[装逼录像]Win7x64上突破雨过天晴20130111

Tesla.Angela

一、突破雨过天晴20130111自我保护写入正常MBR
录制视频时比较仓促，注意四点：
1.一开始演示时，屏幕右下角有提示：“此WINDOWS副本不是正版”，恢复MBR并重启后提示消失（因为用了什么小马WIN7激活，这个激活也是写MBR的，某种意义上也算是MBR ROOTKIT，不过是有益的MBR ROOTKIT{:soso_e107:} ）。
2.如果雨过天晴的MBR存在，会在WINDOWS启动前出现一个雨过天晴的界面，恢复MBR后，界面消失（因为已经恢复了正常的MBR，所以重启时看不到雨过天晴的界面）。
3.重启后，雨过天晴右下角的图标出现了个小叉，而且不久后，这个托盘进程自动退出了。
4.以上只是辅助证据，核心证据见GMER和XT64的提示：恢复MBR前，GMER的检测有三个关于DR0的异常提示，XT64里DISK和ATAPI满是红色（地址异常）；恢复MBR并重启后，GMER的检测没有任何异常提示，XT64里DISK和ATAPI全是黑色（地址正常）。
录像地址：http://www.m5home.com/fuck_ygtq_20130111.gif

---

二、在不破坏雨过天晴20130111的情况下，穿透还原写入文件
本来这个录像是完全没有必要制作的，不过今天有个人质疑我，说我只能“破坏”雨过天晴，不能绕过“雨过天晴”。
所以为了封住人家的嘴，我只能再制作一个录像了。
录像地址：http://www.m5home.com/bypassYGTQ20130111.gif

---

WIN64AST 1.01还在完善中，完善后自然会发布。请各位稍等。
另外，WIN8X64一样突破，过程几乎一样，所以不录像了。

danyue

沙发 我第一个？？ 特来支持

马大哈

我以前也折腾过一次冰点,是在一家宾馆里,那电脑有病毒,动不动死机要重启,很不爽.而杀毒后要重启,一重启就还原了,汗.

于是用U盘启动了PE系统,在PE下改了几个注册表的地方,记得好象是什么文件系统过滤驱动的上下层转发关系还是啥的,再删除冰点的文件,最后重启后冰点就没有了.

不过现在看来,只要了解这类软件的原理,可以直接穿透啊哈哈!

Xor

语法有问题，应该是MBR may be abnormal

KMSRussian

感觉下发SCSI指令给disk/atapi还是太高层了点...冰点/雨过天晴一直在disk层之上做过滤

可以尝试下 shadow defender 最新版 我记得当时我测试的时候SCSI指令是干不掉shadow defender的

atapi层面的Hook也有缺点 比方是scsi硬盘 貌似用的就是scsiport.sys  也是挺头疼的事情

有空的时候可以看看shadow defender

http://pan.baidu.com/share/link?shareid=228621&uk=639038202  

Tesla.Angela

KMSRussian 发表于 2013-2-3 17:34
感觉下发SCSI指令给disk/atapi还是太高层了点...冰点/雨过天晴一直在disk层之上做过滤

可以尝试下 shadow  ...

目前已经BYPASS（注意是BYPASS不是KILL）的还原软件（WIN7 X64测试）：
Deep Freeze Standard 7.51.20.4170
shadow defender 1.2.0.355
Returnil 2011(1.0.5.5400)
雨过天晴20130111
貌似以上都是最新版或者次最新版。
另外光发SCSI指令是过不了的，要有很多处理技巧的。

KMSRussian

还有设置的一些障碍吧 shutdown回调 FS回调之类的 .....

Tesla.Angela

KMSRussian 发表于 2013-2-3 19:45
还有设置的一些障碍吧 shutdown回调 FS回调之类的 .....

我穿越还原基本是摘掉所有跟DISK/ATAPI相关的过滤驱动+SCSI指令写磁盘+摘除(绕过)所有对DISK/ATAPI的IRP HOOK。其他乱七八糟的回调一点不碍事。
另外，如果对ATAPI的IRP HOOK处理不好，就没有任何意义。雨过天晴20130111把ATAPI的IRP分发函数表改得一团糟，但一点不影响我给CLASSPNP.SYS发SCSI指令穿透（据网上的资料说ATAPI在DISK的下层）。另外，我的笔记本真机上连ATAPI.SYS都没有加载，相关功能被INTEL的驱动iaStorV.sys取代了。

mysmartid

大牛果然是大牛  这样的水平是我努力的目标