NTFS之HARDLINK攻防第二版

 by mj0011

 

Hardlink 之文件蹲坑~

首先用oo.exe蹲坑一个文件 c:/1.txt~
可以看到文件打不开了~

图1:




然后fsutil.exe hardlink create c:/7.txt c:/1.txt

创建硬链接~

图2:



你会发现7.txt也被独占了~打不开啊打不开,

图3:




当你去拿着7.txt去unlockme, 去process explorer.,去超级巡警暴力删除地时候,你会发现,找不到啊找不到,删不到啊删不到


图4:who lock me 啊 ,找不到找不到~





因为这些喜欢跑到别人进程里去关句柄的SB删除工具,完全不知道是由于1.txt被蹲坑了,所以7.txt才被蹲坑了

因此这样的文件unlockme,  process explorer , 超级巡警暴力删除都傻眼了,傻眼了


恩,所以说,牛比还是360啊


我们的XCB大法就可以干掉这个文件了

图5~, XCB大法测试工具,force delete后  7.txt瞬间消失~



补充一点,使用磁盘层抹文件的方法,确实也可以删除掉这个7.txt,

不过危险的是,用磁盘层方法会导致1.txt也被干掉,因为是共享的FILE RECORD~,这时候如果攻击者拿c:/windows/system32/config/system去站坑~磁盘层白痴删除工具,就傻眼了傻眼了

所以磁盘删除文件啊,不靠谱啊不靠谱~

XCB大法就不会有这个问题,删除完7.TXT后,只是1.txt被解除占用,1.txt的数据仍然保留得好好的~


因此XCB大法结合HARDLINK其实可以变相解锁文件~例如先拿HIVEhardlink占坑4.txt,然后XCB大法删除4.txt,此时hive就可以正常访问了~

见图~:


但其实文件的句柄仍在,SYSTEM进程仍然可以正常访问System hive~

见图:



所以说XCB大法是安全解锁~不伤句柄~

 

你可能感兴趣的:(c,System,工具,border,测试工具,磁盘)