WIN7对直接磁盘写入的防护 （By MJ大神） 旧文一篇仅供参考

哈的189

蓝芯云安全 发表于 2012-7-8 15:21
你这话在理，想必360拿了BD引擎这么久，不知道抄了多少了，人家是合作关系，抄再多，BD也不会起诉360的

不好意思，你猜对了。

哈的189

蓝芯云安全 发表于 2012-7-8 15:20
你倒是告诉我，5+3=8和5-3=8是一回事么？如果不是一回事，关抄袭什么事？

请转告：下次抄好一点。

哈的189

蓝芯云安全 发表于 2012-7-8 16:38
谁说抄袭BD了？
360HOOK方式是谁想出来的？这世界上就不可能再有人自己想出同样的HOOK方式了？

麻烦下次用心一点抄，这样就不会给人家说了。

哈的189

尘梦幽然 发表于 2012-7-8 18:47
所以得出结论：只要红伞没在中国为它的引擎申请专利，任何一家公司有办法的话完全可以把它逆向后重新包装 ...

人家像看源代码一样看过了，觉得这程序编得实在不太好，所以没有抄；反而给官方发了邮件反映其不足之处。唉~~~这好像你看不懂，还是少说为妙。

zhq445078388

BootLoader 发表于 2012-7-7 16:00
好多年前的，翻出来到这里做什么，又没人看得懂。

Windows有符号文件，基本是C写成的，配合IDA基本上和看 ...

关注mj大神任何帖子

zhq445078388

qianyuqx 发表于 2012-7-8 01:08
的确，转这种文章干什么
整个卡饭估计只有费尔和360的几个官人看得懂

没错 看到1/3的时候已经迷糊了。。。
仅看明白win7 下 对磁盘写入的限制不是由api判定而改为驱动程序判定 这个驱动程序还是ntfs.sys
也就是说 直接IO也写不进被保护的区域
只要是 IRP_MJ_WRITE类型的IRP包
检查当前被写入扇区是否为VCB_STATE_LOCKED
然后检查IrpStack->Flags & 0x10是否成立。。但是这个。。。木有研究到。
然后会检查是否写入的地方是16扇区内
不成立则返回STATUS_ACCESS_DENIED （拒绝访问)

后面就晕了

不过勉强看到
volmgr.sys是检查直接写入\Device\Harddisk0\DR*或者SCSI/ATA/IDE PassThrough指令来写入磁盘的可行性

然后 看到一点：

由于RING3下无论是NtDeviceIoControl还是NtWriteFile，都要走IoGetRelatedDeviceObject/IoGetAttachedDeviceObject

也就是说 无论是直接R3 api还是直接打开驱动发送irp  都会进入一个特殊构建的回调 实现写入控制。

真心膜拜mj大大。。写的感觉很清楚了 还是很多看不懂的

蓝芯云安全

哈的189 发表于 2012-7-8 21:15
请转告：下次抄好一点。

有什么证据是抄的？5-3=8能证明是抄5+3=8的么？

乐在天涯

BootLoader 发表于 2012-7-7 16:00
好多年前的，翻出来到这里做什么，又没人看得懂。

Windows有符号文件，基本是C写成的，配合IDA基本上和看 ...

怎样能关注到您呀！？

哈的189

乐在天涯 发表于 2012-7-8 22:40
怎样能关注到您呀！？

http://weibo.com/mj0011

文明上网，不要无端造成他人的困扰哦。