<![CDATA[sudami的[大型*野地猪*]]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/sudami zh-cn www.baidu.com 5 <![CDATA[[YY]为啥大凡网游都有外挂?]]>         国庆最后几天,在家玩游戏, "穿越火线 ", 刚上去就碰到一堆G, 再换个房间,又是一堆. 天呐,前段时间挂还挺少的,现在越来越普及.垃圾 腾讯做游戏代理也不好好维护健康的游戏环境. 简直没法玩了. 索性自己下了个挂用用, 无奈啊...

后来想想,这帮搞游戏外挂的人是牛人啊. 又要调试游戏,又要写驱动和漂亮的界面,又要会加密解密,又要懂网络,又要做网站...

太强悍了,而且很低调,看来利润很丰厚啊. 我怕人家的挂有病毒,想自己写一个,自己玩,多好啊,又不怕被腾讯封. 外面放出去给菜鸟们用的挂没几天就被腾讯封了,又得更新又得重新下载,还担心被盗号. 哎, 调试游戏又不容易, 他们这帮人不一般呐...

丢个外挂,驱动貌似35KB,看有没有人逆一下(有人逆我就不逆了)

穿越火线V4.2版本外挂_穿透力.网吧家庭通用版.rar

外挂的驱动.rar

[不用看了,垃圾挂,用Cheat Engine改的,没意思...]


类别:胡扯 查看评论]]> 2009年10月08日 星期四 12:31 http://hi.baidu.com/sudami/blog/item/7cdc7c015e2dfe047bec2c36.html <![CDATA[[note]调试笔记之雨过天晴多点还原软件MBR实例]]> 文字较多,附件给出:

http://bbs.pediy.com/showthread.php?t=98312

调试笔记之雨过天晴多点还原软件MBR实例.rar (985.03 KB) | DownLoad

btw: 引用 V 插 K 同学的话 :

"没那么复杂~根据VMW开放的代码可以直接从VMware的img文件里提取出disk.img来不多说了~弄这么复杂干啥~"

我火星了, 貌似你那样做支持VM 3, 4. 现在都6.5版本了.无图无真相,弄出来了再这样说,我才相信.其他的我不管,反正我用我的方法达到目的了,也没什么损失,倒是积累了些调试经验. 娃哈哈,未尝不好~


类别:Note 查看评论]]> 2009年09月22日 星期二 23:21 http://hi.baidu.com/sudami/blog/item/d19a6bdd02f363d38d10291b.html <![CDATA[[胡扯]网络杯垫底球队曝光照...]]>

昨天晚上T球很不和谐, 某人(非公司的人,以前离职的同学带过来踢球的人, 9号,技术不咋地,倒是人品极差) 踢脏球, 还打电话要找人来砍人,差点打了群架,人最后没事,那小子最后从车里拿出大铁棒,把某车给砸了! 麻痹的, 哎,一个老鼠坏一锅汤!

网络杯, 貌似网易,腾讯,搜狐,百度等公司球队都参加,不过本公司球队貌似练大场很少. 今年又要被虐了.


类别:胡扯 查看评论]]> 2009年09月17日 星期四 16:17 http://hi.baidu.com/sudami/blog/item/71c692ca02bb1b4cf21fe7d4.html <![CDATA[[原创]微点主动防御软件_逆向_idb]]> sudami
2009/08/24
--------------------------------------------------

"微点主动防御软件" 算是一款比较强悍的主防程序,用到许多非常猥琐\先进又产品级的技术.它在2005年就已被研发出来,只是没多少人关注,但防范未知病毒木马的能力确实非常强悍.在2008年11月份,我大致看了下它包含的13个驱动, 逆了一部分,从中学到了部分知识,但只是冰山一角.后来由于种种原因,没再碰它了. 奉上以前逆向的部分成果,供参考!

从本资料中您可能获取到如下某些技巧:

1. 加密解密函数
2. IAT HOOK / EAT HOOK / 深度Call Hook / Inline Hook / (Shadow)SSDT Hook及其复杂的处理
3. 部分win32k.sys中的未公开结构及其微点对ShadowSSDT中为公开函数的引用/处理
(比如判断窗体的合法性,并进行可疑度打分)
4. 栈回溯的无所不用其极的极致发挥 / 栈劫持来回滚木马的危害行为
5. 自定义的结构体中的评分机制
6. 瞬间HOOK及其摘除Hook的技巧
7. 对远程线程注入的防范原理
8. 对驱动加载的拦截点及其原理
9. 一种巧妙的混淆IDA的花的运用
10. 驱动间的数据交互 / 内核DLL技术
11. 如何判断当前程序行为的可疑度
12. etc...

btw: 13个驱动中有些驱动的idb我删除了,毕竟不好亮全,自己看看就成. 请详细参见每个目录中的*.txt.c文件

相关参考:
   [1] Bypass 微点主动防御软件
   [2] 微点对MmLoadSystemImage的处理
   [3] 微点在检测IFEO方面好脆弱

微点.IDB-new.090101.V 1.10026_sudami.rar (1.1 MB) | DownLoad
声明: 本文仅供技术参考,请勿用于非法或商业用途,否则由此引发的纠纷本人概不负责。

类别:Note 查看评论]]> 2009年08月24日 星期一 13:34 http://hi.baidu.com/sudami/blog/item/47b2ac50e26316551038c2ed.html <![CDATA[[note]Protect and Restore Hive file_SRC]]>      I had reserved the Demo named "Tool for Protect and Restore regedit" half a year ago, but now it is useless to me. I think may be this ugly code could give you some informations,eg: IAT HOOK, how to get sectors for Hive file, SCSI command for read write disk, how to redirect data to other sectors. etc.

Links:

http://www.debugman.com/read.php?tid=3570&page=1&toread=1
http://hi.baidu.com/sudami/blog/item/d07e94139e4ccb0a5aaf539e.html
http://www.debugman.com/read.php?tid=2849&page=e&#a

It is an interesting thing for me to study Multi-point restore,oho.

逆向sysnap注册表还原_src.V 1.08.rar (218.07 KB) | Reverse_Sysnap_RegeditRestore_src.V%201.08.rar


类别:Note 查看评论]]> 2009年08月07日 星期五 21:53 http://hi.baidu.com/sudami/blog/item/53e8e6cc5ea2121901e928de.html <![CDATA[[胡扯]步入社会要学会如何生存]]>        昨天晚上因为一些琐事,心烦,于是和老妈QQ语音聊天,心情顿时舒畅. 老妈讲的一些道理,让我在成长的过程中逐渐学会做人的基本常识! 记录下来,定期提醒自己:

       步入社会,经过几件事儿,有了些教训. 纵然你心善耿直但不要指望别人都是如此. 林子大了什么样的鸟都有,尤其是当存在巨大的利益冲突时,人性丑陋的一面会表现的淋漓精致. 即使没有利益冲突,也会因为种种原因诸如他人莫名的嫉妒,性格的不合,未满足他人可笑的自尊,措辞的不严谨,他人不健康的心态等,而"得罪"他人,故说话做事得考虑前因后果,思而后行.

       任何人在一定的环境下不可能一下子便站到最高处,必有寄人篱下之时! 在靠自己能力奋斗的过程中必须提防一些耍手段排挤你的小人. 害人之心不可有,防人之心不可无! 这种人未必定义为小人,可以解释为想利用一切办法达到目的而不择手段之人. 这类人在任何一个环境下都存在(公司,学校,事业单位), 要学会如何和这类人相处而又不受伤害!

      在强者和弱者的对话中,处于下风的自然是弱者.不要渴望得到怜悯,对方的心狠手辣更要让你愤怒的同时知道世态炎凉的道理,要让自己变得更强大更圆滑! 让对手敬畏你比让他憎恨你更可怕!

1. 无论一件事多么失败,都要从中看到一线曙光,一丝希望.

2. 面善者非心善者. 提防笑里藏刀之人. 人心冷淡,要学会保护自己,让自己不受制于人.

3. 对付阴人者, 同样得玩阴的.而且不要得罪对方,又能很好的维护自己的利益.

4. 为人处事,不要太张扬,溢于言表. 即使你心中很厌恶此人,见了面依然要友善,即使虚伪也无妨,展示出平易近人,不卑不亢,甚至是很客气很尊敬的姿态. 记住,这样只有好处,没有坏处!

5. 与人为善,直率坦诚! 但不能对任何人都是如此,任何时候都要有所保留! 见什么样的人说什么样的话!

以上是我刚离开校园,步入社会后的一些深刻感触.当然,这些文字不是写着玩儿的,是得时刻提醒自己去这样为人处事的,步入社会要学会如何生存!


类别:胡扯 查看评论]]> 2009年08月07日 星期五 13:26 http://hi.baidu.com/sudami/blog/item/eae8e444b5d7c48bb3b7dc46.html <![CDATA[[note]Kill_KV2008.sudami.2008.03.23_SRC]]> Windbg调试某XX一下午,算法实在让人吐血. 然后上debugman看看,发现有人还在苦恼的分析sudami.exe,就是我去年初学驱动写的杀江民2008的恶意程序(hi.baidu.com/sudami/blog/item/a0f114dac68fe3dfb6fd481a.html). 于是翻翻硬盘,在某个角落里找到了源码. 丢上去一份. 免得后来人再看到,又得倒霉... 放到这里了:www.debugman.com/read.php

代码风格混乱,看了吐血的不要骂我!!

Kill_KV2008.sudami.2008.03.23_src.rar (178.92 KB)

btw:
不知道RAR密码的同学参考下面这个图片!汗,注释要看仔细啊!


类别:Note 查看评论]]> 2009年07月30日 星期四 17:54 http://hi.baidu.com/sudami/blog/item/b6da33097c6a2aa62eddd4ff.html <![CDATA[[note]基于注册表Hive格式的解析/删除/增加, 程序界面+完整源码]]> 今年过年时候写的RegHive v1.02,很老了,放下源工程, 呵呵,稳定性不高,不过有码参考相信诸位同学一定能写出比我更好的作品.

相关参考:
http://hi.baidu.com/sudami/blog/item/d4340908ff05cb920a7b8225.html
http://www.debugman.com/read.php?tid=3308&toread=1

注册表Hive解析_删除_增加_修改.完整工程.sudami.rar (290.01 KB) | RegHive_src.rar

BTW:
有的同学不清楚HIVE等概念.放些资料科普:

【原创】也谈rootkit 注册表信息隐藏.rar (297.9 KB)
forensic-analysis-windows-registry.rar (109.39 KB)

基于注册表Hive文件的恶意程序隐藏检测方法.rar (186.99 KB)


类别:Note 查看评论]]> 2009年06月19日 星期五 14:38 http://hi.baidu.com/sudami/blog/item/32f790623b11f4d4e7113a07.html <![CDATA[[note]基于Windows内核层的Anti-Rootkits研究及其实现]]> 匆匆大学四年还有几天结束,为了完成任务,写了篇毕设,答辩走走过场,没什么意思.
想想写论文也花费了些时间,没怎么得到评委们的认可! 关键是那些老师不懂,我也很无语...
还不如共享一下,写得很拙劣,将就看看还成

基于Windows内核层的Anti-Rootkits研究及其实现.rar (966.73 KB) | Anti-Rootkits_Graduation_Thesis.pdf


类别:Note 查看评论]]> 2009年06月19日 星期五 10:16 http://hi.baidu.com/sudami/blog/item/b40835cfc3bf8f34f8dc61d3.html <![CDATA[[胡扯]搜狗输入法也开始耍流氓了。。。]]>

搜狗输入法也开始流氓了。先粘住用户,再适度的弹广告。。。

突然发现QQ现在很强大,什么QQ游戏(DNF,穿越火线)、QQ旋风(没广告跟迅雷差不多)、QQ输入法、腾讯TT浏览器、QQ影音播放器(比垃圾暴风强悍好多,用起来超级爽)、QQ音乐播放器、QQ邮箱(比163邮箱好多了,目前邮箱中最强大的,我是忠实用户)。。。 太恐怖了,这样下去,用户必定形成依赖,只要腾讯出一个同类产品,就给同行带来极大的压力,因为腾讯有用户这个基础,再加上简洁易用的特点,不让竞争对手胆寒是不可能的。。。

再过一个月就毕业,不能在学校看美女真遗憾,不能想踢球就踢球挺遗憾,不能再和同学一起猥琐挺遗憾,一周5天班的日子即将临近挺遗憾。。。

猫的操 的什么WINDOWS内核情景分析太贵,而且就是解读源码,不知道我会不会买。。。

现在对挖掘window内核挺感兴趣的,比如网上资料很少的一些东西,wy同学现在也在研究这块,比如ntldr启动那段时期对注册表的初始化,windows是怎样将hive在磁盘上的结构和内存中结构关联起来。ntfs在内存中的组织,启动过程中csrss中的一些东西。对调试器也挺感兴趣,windbg写脚本调试很爽很强大,比如昨天写了个简单的脚本在windows启动时winlogon.exe创建指定port的地方断下来:

r $t0 = poi(esp+8)
r $t1 = @@C++( ((nt!_OBJECT_ATTRIBUTES*)@$t0)->ObjectName )
r $t2 = 0
r $t3 = 0x0a        

.if( @$t1==0 )
{
    r $t2=0
}
.else
{
    .if( @@C++( ((_UNICODE_STRING*)@$t1)->Buffer ) != 0 )
    {
        r $t5 = @@C++( ((nt!_UNICODE_STRING*)@$t1)->Buffer )
        as /mu ${/v:name} @@C++( ((nt!_UNICODE_STRING*)@$t1)->Buffer )

        .block
        {
            .if( $spat( "${name}", "*SbApiPort" ) )
            {
                .echo '-- ok --'
                .printf /ow "%mu",@$t5;
                r $t2=1;
            }
            .else
            {
                .printf /ow "%mu",@$t5;
                r $t2=0;
            }

            ad {/v:$name}
        }
    }
}

ntice.sys真让人晕,很不爽的是在用windbg调试softice的boot0驱动时,能调试一小段,但在某个函数call xx跟进的时候eip就乱掉了,就是说int 3把ntice.sys内部破坏了。看来用 调试器 去调试 另一个调试器没那么简单。ntice.sys只能静态看看了。intel手册是好东西,我们应该提倡多看intel手册,多看WRK、ReactOS,多用调试器调试程序、驱动、内核,多用google英文版查阅资料。无聊了就出去运动运动,看看美女,YY一下。 生活啊~~~

坚持每个月买本 《环球科学》杂志。

毕业后可以专注于工作,不用再想什么考试之类的。所以会和同事一起做点儿东西,比如调试器之类的。。。

以后没心思写文章了,故BLOG不会经常更新,多谢光临寒舍的同学们的支持。。。

随便乱写,北京现在下午6点以后的天气相当好,适合户外运动,哈哈,今天休息,看看电影,玩玩QQ的穿越火线中的生化模式,下午到了6点去球场T球,有个叫“大个儿”的,踢球相当强,跟小罗一个风格,林大踢球他是最厉害的了,他每天都去踢,哈哈。。。


类别:胡扯 查看评论]]> 2009年06月03日 星期三 13:08 http://hi.baidu.com/sudami/blog/item/f02544e9e795c737b80e2db7.html <![CDATA[[胡扯]林大的女人真强悍]]>    原来我一直都不知道啊。只是晚上T完球后,去女生那边的商店买点儿喝的,太淫荡了太淫荡了。。。

链接:bbs.dengtian.com/viewthread.php


类别:胡扯 查看评论]]> 2009年05月13日 星期三 13:42 http://hi.baidu.com/sudami/blog/item/4434643fad76cae454e723d2.html <![CDATA[[note]NTFS文件系统底层挖掘]]> NTFS文件系统的底层实现细节,网上资料很少. 这几天突然来了兴趣,于是挖掘了一下.
结合nt4src,IDA+ntfs.sys,windbg+VMWare,在XP SP2下,深入理解了一些NTFS文件系统相关知识.比如逆向搞到了VCB/FCB/LCB/SCB/BCB等结构体,文件打开/枚举/删除操作的流程,缓存管理器/虚拟内存/IO管理器之间的交互.

KeyWord: VACB, XCB, NTFS, Cache

1.下面是我调试过程中总结的一张XCB之间的关系图 :

   NTFS.sys在初始化时,填充分发例程:
   DriverObject->MajorFunction[IRP_MJ_FILE_SYSTEM_CONTROL] = (PDRIVER_DISPATCH)NtfsFsdFileSystemControl;
   IoCreateDevice将创建的设备对象和全局变量NtfsData关联起来,在设备扩展中包含卷控制块(VCB).

   (1) IopMountVolume中会挂接相应的卷,填充IRP,发给NTFS.sys:
       irpSp->MajorFunction = IRP_MJ_FILE_SYSTEM_CONTROL;
       irpSp->MinorFunction = IRP_MN_MOUNT_VOLUME;
     
   (2) NtfsFsdFileSystemControl --> NtfsCommonFileSystemControl --> NtfsMountVolume
      主要在初始化该卷的VCB结构,通过NtfsOpenRootDirectory,创建了根目录的FCB,LCB,SCB.

2.[XP SP2] 在windbg中调试逆向得到XCB结构


4. 跟踪系统打开文件的流程(仅仅跟踪到文件系统层面,下方的卷设备/disk/atapi/PCHIINDEX 暂不讨论)

NtfsCommonCreate在经过复杂的操作到达NtfsOpenFile后,必定是要打开已经存在的文件.否则会调用NtfsCreateNewFile创建新文件.可能没人引用过C:\WINDOWS\system32\mycomput.dll,那么系统的FcbTable就没有该文件对应的FCB,这时就需要NtfsOpenFile函数去创建该文件对应的Fcb,建立LCB和父目录的SCB的联系,然后加入到表中去:


5.嗯,原理了解了,来实践一下简单的NTFS文件系统底层文件劫持吧.
   [xp sp2下函数的执行流程如下]
   NtfsCommonCreate-->NtfsCreateNewFile-->NtfsCreateFcb-->ExAllocatePoolWithTag  
   NtfsCommonCreate-->NtfsOpenFile-->NtfsCreateFcb-->ExAllocatePoolWithTag  
         [未导出]          [未导出]        [未导出]            [已导出]
  系统会频繁查表,添加移除FCB.可瞬间挂勾此函数,栈回溯得到NtfsCreateFcb/ NtfsOpenFile /
   NtfsCheckValidAttributeAccess 等函数的地址.卸掉钩子
Ntfs!NtfsCreateFcb:
   f974da0f e87eb5fdff      call     Ntfs!NtfsAllocateEresource (f9728f92)
   f974da14 894648          mov      dword ptr [esi+48h],eax
   f974da17 8945d8          mov      dword ptr [ebp-28h],eax
   f974da1a 684e744673      push     7346744Eh            // 重要标记"ntfs"
   f974da1f 6a20            push     20h                  // 进行特征匹配
   f974da21 6a10            push     10h
   f974da23 ff1514ae73f9    call     dword ptr [Ntfs!_imp__ExAllocatePoolWithTag (f973ae14)]
  // ExAllocatePoolWithTag((POOL_TYPE)16, 0x20u, 'sFtN');

我挂钩下面这个函数,保护c:\sudami.txt不被打开/写入/删除. 金山&360文件粉碎机/XueTr/IceSword均无法删除.

VOID fake_NtfsCheckValidAttributeAccess()
/*++
Author: sudami [sudami@163.com]
Time   : 2009/04/30 [30:4:2009 - 12:45]
Routine Description:
   [xp sp2]
   有种情况会调用NtfsCheckValidAttributeAccess 函数
     NtfsOpenFcbById    // 这种情况太少了...
     NtfsCommonCreate --> NtfsOpenExistingPrefixFcb // 若文件被打开过一次,就不走下面的函数,经过这里
     NtfsCommonCreate --> NtfsOpenFile       // 第一次打开这个文件
     NtfsCommonCreate --> NtfsCreateNewFile      // 创建新文件
--*/

仅一点儿调试心得,不对的地方敬请指正.
-----------------------------------------------------------------------
参考资料:
   (1) 挂接缓存管理器CcMapData()实现文件XX
   (2) NTFSI--the NT Cache Manager
   (3) 基于IopXX的重定向文件)
   (4)windbg, nt4src
HijackFile.rar (8.51 KB) 保护文件的驱动

类别:Note 查看评论]]> 2009年04月28日 星期二 23:29 http://hi.baidu.com/sudami/blog/item/b7b520382ed51e2b97ddd824.html <![CDATA[[note]逆向diyhack同学的注册表重定向]]>     最近一段时间复习高等数学,工作以外基本没什么时间,看到又一个注册表还原程序([diyhack]注册表重保护程序),和之前sysnap同学(link)的实现原理完全不同,于是挤时间看了下,流程如下:

1. 创建符号链接 "\\DosDevices\\REGREDIRECT_DeviceName"
2. PsCreateSystemThread创建系统线程,填充context为系统进程PID (4 / 8). 线程中干的事情:
/*++

Reserver: sudami [sudami@163.com]
Time : 2009/04/14 [14:4:2009 - 14:58]

Routine Description:
调用NtQuerySystemInformation获取系统拥有的句柄信息,找到注册表文件system文件句柄.创建键值 "\\REGISTRY\\USER\\.DEFAULT\\Volatile\\",通过ZwRestoreKey将system文件load 到这个键下,以后对system文件的读写,都会重定向到该键.

[+] diyhack同学为什么要用MJ同学的方法 - 由于"\WINDOWS\system32\config\system"文件
的CCB偏移+0x004处FLAG(00012003)的第5位存在,区别于其他文件基于这点来判断.
但是要考虑到兼容性,何必这样做呢?直接判断FILE_OBJECT中的name不就成了吗?

Arguments:
currentPID - 线程的context,传递的是DriverEntry中得到的系统进程ID

--*/

3. 进行object type hook CmParaseKey,进行重定向:
/*++

Reserver: sudami [sudami@163.com]
Time : 2009/04/14 [14:4:2009 - 14:58]

Routine Description:
打开对象"ObjectTypes\Key",获得handle,从而得到对象体(nt!_OBJECT_TYPE),
_OBJECT_TYPE._OBJECT_TYPE_INITIALIZER.ParseProcedure即使要替换的地方
典型的Object Tpye HOOK,在fake函数中会进行重定向处理

--*/

4. fake函数中的处理过程如下:
/*++
Reverser: sudami [sudami@163.com]
Time : 2009/04/14 [14:4:2009 - 15:33]

Routine Description:
负责对system这个hive代表的注册表键(HKEY_LOCAL_MACHINE\SYSTEM)进行重定向.
主要关注的是CmParaseKey的参数六(@CompleteName),这个unicode_string中包含的即是当前正在操作的注册表全路径,格式形如: "SOFTWARE\Policies\Microsoft\Windows NT\DCOM". 因为保护的是system下的所有子键,"system"这个宽字符的长度为12; 过滤条件分2种情况:                                                                                
(1) @CompleteName.Length 为12,且操作的是"system"父键,先释放@CompleteName.Buffer,再分配内存填充重定向内容,完成后的效果如下:
    kd> dt nt!_unicode_string f94693a8
    nt!_UNICODE_STRING
      "\REGISTRY\USER\.DEFAULT\Volatile"
         +0x000 Length : 0x40
         +0x002 MaximumLength : 0x42
         +0x004 Buffer : 0xe1825ee8 "\REGISTRY\USER\.DEFAULT\Volatile"
成功返回STATUS_REPARSE,给ObpLookupObjectName函数看的.

(2) @CompleteName.Length >= 14, 即操作的"system"下的子键(eg."SYSTEM\CurrentControlSet"),操作和上面相似.
更改后的内容即为 "\REGISTRY\USER\.DEFAULT\Volatile\CurrentControlSet"
若不满足以上条件,调用原始函数,放行...

--*/
---------------------------------------------------------------------------------------
之所以diyhack同学说可以动态还原到保护之前的状态,我想是因为可以save "\REGISTRY\USER\.DEFAULT\Volatile" 成hive,再restore到真正的system键下...
和sysnap同学的有所不同,那个是写到cache中,但不让其写入磁盘文件,而刷新cache只能重新启动后才会有效果...

详细信息请参见PDB,注释精度精确到每个变量 / 跳转. 由于是古老的object type hook,以前写过,所以懒得完全按照原作者的风格逆成C, 各位想了解原理的,将就着看看...

CCB结构貌似在不同的系统版本中有所变化,还望大牛们多多分享已经逆出来的结构体,

k5f0_4f0.sys.IDB.sudami.rar (695.05 KB)


类别:Note 查看评论]]> 2009年04月14日 星期二 21:08 http://hi.baidu.com/sudami/blog/item/852cc318de59b7bc4aedbc06.html <![CDATA[[note]完整逆向Sysnap同学的注册表还原工具]]> 在debugman上恰巧看到sysnap同学发的一个还原注册表的demo([工具]注册表保护),既然涉及到磁盘解析之类的,我顿时来了兴趣,于是简单看了下, IDA+WINDBG.如下:

总体来说,有点儿大题小做~

-----------------------------------------------------------------------------------------------------------------
逆向Sysnap同学的注册表还原工具所带驱动.完成为C源码,编译后可正常替换原驱动,且新驱动和源驱动代码相似度为98%. 其中设计了一个简单的单向链表,来存储受保护文件,可动态扩充

code逆的很烂,就不放了(若相关大牛做过注册表还原,可以交流代码,相互提高) 不过这个驱动的idb,是我逆向有史以来,注释最仔细的,几乎每个细节都注释了,所以放一个IDB在这里,供需要学习注册表还原的同学参考.

若您想进一步了解磁盘还原知识, 可以逆下国内外一些常见的还原软件(ShadowUser / 雨过天晴 / ...)

sudami.rar (117.36 KB)


类别:Note 查看评论]]> 2009年03月30日 星期一 20:18 http://hi.baidu.com/sudami/blog/item/d07e94139e4ccb0a5aaf539e.html <![CDATA[[note]NTFS磁盘解析,检测Ak922.sys]]>       人家07年就把 NTFS解析/ 删除/ 增加/ 恢复 这些搞过了. 我现在才学习,吐血了. 菜就是菜,也只能跟在大牛们的后面学人家早就fuck过的东西了...

       最近一直瞎忙,随便做做. 能解析/ 破坏/ 删除 NTFS下的文件. 不过文件创建/重命名这块儿还有些BUG,创建出来的文件(夹)是坏的. Ak922.sys 在DISK级做了过滤,那就发scsi passthrough吧. 哈哈,弄弄还是能发现它的.

文件解析 ---- 是最简单的了. 挂接相应的分区,校验NTFS的合法性,解析MBR & BPB ,校验$MFT的完整性, 分析系统的那几个元数据($Bitmap $UpCase $Volume $VOLUME_INFORMATION $AttrDef ),保存一些信息. 这些初始化工作完成后,就可以解析指定目录的文件了. 比如在此目录对应的MFT中90H属性(索引根), A0H属性. 分别出 流文件(80H属性中的name等) 和普通文件. 分析INDEX_BLOCK下的所有Index_entry, 而每个Index_entry对应一个文件/文件夹. 所以根据其MFT号. 得到对应的MFT,再跟进去,读其90H属性,判别偏移10H的地方是否为30(即判断是否为文件夹). 最后即可正确显示出当前目录的所有文件信息了... [可以做个递归遍历]

文件删除 ---- 和金山的文件粉碎机差不多. 清掉MFT本身的30H属性, 设置偏移16H的地方为0, 将$MFT:$bitmap中这个文件的MFT的标记为0, 然后有运行数据的话,得到其LCN,在$bitmap中找到对应的位置,清0. 最后在给80H属性或者AOH指向的run data进行覆盖式的填充垃圾数据. 但是金山粉碎机是删除后马上能在explorer中看到效果. 我做的必须重启后才会看到效果. 因为直接操作的是磁盘, 没有刷新cache, 逆了一下金山粉碎机, 看不出来它调用的哪个API来刷新系统缓存的. 有知道的还请指点一番~~

文件增加 ---- 是比较麻烦的一项工程,大体步骤是: (1) 在$MFT:$bitmap中找到一个空闲位.设置为1.并在这个所指向的空闲区域分配一个新的MFT; (2) 创建 & 写入标准属性(10H) / 文件名属性(30H) / 安全描述符属性(50H)/ . ( 若是创建文件,加入80H属性 若是创建文件夹,需要新增 INDEX_ROOT(90H)属性 ). 再将 FILE_NAME 属性加入其根目录的Index中. (3) 填充这个新MFT的2个必要的值: 硬连接数 && 目录标志(0x3). (4) 写$logfile (5) 其他....

文件恢复 要简单可以很简单,要做好也不容易,我是菜鸟就不多提了,可以参考codeproject上的源码,还有这个连接:【献丑】本人突破性进展,NTFS分区数据静态恢复

差不多就这些啦. fat格式太简单就不提及了. ntfs的组织结构还是很复杂的,可以结合nt4src + windbg进行学习. MJ, AZY, gz1x,狙剑作者等诸位大牛N年前就搞过了, 想起来就汗颜, 所以虽是老技术但是不可不学,各位还没搞过的同学可以考虑空闲时间学习一下,相信会有所获.

附上一个检测ak922.sys的动画, 和其他大牛N年前就已经检测出来的连接:

ShitSword vs AK922 beta2
ShitSword VS unreal rootkit
AK922 VS系统安全软件


类别:Note 查看评论]]> 2009年03月17日 星期二 20:16 http://hi.baidu.com/sudami/blog/item/32f790622049cfd5e7113ade.html