首页
社区
课程
招聘
[分享]一个强制复制和删除文件的工具
发表于: 2008-10-6 10:32 31811

[分享]一个强制复制和删除文件的工具

2008-10-6 10:32
31811
DiskSpy是一款支持磁盘扇区级的文件复制及删除功能的软件,能绕过目前所有已知的各种文件保护方式,对付顽固病毒尤其有效。只要你会使用简单的dos命令,你就会使用DiskSpy。

支持命令列表:
exit 退出该程序。
cd <path> 进入当前目录下的子目录
cd..  退回到上层子目录
dir  列出当前目录下的所有目录和文件
copy <filename>  复制文件
del <filename>   删除文件
next 进入下一个分区,即逻辑磁盘。
help 简单的帮助。

比如你要删除e:\windows\system32\drivers\rootkit.sys文件,按下面的方法进行操作:
运行该软件后,会弹出黑色dos窗口,最下方C:\>表示当前处于c盘根目录,
要转到e盘,需要输入next,此时会显示D:\>,再次输入next,就到e盘了

要进入子目录,输入cd windows,就到了windows目录下,再次输入cd system32,然后输入
cd drivers,就到了dirvers目录下了,此时输入dir,会显示当前目录下的所有文件。
要删除该文件,输入del rootkit.sys, 该文件内容即被以扇区填0的方法删除了。
要复制该文件,输入copy rootkit.sys, 该文件会被复制到DiskSpy的操作目录下,重命名为Dump_rootkit.sys。

当文件删除后,如果你用windows的资源管理器去查看文件内容,会发现文件没有任何改变,
这只是因为资源管理器使用的是该分区驱动(取决于该分区的类型,如fat32或ntfs)返回的上层结果,该结果没有被刷新。因此当你删除文件后,你应该重新启动计算机,就会看到该文件已经灰飞烟灭了。
注意清除文件内容后, 文件大小并没有改变,文件实际上仍然存在,改变的仅仅是文件内容,全部被用0填充了.

修正记录:
2008.09.28 过滤了ntfs分区的系统文件.不显示在输出列表中.

2010.05.20 工具版本已经更新,请大家下载新的版本,参考新的链接:http://bbs.pediy.com/showthread.php?t=96351

[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 0
支持
分享
最新回复 (40)
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
2
请问这东西稳不稳?
2008-10-6 10:34
0
雪    币: 233
活跃值: (43)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
3
楼上的兄弟尽管放心,已在我本地的n台计算机(n>5)上进行了验证,上面所列举的功能都能正确实现.如果有什么问题,欢迎大家提出bug.
2008-10-6 10:41
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
4
ok. 那下载啰. 谢谢!
我现在copy一些 flv影片都是用 final data
看来以后不用装 final data 了
谢谢! 感恩!
2008-10-6 10:59
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
这东西是干掉木马的好工具啊
2008-10-6 11:04
0
雪    币: 233
活跃值: (43)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
6
正是因为在平时总是遇到一些被恶意保护的文件无法删除,我才决定要做实现这样功能的一个软件,因为是基于磁盘扇区操作的,所以比360的文件粉碎机,江民的右键粉碎文件都更有效.dir命令能够发现一些被rootkit所隐藏的恶意文件.理论上在这种模式下是隐藏不掉的.
2008-10-6 11:16
0
雪    币: 2067
活跃值: (82)
能力值: ( LV9,RANK:180 )
在线值:
发帖
回帖
粉丝
7
DiskSpy [Version 1.0]
Marxixing@tom.com
2008.07.16 - 09.28

C:\>dir
oh, GetMftFileRecord failed, so shit!

C:\>copy zlt023ca.tmp
What? is not directory!

C:\>
2008-10-7 06:25
0
雪    币: 233
活跃值: (43)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
8
抱歉,楼上的错误在我本地的多台计算机都无法重现,我再看看到底bug出现在什么地方.
2008-10-7 12:58
0
雪    币: 213
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
是不是有杀软给保护了?
2008-10-7 21:02
0
雪    币: 156
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
我觉得,还是在进程中T除,再删除,重启才安全。不然的话,你扇区中就算删了,内存中还有病毒存在,它会随时复原删除的文件。不过这软件也有它的优点,还是不错的。顶
2008-10-24 14:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
好东西,收藏,window nt内核按理论上是不可以这样的,对磁盘和CPU底层是有保护的
2008-10-27 09:45
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
不错 正需要 谢谢啦
2008-11-8 14:14
0
雪    币: 211
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
next到D盘下,dir后出现报警声,显示乱码。
2008-11-8 20:09
0
雪    币: 561
活跃值: (124)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
不错 收藏备用
2008-11-8 22:55
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
下载收藏,谢谢。
2008-11-10 11:51
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
收藏备用。这种扇区级的操作,不知道要不要自己处理碎片文件。还有,不知道是否支持raid
2008-11-18 23:38
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
要了,。。。。。
2008-11-22 22:53
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
还以为是代码呢...
2008-11-22 23:17
0
雪    币: 226
活跃值: (115)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
19
双击打开后, 直接DIR, 没问题, 可显示出文件及路径。

如果先Next后, 再DIR , 出错。 如下图所示:

上传的附件:
2008-11-26 23:51
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
问一个问题:你的这个和在dos下用那些命令有什么差别吗?
2008-11-30 11:47
0
雪    币: 156
活跃值: (429)
能力值: ( LV2,RANK:15 )
在线值:
发帖
回帖
粉丝
21
本来也想写个类似的东西,看到楼主的觉得不错
基于磁盘的数据处理,不通过文件系统,这样可以发现一些通过文件系统隐藏的文件,理论上可以抗一些rootkit,作者最好再完善扩充下这个工具
2008-12-1 11:13
0
雪    币: 190
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
22
在偶的SP3系统下可以运行,但是进不了根目录,也就换不了目录。。。
2008-12-9 14:01
0
雪    币: 172
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
不错,正需要的好东东
2008-12-24 20:15
0
雪    币: 3
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
这个东西不错,收藏一下
2008-12-25 10:23
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
DiskSpy是一款支持磁盘扇区级的文件复制及删除功能的软件,能绕过目前所有已知的各种文件保护方式,对付顽固病毒尤其有效。只要你会使用简单的dos命令,你就会使用DiskSpy。
2008-12-26 02:59
0
游客
登录 | 注册 方可回帖
返回
//