[原创]也学NTFS格式磁盘解析及atapi磁盘读写

news/2024/11/29 3:47:33/

[原创]也学NTFS格式磁盘解析及atapi磁盘读写

信息来源:邪恶八进制信息安全团队( www.eviloctal.com)
文章作者:Styxal

这个么……其实是某门课的大作业……自选题,于是就选了解析 NTFS格式 磁盘及Atapi读写,主要目的还是……破隐藏、穿还原、 强删文件
因为时间关系,很多地方还有各种Bug,先不调了……反正重点在 解析和Hack NTFS格式磁盘,至于那个Atapi读写……直接挪的 机器狗代码……

NTFS上删除一个文件应该是像下面这样的步骤:
i.   若该文件非驻留,找到该文件的数据占有的簇在$Bitmap位图中相应位置,对应的占有位由1改为0
ii.  将$MFT中该文件记录+0x16位设为0(表示该文件记录已废)
iii. 将$MFT的$BitMap属性(位图)中对应的占有位由1改为0 即:$MFT.$BitMap[FileId / 8] ^= 1 << (FileId % 8);
iv.  读入该文件所在的目录文件,遍历并找到待删文件记录,将待删文件记录后面所有记录覆盖到待删文件记录起始处
v.   重新计算目录文件的校验序列(否则刷新Cache后Windows会禁止打开该目录,Chkdsk也会报错)

vi.  刷新Cache

当然其实这只是Windows删文件的步骤,如果要让Windows找不到一个文件,进行第4、5步即可, 事实上,很多防删即便做到HAL级也是有Bug的,都是对自己防护而没有对自己所在的目录进行防护————这就是说,如果我们执行了以上的4/5步,不进行真正的删除操作,照样会让Windows找不到该文件(只不过是Windows以后不会覆盖而已),这就是说,假若我们要对某杀软下手,他在C:\Program Files\Rav文件夹,那么我们只要改C:\Program Files就OK咯(一般的都是防护文件所在和自己的文件夹比如Rav\*.*和Rav)~刷Cache后无论怎么通过Windows文件系统访问都会找不到Rav和Rav里任何文件~ 因为只要第v步生成的校验正确,Windows从来不看MFT的~等于将该杀软一锅端~(本例本杀软SP3已试通过,就差隐蔽起来进r0了……)

具体见附件

//菜鸟学习之作,大牛飘过即可

[ 本帖最后由 Styxal 于 2010-1-8 16:47 编辑 ]

附件

NTFS.rar (1.28 MB)

2010-1-7 17:14, 下载次数: 1445

文章pdf+有Bug的Source/Bin

BinWithStaticMFC.rar (159.17 KB)

2010-1-8 16:37, 下载次数: 799

带了VS08的MFC库的bin...



http://www.ppmy.cn/news/545962.html

相关文章

INTELIED,PCIIEDX, ATAPI,Disk.sys的关系

INTEL的IDE控制器连接在PCI总线上&#xff0c;其驱动是INTELIED.sys(intel提供)PCIIEDX.sys(微软提供)&#xff0c;堆栈关系如下&#xff1a; !DevObj !DrvObj !DevExt ObjectName > 80e9b030 \Driver\IntelIde 80e9b0e8 PciIde0 80e931d0 \Driver\PC…

4399ATAPI讲解用例配置篇

API主要分为三部分&#xff0c;分为全局配置&#xff0c;用例配置和操作事件&#xff1b; 本章主要对用例配置的api进行文字说明&#xff1a; mapping&#xff1a; 用于类似PO封装中UI库,进行映射&#xff0c;减少脚本维护成本 guide&#xff1a; APP引导页面功能&#xff1b; …

ATA和ATAPI类型硬盘区别方法

ATA和ATAPI类型硬盘区别方法 2010-05-21 17:48 目前&#xff0c;计算机主板IDE控制器连接的硬盘有ATA&#xff08;AT Attachment&#xff09;类型和ATAPI&#xff08;AT Attachment Packet Interface&#xff09;类型。那么&#xff0c;软件程序BIOS或者Linux内核是如何才能识别…

学NTFS格式磁盘解析及atapi磁盘读写

链接&#xff1a;http://forum.eviloctal.com/thread-39947-1-1.html [原创]也学NTFS格式磁盘解析及atapi磁盘读写 信息来源&#xff1a;邪恶八进制信息安全团队&#xff08; www.eviloctal.com&#xff09; 文章作者&#xff1a;Styxal 这个么……其实是某门课的大作业……自选…

Hyper-V虚拟机启动报错:IDE/ATAPI 帐户没有足够的权限

Hyper-V在启动虚拟机时出现报错&#xff1a;“ide/atapi 账号没有足够的权限”。 原因&#xff1a;磁盘文件在的安全权限丢失导致。 解决方案&#xff1a; 1、【删除】 虚拟机/设置/IDE控制器/磁盘驱动器 2、【添加】虚拟机/设置/IDE控制器/

复制错误:安装程序无法复制文件 Atapi.sys

试图安装 Windows XP Service Pack 2、Windows XP Tablet PC Edition 2005 或 Windows Server 2003 Service Pack 1 时&#xff0c;收到“Copy Error: Setup cannot copy the file Atapi.sys”&#xff08;复制错误&#xff1a;安装程序无法复制文件 Atapi.sys&#xff09;错误…

4399ATAPI讲解操作事件篇

API主要分为三部分&#xff0c;分为全局配置&#xff0c;用例配置和操作事件&#xff1b; 本章主要对操作事件的api进行文字说明&#xff1a; action&#xff1a; 动作类型 value&#xff1a; 用于文本框的输入&#xff0c;要跟动作input配合 hint&#xff1a; 字符串 输入框的…

ATA接口寄存器详解

3、ATA接口的三种数据传输方式 &#xff08;1&#xff09;PIO&#xff08;Programmable Input-Output&#xff09;传输&#xff0c;可以分为PIO寄存器传输和PIO数据传输。PIO寄存器传输主要用于对ATA设备中的寄存器进行读写。读写的数据位数为8位DD[7:0]。ATA主机控制器根据所要…