[原创]NTFS分区文件"暴力"隐藏软件-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]NTFS分区文件"暴力"隐藏软件

发表于: 2013-7-3 12:28 14101

[原创]NTFS分区文件"暴力"隐藏软件

zkgy

2013-7-3 12:28

14101

NTFS分区文件暴力隐藏软件，自己弄的玩的，大神请飘过。。。
核心技术不在于隐藏，而在于暴力性。[/COLOR]比如，可以直接暴力移动卡巴斯基，360等，目前还没有发现移动不了的东西，你可能会说这不就是发个IRP移动文件的问题吗？你可以试一下，你发一个IRP能不能把上面的号称自我保护做的很好的软件给移动了源代码全部贴出来没必要，该软件的核心技术请看我的另一个帖子，http://bbs.pediy.com/showthread.php?t=174789 《NTFS XCB定位》

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

NTFS超级隐藏.rar （17.55kb，148次下载）

收藏・5

免费・0

支持

最新回复 (37) 1 2 ▶
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 1 关注私信	wertyuyuyu 4 2 楼把文件移动到了$Extend\$zkHider\$MyFiles，用xuetr可以看到我在cmd里用move命令就可以把文件移出来，由于加载了驱动因此不支持64位，我感觉在ring3应该也可以搞定在Fat32下也有个目录只能在xuetr下看到，就是只有两个点的，你可以在cmd下输入md d:\...\创建，rd d:\...\删除 2013-7-3 13:00 0
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 3 楼无码无真相 2013-7-3 13:19 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 4 楼把文件copy到另外地方就叫文件隐藏啊。。。。。。 2013-7-3 13:33 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 5 楼你能用MOVE命令把卡巴斯基或者360的文件移到$Extend\$zkHider\$MyFiles吗？ 2013-7-3 21:49 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 6 楼呵呵，大神请飘过吧。。。 2013-7-3 21:51 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 7 楼 [QUOTE=zkgy;1194717]NTFS分区文件隐藏软件，自己弄的玩的，大神请飘过。。。。。。[/QUOTE] 呵呵……利用流文件不过你干嘛不直接把文件设置成流更加方便……何须copy呢？ 2013-7-3 22:05 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 8 楼 NTFS流不能隐藏文件夹啊 2013-7-4 07:56 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 9 楼额……但是那几个文件夹……不就是NTFS流麽…… 2013-7-4 17:31 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼 ^6^^^^^^^^^^ 2013-7-4 17:45 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 11 楼你说的有点对，但是你根本没有发现本软件的特殊之处，你试一下，隐藏卡巴斯基或者360就知道了，你能在Ring3下直接把上面的两个东西隐藏吗？,再说了，你连原理都没搞清楚，你好好看看那是copy吗？还是剪切 2013-7-5 11:14 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 12 楼你说的有点对，但是你根本没有发现本软件的特殊之处，你试一下，隐藏卡巴斯基或者360就知道了，你能在Ring3下直接把上面的两个东西隐藏吗？,再说了，你连原理都没搞清楚，你好好看看那是copy吗？还是剪切 2013-7-5 11:32 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 13 楼无聊啊，360啊，卡巴啊，你都驱动了，还讲什么~~~你不加载驱动移动才是有技术含量，都驱动了，怎么移动都可以了~~ PS: 另外说到暴力啊，直接磁盘操作多暴力，多暴力啊~ 2013-7-5 11:52 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 14 楼不要暴力,要和谐~ 2013-7-5 15:02 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 15 楼直接修改磁盘是够暴力，那老兄你提出一个完美刷新文件系统缓存的方法也行啊！你倒说说看，你有什么完美刷新NTFS缓存的方法，让你修改磁盘的结果生效。 2013-7-5 17:31 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 16 楼 +1 直接磁盘操作和刷新缓冲网上都是有公开的源码何况挪杀软的文件何必用这样的方法被设备链上的玩意全部摘掉就ok了这完全就是把一个简单的流文件问题故意复杂化 2013-7-5 18:24 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 17 楼唉说话这么冲干什么……素质什么的最重要了，只是一个单纯的技术探讨，没有必要吵架要说我要挪卡巴 r3下就够了，r3下是可以直接读写硬盘的，怎么搞大家都知道，很老的技术了，解析ntfs的源码网上有现成的，连ntfs的源码网上都有，也不要说r3下卡巴360不让读磁盘，因为卡巴360同样不让加载驱动，解析ntfs的源码网上有现成的，连ntfs的源码网上都有，这玩意搞来搞去没意思，完全没有必要你那样搞 2013-7-5 18:27 0
莫灰灰雪币： 2284 活跃值： (2170) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 18 楼技术交流而已，大家和谐一点嘛。 2013-7-5 18:34 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 19 楼 +1 我也是这么认为的不是很懂ntfs 但是我貌似记得有个叫NtfsFlushVolume神奇东东，可以稳定的处理这个问题……而且早有前辈讲过“刷缓冲，r3下足以” 2013-7-5 18:43 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 20 楼 NtfsFlushVolume如何使用？求解。 2013-7-5 19:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 21 楼 Qihoo某届比赛的答案里就有~ 2013-7-5 19:32 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 22 楼嗯是的…… 话说现在ntfs刷缓存应该没大用了…… 现在双缓存已经普及……还有些是直接把过滤做在卷上……模拟ntfs的功能…… 单缓存的时代已经过去了…… 2013-7-5 20:26 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 23 楼少年，你不要这么妄加猜测，我用的不是你说的流文件技术，是XCB的一个小技术，我把它放上来不是给你们吵嘴的，你爱下载也好，不爱下载也好，但是，如果你没有进行详细逆向，请你不要那么自以为是的对别人的东西下定论，这样会变得很肤浅，我用什么技术跟你有什么关系吗？你上面说的修改磁盘和摘除设备链都可以实现，但是要比我的方法复杂一些。 2013-7-7 08:54 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 24 楼我发现了，越是技术高的人，越是有涵养。。。。我把这个东西弄上来，本来就是供大家玩的，不是来显摆自己技术的。 2013-7-7 08:55 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 25 楼 r3下是可以直接读写硬盘的？少年，我又发现了你的一个无知，你能在Win7下直接在Ring3下写磁盘吗？你爱下载就下载，不爱下载就算了，没必要这么妄加猜测。 2013-7-7 08:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zkgy

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (37) 1 2 ▶
wertyuyuyu 雪币： 778 活跃值： (208) 能力值： ( LV9，RANK：260 ) 在线值：发帖 34 回帖 249 粉丝 1 关注私信	wertyuyuyu 4 2 楼把文件移动到了$Extend\$zkHider\$MyFiles，用xuetr可以看到我在cmd里用move命令就可以把文件移出来，由于加载了驱动因此不支持64位，我感觉在ring3应该也可以搞定在Fat32下也有个目录只能在xuetr下看到，就是只有两个点的，你可以在cmd下输入md d:\...\创建，rd d:\...\删除 2013-7-3 13:00 0
白玉箫雪币： 351 活跃值： (22) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 197 粉丝 0 关注私信	白玉箫 3 楼无码无真相 2013-7-3 13:19 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 4 楼把文件copy到另外地方就叫文件隐藏啊。。。。。。 2013-7-3 13:33 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 5 楼你能用MOVE命令把卡巴斯基或者360的文件移到$Extend\$zkHider\$MyFiles吗？ 2013-7-3 21:49 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 6 楼呵呵，大神请飘过吧。。。 2013-7-3 21:51 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 7 楼 [QUOTE=zkgy;1194717]NTFS分区文件隐藏软件，自己弄的玩的，大神请飘过。。。。。。[/QUOTE] 呵呵……利用流文件不过你干嘛不直接把文件设置成流更加方便……何须copy呢？ 2013-7-3 22:05 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 8 楼 NTFS流不能隐藏文件夹啊 2013-7-4 07:56 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 9 楼额……但是那几个文件夹……不就是NTFS流麽…… 2013-7-4 17:31 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 10 楼 ^6^^^^^^^^^^ 2013-7-4 17:45 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 11 楼你说的有点对，但是你根本没有发现本软件的特殊之处，你试一下，隐藏卡巴斯基或者360就知道了，你能在Ring3下直接把上面的两个东西隐藏吗？,再说了，你连原理都没搞清楚，你好好看看那是copy吗？还是剪切 2013-7-5 11:14 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 12 楼你说的有点对，但是你根本没有发现本软件的特殊之处，你试一下，隐藏卡巴斯基或者360就知道了，你能在Ring3下直接把上面的两个东西隐藏吗？,再说了，你连原理都没搞清楚，你好好看看那是copy吗？还是剪切 2013-7-5 11:32 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 13 楼无聊啊，360啊，卡巴啊，你都驱动了，还讲什么~~~你不加载驱动移动才是有技术含量，都驱动了，怎么移动都可以了~~ PS: 另外说到暴力啊，直接磁盘操作多暴力，多暴力啊~ 2013-7-5 11:52 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 14 楼不要暴力,要和谐~ 2013-7-5 15:02 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 15 楼直接修改磁盘是够暴力，那老兄你提出一个完美刷新文件系统缓存的方法也行啊！你倒说说看，你有什么完美刷新NTFS缓存的方法，让你修改磁盘的结果生效。 2013-7-5 17:31 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 16 楼 +1 直接磁盘操作和刷新缓冲网上都是有公开的源码何况挪杀软的文件何必用这样的方法被设备链上的玩意全部摘掉就ok了这完全就是把一个简单的流文件问题故意复杂化 2013-7-5 18:24 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 17 楼唉说话这么冲干什么……素质什么的最重要了，只是一个单纯的技术探讨，没有必要吵架要说我要挪卡巴 r3下就够了，r3下是可以直接读写硬盘的，怎么搞大家都知道，很老的技术了，解析ntfs的源码网上有现成的，连ntfs的源码网上都有，也不要说r3下卡巴360不让读磁盘，因为卡巴360同样不让加载驱动，解析ntfs的源码网上有现成的，连ntfs的源码网上都有，这玩意搞来搞去没意思，完全没有必要你那样搞 2013-7-5 18:27 0
莫灰灰雪币： 2284 活跃值： (2170) 能力值： (RANK：400 ) 在线值：发帖 22 回帖 712 粉丝 47 关注私信	莫灰灰 9 18 楼技术交流而已，大家和谐一点嘛。 2013-7-5 18:34 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 19 楼 +1 我也是这么认为的不是很懂ntfs 但是我貌似记得有个叫NtfsFlushVolume神奇东东，可以稳定的处理这个问题……而且早有前辈讲过“刷缓冲，r3下足以” 2013-7-5 18:43 0
aait 雪币： 468 活跃值： (52) 能力值： ( LV2，RANK：10 ) 在线值：发帖 83 回帖 677 粉丝 2 关注私信	aait 20 楼 NtfsFlushVolume如何使用？求解。 2013-7-5 19:08 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 234 关注私信	cvcvxk 10 21 楼 Qihoo某届比赛的答案里就有~ 2013-7-5 19:32 0
rqqeq 雪币： 11 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 18 回帖 908 粉丝 0 关注私信	rqqeq 22 楼嗯是的…… 话说现在ntfs刷缓存应该没大用了…… 现在双缓存已经普及……还有些是直接把过滤做在卷上……模拟ntfs的功能…… 单缓存的时代已经过去了…… 2013-7-5 20:26 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 23 楼少年，你不要这么妄加猜测，我用的不是你说的流文件技术，是XCB的一个小技术，我把它放上来不是给你们吵嘴的，你爱下载也好，不爱下载也好，但是，如果你没有进行详细逆向，请你不要那么自以为是的对别人的东西下定论，这样会变得很肤浅，我用什么技术跟你有什么关系吗？你上面说的修改磁盘和摘除设备链都可以实现，但是要比我的方法复杂一些。 2013-7-7 08:54 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 24 楼我发现了，越是技术高的人，越是有涵养。。。。我把这个东西弄上来，本来就是供大家玩的，不是来显摆自己技术的。 2013-7-7 08:55 0
zkgy 雪币： 55 活跃值： (33) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 35 粉丝 2 关注私信	zkgy 1 25 楼 r3下是可以直接读写硬盘的？少年，我又发现了你的一个无知，你能在Win7下直接在Ring3下写磁盘吗？你爱下载就下载，不爱下载就算了，没必要这么妄加猜测。 2013-7-7 08:57 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复