搬家到 http://hi.baidu.com/lgjmfyx/blog 请大家光临

文章分类

NTFS之HARDLINK攻防

2008-10-28 12:41:23| 分类：默认分类 | 标签： |举报 |字号大中小订阅

下载LOFTER 我的照片书 |

NTFS之HARDLINK攻防

本帖被 xIkUg 执行置顶操作(2008-10-13)

爆老技术啊爆老技术~

NTFS支持一种HARDLINK技术，可以将两个文件“硬连接”起来，其实原理很简单，两个文件共享同样的fie record，操作一个文件相当与操作另一个文件，包括相关属性，删除其中一个，另一个会保留原有的数据存在~

可使用系统工具fsutil.exe来创建一个硬连接，也可以使用windows提供的相关API、FSCTL来实现

fsutil hardlink create c:\1.txt c:\2.txt，即可建立c:\2.txt的连接,c:\1.txt

那么用于攻防，能做什么呢，简单就想到啦，使用文件路径过滤的同学们就惨了

pryrege.sys是一个最近流行的木马程序，其包含了一个文件系统过滤驱动，当你去删除他的文件的时候，他会假装返回成功了，实际是失败了~另外它的驱动有只读属性，并且不允许你修改它的属性，所以要写入也是不行的了~

你以为怎么清除它？上驱动?NONONO，没必要啊，hardlink来帮忙

我们首先用fsutil创建一个对它的hardlink, c:\2.txt，如图1

=700) window.open('http://www.debugman.com/attachment/Fid_10/10_3842_e02a99bf4ce5350.jpg');" border=0 src="http://www.debugman.com/attachment/Fid_10/10_3842_e02a99bf4ce5350.jpg" >'700')this.width='700';">
你会发现，2.txt也是有只读属性的，没关系，将c:\2.txt的属性只读去掉

此时pryrege.sys的只读属性也没了，如图2

=700) window.open('http://www.debugman.com/attachment/Fid_10/10_3842_4e436e718129183.jpg');" border=0 src="http://www.debugman.com/attachment/Fid_10/10_3842_4e436e718129183.jpg" >'700')this.width='700';">
我们来用记事本把2.txt的内容清空~

你会发现pryrege.sys也变成0字节空文件了~~ ,如图3：

=700) window.open('http://www.debugman.com/attachment/Fid_10/10_3842_130e739c7fd3641.jpg');" border=0 src="http://www.debugman.com/attachment/Fid_10/10_3842_130e739c7fd3641.jpg" >'700')this.width='700';">

至此，该木马作者哼哧哼哧地捣鼓出了个20多K的文件过滤狗屎驱动，只要一行命令就把他搞定了~

当然hardlink也是有攻防两面性的，例如用来删除或改写卡巴7的文件~ 用来读取被XX文件安全岛保护的文件~等等，技术是双刃剑啊~看你怎么用了。

不过，360的自我保护早考虑到这块，彻底抛弃了原始的路径过滤方法了，如图~ 没法给360的程序创建硬连接的，另外，即使你创建成功了，操作也无法成功映射过去，至于这点怎么做到的~碍于职业道德，我就不说啦~大伙自己研究吧~

=700) window.open('http://www.debugman.com/attachment/Fid_10/10_3842_ab444d7269adfd4.jpg');" border=0 src="http://www.debugman.com/attachment/Fid_10/10_3842_ab444d7269adfd4.jpg" >'700')this.width='700';">

NTFS之HARDLINK攻防第二版

本帖被 xIkUg 执行置顶操作(2008-10-13)

Hardlink 之文件蹲坑~

首先用oo.exe蹲坑一个文件 c:\1.txt~
可以看到文件打不开了~

图1：

=700) window.open('http://www.debugman.com/attachment/Fid_10/10_3842_791023878d86a74.jpg');" border=0 src="http://www.debugman.com/attachment/Fid_10/10_3842_791023878d86a74.jpg" width=700 onload="if(this.width>'700')this.width='700';">

然后fsutil.exe hardlink create c:\7.txt c:\1.txt

创建硬链接~

图2：

=700) window.open('http://www.debugman.com/attachment/Fid_10/10_3842_9c9d45550104bb4.jpg');" border=0 src="http://www.debugman.com/attachment/Fid_10/10_3842_9c9d45550104bb4.jpg" onload="if(this.width>'700')this.width='700';">

你会发现7.txt也被独占了~打不开啊打不开，

图3：

=700) window.open('http://www.debugman.com/attachment/Fid_10/10_3842_13703300a1ee83e.jpg');" border=0 src="http://www.debugman.com/attachment/Fid_10/10_3842_13703300a1ee83e.jpg" width=700 onload="if(this.width>'700')this.width='700';">

当你去拿着7.txt去unlockme，去process explorer.,去超级巡警暴力删除地时候，你会发现，找不到啊找不到，删不到啊删不到

图4：who lock me 啊，找不到找不到~

=700) window.open('http://www.debugman.com/attachment/Fid_10/10_3842_30c231b3a013bb0.jpg');" border=0 src="http://www.debugman.com/attachment/Fid_10/10_3842_30c231b3a013bb0.jpg" width=700 onload="if(this.width>'700')this.width='700';">

因为这些喜欢跑到别人进程里去关句柄的SB删除工具，完全不知道是由于1.txt被蹲坑了，所以7.txt才被蹲坑了

因此这样的文件unlockme, process explorer , 超级巡警暴力删除都傻眼了，傻眼了

恩，所以说，牛比还是360啊

我们的XCB大法就可以干掉这个文件了

图5~， XCB大法测试工具，force delete后 7.txt瞬间消失~

=700) window.open('http://www.debugman.com/attachment/Fid_10/10_3842_45bb868c1b9073f.jpg');" border=0 src="http://www.debugman.com/attachment/Fid_10/10_3842_45bb868c1b9073f.jpg" width=700 onload="if(this.width>'700')this.width='700';">

[ 此贴被MJ0011在2008-10-13 08:15重新编辑 ]

我是乖娃娃

Posted: 2008-10-13 03:45 | [楼主]

MJ0011

我是乖娃娃

级别: RCT成员
精华: 20
发帖: 1009
声望: 56 点
DM币: 3335 元
贡献: 0 点
注册时间:2007-06-04
最后登录:2008-10-28

补充一点，使用磁盘层抹文件的方法，确实也可以删除掉这个7.txt,

不过危险的是，用磁盘层方法会导致1.txt也被干掉，因为是共享的FILE RECORD~，这时候如果攻击者拿c:\windows\system32\config\system去站坑~磁盘层白痴删除工具，就傻眼了傻眼了

所以磁盘删除文件啊，不靠谱啊不靠谱~

XCB大法就不会有这个问题，删除完7.TXT后，只是1.txt被解除占用，1.txt的数据仍然保留得好好的~

因此XCB大法结合HARDLINK其实可以变相解锁文件~例如先拿HIVEhardlink占坑4.txt,然后XCB大法删除4.txt,此时hive就可以正常访问了~

见图~：
=700) window.open('http://www.debugman.com/attachment/Fid_10/10_3842_5c7e51998905e30.jpg');" border=0 src="http://www.debugman.com/attachment/Fid_10/10_3842_5c7e51998905e30.jpg" width=700 onload="if(this.width>'700')this.width='700';">

但其实文件的句柄仍在，SYSTEM进程仍然可以正常访问System hive~

见图：

=700) window.open('http://www.debugman.com/attachment/Fid_10/10_3842_c9191b333ee0e53.jpg');" border=0 src="http://www.debugman.com/attachment/Fid_10/10_3842_c9191b333ee0e53.jpg" onload="if(this.width>'700')this.width='700';">

所以说XCB大法是安全解锁~不伤句柄~

引文来源 NTFS之HARDLINK攻防 DebugMan - 第8个男人逆向工程/开发/系统底层/Rootkit/Anti-Rootkit - powered by phpwind.net

评论这张

转发至微博

阅读(438)| 评论(0)

历史上的今天

this.p={  m:2,
              b:2,
              loftPermalink:'',
              id:'fks_085064093087089070092095086095080080088070081086081068',
              blogTitle:'NTFS之HARDLINK攻防',
              blogAbstract:'<H4\>NTFS之HARDLINK攻防</H4\>\r\n<DIV style=\"WIDTH: auto\"\>本帖被 xIkUg 执行置顶操作(2008-10-13) </DIV\>\r\n<DIV\></DIV\>\r\n<DIV\>爆老技术啊爆老技术~<BR\><BR\><BR\>NTFS支持一种HARDLINK技术，可以将两个文件“硬连接”起来，其实原理很简单，两个文件共享同样的fie record，操作一个文件相当与操作另一个文件，包括相关属性，删除其中一个，另一个会保留原有的数据存在~<BR\><BR\>可使用系统工具fsutil.exe来创建一个硬连接，也可以使用windows提供的相关API、FSCTL来实现<BR\><BR\>fsutil hardlink create c:\\1.txt c:\\2.txt，即可建立c:\\2.txt的连接,c:\\1.txt<BR\><BR\><BR\>那么用于攻防，能做什么呢，简单就想到啦，使用文件路径过滤的同学们就惨了</DIV\>',
              blogTag:'',
              blogUrl:'blog/static/46955077200892804123222',
              isPublished:1,
              istop:false,
              type:0,
              modifyTime:1225169244082,
              publishTime:1225168883222,
              permalink:'blog/static/46955077200892804123222',
              commentCount:0,
              mainCommentCount:0,
              recommendCount:0,
              bsrk:-100,
              publisherId:0,
              recomBlogHome:false,
              currentRecomBlog:false,
              attachmentsFileIds:[],
              vote:{},
              groupInfo:{},
              friendstatus:'none',
              followstatus:'unFollow',
              pubSucc:'',
              visitorProvince:'',
              visitorCity:'',
              visitorNewUser:false,
              postAddInfo:{},
              mset:'000',
              mcon:'',
              srk:-100,
              remindgoodnightblog:false,
              isBlackVisitor:false,
              isShowYodaoAd:false,
              hostIntro:'博客搬家到 http://hi.baidu.com/lgjmfyx/blog    请大家光临',
              hmcon:'0',
              selfRecomBlogCount:'0',
              lofter_single:'<iframe width="140" height="560" style="overflow:hidden;" src="http://www.lofter.com/mailEntry.do?blogad=1&blog" frameBorder="0"></iframe>'
            }

{list a as x}
    {if !!x}
    <div class="iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
      {if x.visitorName==visitor.userName}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.visitorNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.visitorName)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        {if x.moveFrom=='wap'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/wapblog.html?frompersonalbloghome"><span title="来自网易手机博客" class="iblock wapIcon"> </span></a>
        {elseif x.moveFrom=='iphone'}
          <a class="noul pnt" target="_blank"><span title="来自iPhone客户端" class="iblock iphoneIcon"> </span></a>
        {elseif x.moveFrom=='android'}
          <a class="noul pnt" target="_blank"><span title="来自Android客户端" class="iblock androidIcon"> </span></a>
        {elseif x.moveFrom=='mobile'}
          <a class="noul pnt" target="_blank" href="http://blog.163.com/services/emsblog.html?frompersonalbloghome"><span title="来自网易短信写博" class="iblock wapIcon"> </span></a>
        {/if}
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.visitorName}/">
          ${fn(x.visitorNickname,8)|escape}
        </a>
      </div>
    </div>
    {/if}
    {/list}

<#--最新日志，群博日志--> <#--推荐日志-->

<p class="fc06">推荐过这篇日志的人：</p>
    <div>
      {list a as x}
      {if !!x}
      <div class="iblock nbw-fce nbw-f40">
        <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
        <img alt="${x.recommenderNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.recommenderName)}"/>
        </a>
        <div class="cwd thide">
          <a class="fc03 m2a" target="_blank" hidefocus="true" href="http://blog.163.com/${x.recommenderName}/">
            ${fn(x.recommenderNickname,6)|escape}
          </a>
        </div>
      </div>
      {/if}
      {/list}
    </div>
    {if !!b&&b.length>0}
    <p  class="fc06">他们还推荐了：</p>
    <ul>
    {list b as y}
      {if !!y}
        <li class="rrb"><span class="iblock">·</span><a class="fc03 m2a" target="_blank" href="http://blog.163.com/${y.recommendBlogPermalink}/?from=blog/static/46955077200892804123222">${y.recommendBlogTitle|escape}</a></li>
      {/if}
    {/list}
    </ul>
    {/if}

<#--引用记录--> <#--博主推荐--> <#--随机阅读--> <#--首页推荐--> <#--历史上的今天--> <#--被推荐日志--> <#--上一篇，下一篇--> <#-- 热度 -->

{list a as x}
    {if !!x}
    <div class="hotItem iblock nbw-fce nbw-f40">
      <a class="fc03 noul" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
      {if x.publisherUsername==visitor.userName}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}&r=${visitor.imageUpdateTime}"/>
      {else}
      <img alt="${x.publisherNickname|escape}" onerror="this.src=location.f40" class="cwd bdwa bdc0" src="${fn1(x.publisherUsername)}"/>
      {/if}
      </a>
      <div class="cwd vname thide">
        <a class="fc03 m2a"  target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/">
          ${fn(x.publisherNickname,8)|escape}
        </a>
      </div>
      <a class="f-myLikeIcons hottype {if x.type==1} js-liketype{elseif x.type==2} js-reblogtype{elseif x.type==3} js-sharetype{else}{/if}" target="_blank" hidefocus="true" href="http://blog.163.com/${x.publisherUsername}/"> </a>
    </div>
    {/if}
    {/list}

<#-- 网易新闻广告 --> <#--右边模块结构--> <#--评论模块结构--> <#--引用模块结构--> <#--博主发起的投票-->

页脚

我的照片书 - 手机博客 - 下载LOFTER APP - 订阅此博客

lgjmfyx的博客

导航

日志

NTFS之HARDLINK攻防

NTFS之HARDLINK攻防

NTFS之HARDLINK攻防第二版

历史上的今天

最近读者

热度

评论

页脚