[原创]读写硬盘的一种新模式（无视大部分还原哦）-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]读写硬盘的一种新模式（无视大部分还原哦）

发表于: 2012-11-16 04:58 27985

[原创]读写硬盘的一种新模式（无视大部分还原哦）

cvcvxk

2012-11-16 04:58

27985

ATAPI系列读写硬盘被大量穿透还原的恶意代码应用从而导致ATAPI读写磁盘已经不靠谱了，所以需要一种新方法~
用IDA打开HAL我们发现一组新的导出call~不过有操作系统限制，而且使用起来有操作系统限制（不过随着win7,win8的普及应该没啥问题了）~
不过也是很犀利的~详情见代码：

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・81

免费・6

支持

最新回复 (59) 1 2 3 ▶
t真三雪币： 78 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 1 关注私信	t真三 2 楼收我为徒吧 2012-11-16 06:32 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 3 楼收他为徒吧 2012-11-16 08:12 0
dico 雪币： 94 活跃值： (465) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 0 关注私信	dico 4 楼收亲为徒吧！ 2012-11-16 08:25 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 5 楼占位学习~~~~~ 2012-11-16 08:27 0
缘份天琊雪币： 50 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	缘份天琊 6 楼哈哈，V大又来放学血了 2012-11-16 08:30 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 7 楼来顶一下 V大 2012-11-16 08:36 0
wowocock 雪币： 405 活跃值： (2285) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 8 楼在老外的一个BOOTKIT文档里介绍过，貌似VISTA以后能用，据说支持于VISTA的VESA BIOS EXTENSION.不过没试过，老v实验成功了？ 2012-11-16 08:41 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 9 楼虽然看不明白是怎么回事。但我的原则就是看不懂的东西，就是好东西。 2012-11-16 09:32 0
wwwzhigang 雪币： 274 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 202 粉丝 1 关注私信	wwwzhigang 10 楼楼主强大啊~~ 2012-11-16 09:44 0
Artmiss 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 69 粉丝 1 关注私信	Artmiss 11 楼还没看懂，不过貌似很强大的样子，围观~ 2012-11-16 09:50 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 12 楼弱弱的问下，UltraGameProtect保护的程序AntiGameProtect可以调不？ 2012-11-16 10:05 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 13 楼我还可以站在第1页看V校 2012-11-16 10:19 0
lookzo 雪币： 6 活跃值： (1146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 14 楼看到ls的问题的，我笑爆了，好像是小学课本里的一片文章耶 2012-11-16 10:21 0
livecto 雪币： 17 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	livecto 15 楼顶一下.....茅和盾...不知道哪个比较厉害哈 2012-11-16 10:28 0
gonghxw 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	gonghxw 16 楼扩展13号中断读写硬盘 2012-11-16 10:28 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 17 楼这个必须mark？ 2012-11-16 10:40 0
Osleti 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	Osleti 18 楼强大啊...........膜拜.. 2012-11-16 11:07 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 19 楼谢谢分享..学习了.. 2012-11-16 11:10 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 20 楼 :) 占第二页看吧 2012-11-16 11:12 0
lylxd 雪币： 5199 活跃值： (3437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 21 楼哈哈哈哈哈～ 2012-11-16 11:25 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 22 楼数据代码复制到低1M空间，切换到实模式，调用INT13扩展中断，切换回保护模式，复制回数据。 2012-11-16 11:27 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 23 楼这个貌似是个可行的路子 2012-11-16 11:37 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 24 楼我是在说V大介绍的那种方法的实现原理（应该是，没研究过） 2012-11-16 11:51 0
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 25 楼 tdsskill这个专杀工具里好像也有这样一段代码，当时没有仔细看，原来是这个意思！ 2012-11-16 12:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

cvcvxk

125

发帖

3095

回帖

760

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (59) 1 2 3 ▶
t真三雪币： 78 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 47 粉丝 1 关注私信	t真三 2 楼收我为徒吧 2012-11-16 06:32 0
Dstlemoner 雪币： 292 活跃值： (153) 能力值： ( LV3，RANK：30 ) 在线值：发帖 28 回帖 847 粉丝 4 关注私信	Dstlemoner 3 楼收他为徒吧 2012-11-16 08:12 0
dico 雪币： 94 活跃值： (465) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 178 粉丝 0 关注私信	dico 4 楼收亲为徒吧！ 2012-11-16 08:25 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 5 楼占位学习~~~~~ 2012-11-16 08:27 0
缘份天琊雪币： 50 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 57 粉丝 0 关注私信	缘份天琊 6 楼哈哈，V大又来放学血了 2012-11-16 08:30 0
KMSRussian 雪币： 673 活跃值： (278) 能力值： ( LV15，RANK：360 ) 在线值：发帖 53 回帖 287 粉丝 3 关注私信	KMSRussian 8 7 楼来顶一下 V大 2012-11-16 08:36 0
wowocock 雪币： 405 活跃值： (2285) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 298 粉丝 21 关注私信	wowocock 1 8 楼在老外的一个BOOTKIT文档里介绍过，貌似VISTA以后能用，据说支持于VISTA的VESA BIOS EXTENSION.不过没试过，老v实验成功了？ 2012-11-16 08:41 0
comeon 雪币： 326 活跃值： (41) 能力值： ( LV3，RANK：20 ) 在线值：发帖 9 回帖 208 粉丝 0 关注私信	comeon 9 楼虽然看不明白是怎么回事。但我的原则就是看不懂的东西，就是好东西。 2012-11-16 09:32 0
wwwzhigang 雪币： 274 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 202 粉丝 1 关注私信	wwwzhigang 10 楼楼主强大啊~~ 2012-11-16 09:44 0
Artmiss 雪币： 19 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 69 粉丝 1 关注私信	Artmiss 11 楼还没看懂，不过貌似很强大的样子，围观~ 2012-11-16 09:50 0
LOCKLOSE 雪币： 14940 活跃值： (4728) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1040 粉丝 21 关注私信	LOCKLOSE 2 12 楼弱弱的问下，UltraGameProtect保护的程序AntiGameProtect可以调不？ 2012-11-16 10:05 0
tihty 雪币： 27 活跃值： (127) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 1095 粉丝 3 关注私信	tihty 2 13 楼我还可以站在第1页看V校 2012-11-16 10:19 0
lookzo 雪币： 6 活跃值： (1146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 526 粉丝 1 关注私信	lookzo 14 楼看到ls的问题的，我笑爆了，好像是小学课本里的一片文章耶 2012-11-16 10:21 0
livecto 雪币： 17 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 1 关注私信	livecto 15 楼顶一下.....茅和盾...不知道哪个比较厉害哈 2012-11-16 10:28 0
gonghxw 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	gonghxw 16 楼扩展13号中断读写硬盘 2012-11-16 10:28 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 17 楼这个必须mark？ 2012-11-16 10:40 0
Osleti 雪币： 349 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 67 粉丝 0 关注私信	Osleti 18 楼强大啊...........膜拜.. 2012-11-16 11:07 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 19 楼谢谢分享..学习了.. 2012-11-16 11:10 0
淡定疯着雪币： 297 活跃值： (120) 能力值： ( LV5，RANK：60 ) 在线值：发帖 31 回帖 445 粉丝 1 关注私信	淡定疯着 20 楼 :) 占第二页看吧 2012-11-16 11:12 0
lylxd 雪币： 5199 活跃值： (3437) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 253 粉丝 1 关注私信	lylxd 21 楼哈哈哈哈哈～ 2012-11-16 11:25 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 22 楼数据代码复制到低1M空间，切换到实模式，调用INT13扩展中断，切换回保护模式，复制回数据。 2012-11-16 11:27 0
张振江雪币： 122 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 226 粉丝 0 关注私信	张振江 23 楼这个貌似是个可行的路子 2012-11-16 11:37 0
ITSailor 雪币： 4817 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 206 粉丝 1 关注私信	ITSailor 24 楼我是在说V大介绍的那种方法的实现原理（应该是，没研究过） 2012-11-16 11:51 0
飞心男孩雪币： 300 活跃值： (179) 能力值： ( LV7，RANK：100 ) 在线值：发帖 7 回帖 137 粉丝 1 关注私信	飞心男孩 2 25 楼 tdsskill这个专杀工具里好像也有这样一段代码，当时没有仔细看，原来是这个意思！ 2012-11-16 12:14 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复