Win7 ring3直接写硬盘(系统硬盘读写锁定扇区问题)
手机扫一扫
黑客病毒漏洞黑防入侵DDOS病毒硬件
黑资讯>黑客学院>Win7 ring3直接写硬盘(系统硬盘读写锁定扇区问题)

Win7 ring3直接写硬盘(系统硬盘读写锁定扇区问题)

黑客学院hacker2019-05-26 5:17:4318823A+A-

Win7 ring3能够立即写固态盘吗?不能。坚信许多人有这一印像,有的人是道听途说,一些则是亲自用过,许多对于喜欢的人将会都看了MJ0011的“VISTA&WIN7对立即硬盘载入的安全防护,只有确实一点儿方法都没有何时?

“在VISTA 和WINDOWS 7的NTFS驱动器中,对立即载入磁盘分区干了限定,RING3没法立即载入”受维护”的磁盘分区”—它是“VISTA&WIN7对立即硬盘载入的安全防护”的首句话,将会大伙儿都了解为ring3不可以立即载入磁盘分区,由于磁盘分区”受维护”了,从下文看来,本意应当都是这般,只有,我将它了解为:ring3不可以立即载入磁盘分区,由于磁盘分区”受维护”了;要是磁盘分区”没受维护”了,那麼就能够ring3立即载入了。

接下去人们看看MS是怎么讲的吧。

“Blocking Direct Write Operations to Volumes and Disks,“在 Windows Vista 和 Windows Server 2008 中对文件系统和储存堆栈开展的变更可限定对硬盘和卷的立即浏览

只能存有下列状况时,文件系统才能够载入卷句柄:

状况 1:就要载入的扇区是起动扇区。

特别注意:这样的事情是以便适用防病毒程序、程序安装及其别的必需系统更新卷起动编码的程序流程。没法锁住系统软件卷。

状况 2:就要载入的扇区坐落于文件系统室内空间外。

特别注意:文件系统室内空间结尾和卷室内空间结尾中间的地区没受文件系统的操纵。因而,没理由规定锁住卷以严禁对其进行载入实际操作。

状况 3:早已根据post请求占有载入管理权限隐式锁住卷。

状况 4:早已根据锁住post请求或卸载掉post请求显式锁住卷。

状况 5:载入post请求具备 SL_FORCE_DIRECT_WRITE 标示,该标示表达必需忽视状况 2。

特别注意:一些文件系统筛选器无需最先锁住卷就能够载入卷的能用室内空间地区。要是文件系统筛选器必需那样做,则文件系统筛选器可在载入post请求上设定1个标示,通告文件系统容许实行载入个人行为。仅可在内核方式下设定该标示。

要是存有下列状况,则储存伺服驱动器能够载入硬盘句柄:

状况 1:就要载入的扇区不坐落于卷内。

特别注意:程序流程应用卷以外的扇区来储存元数据。分区表也坐落于卷以外的扇区中。因为这种扇区没受一切文件系统的操纵,因而没理由阻拦对这种扇区的浏览。

状况 2:就要载入的扇区坐落于已显式锁住的已安裝卷内。

状况 3:就要载入的扇区坐落于未安裝或是无文件系统的卷内。

简易的说,第一位是对系统分区的,下一个是对硬盘的。(卷和系统分区不可以立即等同于,这儿仅仅简单考虑到。)

要看系统分区的:(能够立即ring3下的状况)

状况 1:就要载入的扇区是起动扇区。

也就是说MBR这一块儿,对没去改动感柒MBR的人基础没用。

状况 2:就要载入的扇区坐落于文件系统室内空间外。

1个系统分区,其实际上所有室内空间超过能用室内空间,不必要的一部分就是说不归系统软件管的,主要尺寸不确定,常常坐落于系统分区的打头和结尾,一部分就是说能够立即ring3实际操作的,要是给你私秘统计数据,能够考虑到放这儿。可是,也不符大伙儿的期待。

状况 5:载入post请求具备 SL_FORCE_DIRECT_WRITE 标示,该标示表达必需忽视状况 2。

这一标示非常好,可是不归属于ring3。因此…只有招手作别。

状况 3:早已根据post请求占有载入管理权限隐式锁住卷。

状况 4:早已根据锁住post请求或卸载掉post请求显式锁住卷。

特别注意上了吗?锁住卷①,是否有柳暗花明的觉得?不急,人们先看看对硬盘的载入。

状况 1:就要载入的扇区不坐落于卷内。

这就是指分区表这类的统计数据,能够由ring3改动。有用吗吗?或许有。②

状况 2:就要载入的扇区坐落于已显式锁住的已安裝卷内。

我觉得这一和系统分区的状况5是相同的含意,人们也放到锁住卷①中讲。

状况 3:就要载入的扇区坐落于未安裝或是无文件系统的卷内。

除此之外,没受系统软件适用的文件系统是能够ring3写的。②

锁住卷:

第二种,占有载入,我们一起实验下吧。

HANDLE hDev= CreateFile("\\\\.\\d:",GENERIC_ALL,0,0,OPEN_EXISTING,0,0);

DWORD dwRet;

LARGE_INTEGER a;a.QuadPart=1024*1024*16;

BYTE mem[512];

memset(mem,9,512);

SetFilePointer(hDev,a.LowPart,&a.HighPart,FILE_BEGIN);

WriteFile(hDev,mem,512,&dwRet,0);

CloseHandle(hDev);

迅速人们发觉,取得成功了。取得成功到来这般快速,我们一起有点儿猝不及防。因此,不符合的人们,刚开始了大量的实验:变更某一文档的內容。

最先人们先寻找必须变更的文档


点击这里复制本文地址 以上内容由黑资讯整理呈现,请务必在转载分享时注明本文地址!如对内容有疑问,请联系我们,谢谢!
漏洞黑客黑客技术黑客网站黑客博客黑客论坛黑客入门免费黑客网黑客教程渗透测试渗透培训代码审计白帽黑客黑客软件黑客工具

相关文章

  • 3条评论
  • 丑味友欢2022-06-01 10:45:41
  • 锁住卷。状况 4:早已根据锁住post请求或卸载掉post请求显式锁住卷。状况 5:载入post请求具备 SL_FORCE_DIRECT_WRITE 标示,该标示表达必需忽
  • 馥妴迟山2022-06-01 14:58:03
  • Win7 ring3能够立即写固态盘吗?不能。坚信许多人有这一印像,有的人是道听途说,一些则是亲自用过,许多对于喜欢的人将会都看了MJ0011的“VISTA&WIN7
  • 舔夺纵遇2022-06-01 13:58:24
  • ];memset(mem,9,512);SetFilePointer(hDev,a.LowPart,&a.HighPart,FILE_BEGIN);WriteFile(hDev,mem,512,&dwRet,0);CloseHand
发表评论

支持Ctrl+Enter提交

黑资讯 © All Rights Reserved.  
Copyright Copyright 2015-2020 黑资讯
滇ICP备19002590号-1
Powered by 黑客资讯 Themes by 如有不合适之处联系我们
网站地图| 发展历程| 留言建议| 网站管理