BypassDisk RING3下绕过一切还原/还原保护/影子系统/HIPS/AV/沙盒

查看文章

2008-04-20 05:13

听说猪头三同学要发RING3下过还原的，挑战360GuardField

不过没意思，RING3下要穿还原太容易，这不，随便花了时间就写了个：

为了能5。1过好节，先发个图出来，如果还有人要挑战，我就放BIN

可以在RING3下穿透所有还原软件、还原保护（当然也包括360GuardField)、磁盘恢复的影子系统、沙盒

不会被任何HIPS、AV、影子系统、沙盒报警

因此也可以用来干掉HIPS、AV等（结合pagefile.sys,或者直接干文件）

演示程序会将磁盘的0号扇区清0并填入如图所示文字。重新自动后自然系统就挂了

这个程序可以写入任何磁盘扇区（不象猪头三之前放的那个RING3穿还原的只能写前面几个扇区）

由于没有测试机，没有测试是否能够穿透VISTA 64位的PatchGuard

之前同一位MS的DDK MVP谈过这方面的问题，从他对VISTA IIRC的描述来看，我这个程序是可以绕过最新的PatchGuard的（结合pagefile)，不过没有测试，不敢下结论

新增，被破坏后可怜的虚拟机。。BOOT不起来了（原本装了冰点）

类别：默认分类 | 添加到搜藏 | 浏览() | 评论 (48)

最近读者：

网友评论：

2008-04-20 06:56 | 回复

momo可怜的猪头三同学

2008-04-20 07:53 | 回复

MJ51可以去MIDI了……

2008-04-20 09:48 | 回复

... 放BIN啊~~~

2008-04-20 11:54 | 回复

睡醒了，，做了个恶梦，梦到放BIN出去被警察叔叔抓了。。醒来想想，没放BIN是正确的，这个东西太危险，利用起来破坏性不比CIH低，特别是现在菜鸟们装了什么沙盒HIPSAV都以为自己很安全了

2008-04-20 12:00 | 回复

returnil这个影子系统也过吗？

2008-04-20 12:13 | 回复

目前基于磁盘过滤手段的一切还原系统、影子系统都过

2008-04-20 13:26 | 回复

有点恐怖～

2008-04-20 13:36 | 回复

强啊，这东西看看就行了

2008-04-20 13:36 | 回复

强啊，这东西看看就行了

2008-04-20 13:36 | 回复

强啊，这东西看看就行了

2008-04-20 15:59 | 回复

用于干坏事一定很过瘾

2008-04-20 18:07 | 回复

請教下mj 就工具來說有什么是最強的呢？暫時我自己認為是hips最強的最強是相對于其他防御軟件所以就算mj說弱我也沒辦法找到別的換過去吧..

2008-04-20 18:14 | 回复

EP_X0FF: "I hate HIPS shit, because it is illusion of security." EP_X0FF: "Agree, it is(HIPS) useless shit, which owns users computers more than any malware can. Only one thing is need - get into ring0 and that is all - game over, any HIPS is dead no matter how many hooks it setups."

2008-04-20 18:31 | 回复

樓上的說了跟沒說一樣那除了hips還有什麼可用的呢？難道因為可以繞過所以就要回去裸奔么.. 那樣不是更危險？

2008-04-20 18:32 | 回复

别人也写出个让你中了格盘写扇区看你咋办

2008-04-20 18:46 | 回复

呵呵，没有绝对的安全啊唉，看来还是要随时备份重要资料才是王道！

2008-04-20 19:28 | 回复

又被转到卡饭了，哎，好事的人就是多

2008-04-20 20:15 | 回复

我想问下，如果不是管理员用户，这个程序有效不？

2008-04-20 20:19 | 回复

有进攻方法就会有防守方法，还是发出来好。

2008-04-20 20:20 | 回复

不需要管理员权限

2008-04-20 20:25 | 回复

呵呵，大家都对安全比较感兴趣。现在普通的病毒已经撼不动HIPS了，所以对HIPS研究的比较多（实际上大部分是用的比较熟）的人都有种猎奇的心理，总想找到可以突破HIPS的东东，你即然发表了这日志自然就会有人转过去，“研究HIPS”的人自然就有种“是骡子是马出来遛遛”的心理。如果可以的话，你不妨放出个演示程序，小范围的“遛遛”，或者自己出个演示视频，一方面封住不服人的口，另一方面也长长我们这些菜鸟的见识。如果你忙没时间，或者根本不屑讨论，你也完全可以忽视卡饭的声音，毕竟嘴长在人家身上，眼睛和耳朵长在你自己身上，世界不可能为一个人而安静，况且卡饭只是一个技术上中下流的安全论坛罢了，无视它也太有理由了。呵呵，如果哪天真想显下神威，我想你也能在聊天记录里找到我PM给你的帐号密码吧。

2008-04-20 22:42 | 回复

放BIN.... 不然给人说你胡扯的 ,影响形象嘛

2008-04-20 22:53 | 回复

放BIN出了事你负责啊

2008-04-21 00:22 | 回复

赶紧出个人来挑战她，激起她心中无穷的怒火，她就放BIN了。。。

2008-04-21 09:26 | 回复

放出来啊开开眼要不怎么服众啊

2008-04-21 13:56 | 回复

转：没有BIN一切都是空话

2008-04-21 14:37 | 回复

激将法对MJ是没有用的。。。哈哈

2008-04-21 15:49 | 回复

没有BIN一切都是空话

2008-04-23 08:14 | 回复

双重还原，过了没用。方法:真实机装还原虚拟机也装。测试用虚拟机的系统。

2008-05-07 19:01 | 回复

我用的是易速还原

2008-05-07 19:17 | 回复

易速还原2.22 0503 哪个测试过

2008-05-11 19:26 | 回复

难说。本人很菜，只能这样干掉还原：PE启动系统，格式化硬盘。垃圾360拦的住吗？超级讨厌360的东西，屁用不管。还是塞门铁克好

2008-05-21 14:19 | 回复

你还是研究如果杀所有的毒吧,看到360文件粉碎器很能干,想来这里学习学习,没想到原来MJ0011也不是什么好人...专研究这种东西,你还是去洗洗脑吧,学学人家崔衍渠(teyqiu),做点好事,网友们还会喜欢你的

2008-05-23 16:27 | 回复

出事就匿名网友负责！哈哈

2008-06-04 18:11 | 回复

direct io 绝对是能过目前所有还原的，但是你完全不需要驱动吗？？？我把你需要用到的nativeapi全禁了，什么systemdebugcontrol一类的都给你禁了，你也能破坏？？

2008-06-04 18:46 | 回复

所谓RING3下绕过，就是不使用任何方法进入RING0，包括SYSTEMDEBUGCONTROL，完全使用win32 api实现

2008-06-07 00:16 | 回复

只能写磁盘扇区？能不能写启动项和指定文件呢？实现新一代机器狗我是小白

2008-06-10 00:02 | 回复

可别成了机器狗第二

2008-06-10 21:56 | 回复

不看bin不敢相信哦。。。。

2008-06-13 18:27 | 回复

用易速还原就以为你很NB啦?!易速最还是会被穿，只是时间的问题！支持MJ0011. PS:3.19有个机器狗SCSI_REQUEST_BLOCK版本就把易速2.17穿了

2008-06-27 13:32 | 回复

RING3过还原？不加驱动，不进RING0，真是无敌了～ HIPS嘛～到现在还在用，不过，话说主体是*.exe的话，运行时HIPS不弹询问？

2008-07-20 02:32 | 回复

新一代机器狗^_^

2008-08-05 02:26 | 回复

双重还原，过了没用。方法:真实机装还原虚拟机也装。测试用虚拟机的系统。 ======================================================= 37楼真搞笑！不过确实有效！

2008-08-07 08:55 | 回复

LZ忘记一个问题，你就算能任意写磁盘，但可以用双硬盘恢复，未来趋势。

2008-08-07 15:18 | 回复

那你就每秒恢复一次好了

2008-12-16 13:19 | 回复

能过迅闪的还原吗？

2008-12-27 00:39 | 回复

说了基于过滤的全穿。这么穿小意思。以后vitualization普及后看你还能不能穿

2008-12-27 19:15 | 回复

硬件虚拟化也是漏洞百出，没人搞罢了，有人搞的话，来一个穿一个

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复