[装逼录像]Win7x64上突破雨过天晴20130111
一、突破雨过天晴20130111自我保护写入正常MBR录制视频时比较仓促,注意四点:
1.一开始演示时,屏幕右下角有提示:“此WINDOWS副本不是正版”,恢复MBR并重启后提示消失(因为用了什么小马WIN7激活,这个激活也是写MBR的,某种意义上也算是MBR ROOTKIT,不过是有益的MBR ROOTKIT{:soso_e107:} )。
2.如果雨过天晴的MBR存在,会在WINDOWS启动前出现一个雨过天晴的界面,恢复MBR后,界面消失(因为已经恢复了正常的MBR,所以重启时看不到雨过天晴的界面)。
3.重启后,雨过天晴右下角的图标出现了个小叉,而且不久后,这个托盘进程自动退出了。
4.以上只是辅助证据,核心证据见GMER和XT64的提示:恢复MBR前,GMER的检测有三个关于DR0的异常提示,XT64里DISK和ATAPI满是红色(地址异常);恢复MBR并重启后,GMER的检测没有任何异常提示,XT64里DISK和ATAPI全是黑色(地址正常)。
录像地址:http://www.m5home.com/fuck_ygtq_20130111.gif
二、在不破坏雨过天晴20130111的情况下,穿透还原写入文件
本来这个录像是完全没有必要制作的,不过今天有个人质疑我,说我只能“破坏”雨过天晴,不能绕过“雨过天晴”。
所以为了封住人家的嘴,我只能再制作一个录像了。
录像地址:http://www.m5home.com/bypassYGTQ20130111.gif
WIN64AST 1.01还在完善中,完善后自然会发布。请各位稍等。
另外,WIN8X64一样突破,过程几乎一样,所以不录像了。 沙发 我第一个?? 特来支持 我以前也折腾过一次冰点,是在一家宾馆里,那电脑有病毒,动不动死机要重启,很不爽.而杀毒后要重启,一重启就还原了,汗.
于是用U盘启动了PE系统,在PE下改了几个注册表的地方,记得好象是什么文件系统过滤驱动的上下层转发关系还是啥的,再删除冰点的文件,最后重启后冰点就没有了.
不过现在看来,只要了解这类软件的原理,可以直接穿透啊哈哈! 语法有问题,应该是MBR may be abnormal 本帖最后由 KMSRussian 于 2013-2-3 17:35 编辑
感觉下发SCSI指令给disk/atapi还是太高层了点...冰点/雨过天晴一直在disk层之上做过滤
可以尝试下 shadow defender 最新版 我记得当时我测试的时候SCSI指令是干不掉shadow defender的
atapi层面的Hook也有缺点 比方是scsi硬盘 貌似用的就是scsiport.sys也是挺头疼的事情
有空的时候可以看看shadow defender
http://pan.baidu.com/share/link?shareid=228621&uk=639038202 KMSRussian 发表于 2013-2-3 17:34 static/image/common/back.gif
感觉下发SCSI指令给disk/atapi还是太高层了点...冰点/雨过天晴一直在disk层之上做过滤
可以尝试下 shadow...
目前已经BYPASS(注意是BYPASS不是KILL)的还原软件(WIN7 X64测试):
Deep Freeze Standard 7.51.20.4170
shadow defender 1.2.0.355
Returnil 2011(1.0.5.5400)
雨过天晴20130111
貌似以上都是最新版或者次最新版。
另外光发SCSI指令是过不了的,要有很多处理技巧的。 还有设置的一些障碍吧 shutdown回调 FS回调之类的 ..... KMSRussian 发表于 2013-2-3 19:45 static/image/common/back.gif
还有设置的一些障碍吧 shutdown回调 FS回调之类的 .....
我穿越还原基本是摘掉所有跟DISK/ATAPI相关的过滤驱动+SCSI指令写磁盘+摘除(绕过)所有对DISK/ATAPI的IRP HOOK。其他乱七八糟的回调一点不碍事。
另外,如果对ATAPI的IRP HOOK处理不好,就没有任何意义。雨过天晴20130111把ATAPI的IRP分发函数表改得一团糟,但一点不影响我给CLASSPNP.SYS发SCSI指令穿透(据网上的资料说ATAPI在DISK的下层)。另外,我的笔记本真机上连ATAPI.SYS都没有加载,相关功能被INTEL的驱动iaStorV.sys取代了。
大牛果然是大牛这样的水平是我努力的目标 真是神奇,推~~
页:
[1]