[分享]一个强制复制和删除文件的工具-编程技术-看雪-安全社区|安全招聘|kanxue.com

[分享]一个强制复制和删除文件的工具

发表于: 2008-10-6 10:32 31749

[分享]一个强制复制和删除文件的工具

marxixing

2008-10-6 10:32

31749

DiskSpy是一款支持磁盘扇区级的文件复制及删除功能的软件，能绕过目前所有已知的各种文件保护方式，对付顽固病毒尤其有效。只要你会使用简单的dos命令，你就会使用DiskSpy。

支持命令列表：
exit 退出该程序。
cd <path> 进入当前目录下的子目录
cd..  退回到上层子目录
dir  列出当前目录下的所有目录和文件
copy <filename>  复制文件
del <filename> 删除文件
next 进入下一个分区，即逻辑磁盘。
help 简单的帮助。

比如你要删除e:\windows\system32\drivers\rootkit.sys文件，按下面的方法进行操作：
运行该软件后，会弹出黑色dos窗口，最下方C:\>表示当前处于c盘根目录，
要转到e盘，需要输入next，此时会显示D:\>,再次输入next，就到e盘了

要进入子目录，输入cd windows,就到了windows目录下，再次输入cd system32,然后输入
cd drivers，就到了dirvers目录下了，此时输入dir，会显示当前目录下的所有文件。
要删除该文件，输入del rootkit.sys, 该文件内容即被以扇区填0的方法删除了。
要复制该文件，输入copy rootkit.sys, 该文件会被复制到DiskSpy的操作目录下，重命名为Dump_rootkit.sys。

当文件删除后，如果你用windows的资源管理器去查看文件内容，会发现文件没有任何改变，
这只是因为资源管理器使用的是该分区驱动(取决于该分区的类型，如fat32或ntfs)返回的上层结果，该结果没有被刷新。因此当你删除文件后，你应该重新启动计算机，就会看到该文件已经灰飞烟灭了。
注意清除文件内容后, 文件大小并没有改变,文件实际上仍然存在,改变的仅仅是文件内容,全部被用0填充了.

修正记录:
2008.09.28 过滤了ntfs分区的系统文件.不显示在输出列表中.

2010.05.20 工具版本已经更新，请大家下载新的版本，参考新的链接：http://bbs.pediy.com/showthread.php?t=96351

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

DiskSpy.zip （22.09kb，646次下载）

收藏・9

免费・0

支持

最新回复 (40) 1 2 ▶
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 2 楼请问这东西稳不稳? 2008-10-6 10:34 0
marxixing 雪币： 233 活跃值： (43) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 57 粉丝 0 关注私信	marxixing 2 3 楼楼上的兄弟尽管放心,已在我本地的n台计算机(n>5)上进行了验证,上面所列举的功能都能正确实现.如果有什么问题,欢迎大家提出bug. 2008-10-6 10:41 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 4 楼 ok. 那下载啰. 谢谢! 我现在copy一些 flv影片都是用 final data 看来以后不用装 final data 了谢谢! 感恩! 2008-10-6 10:59 0
suibk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	suibk 5 楼这东西是干掉木马的好工具啊 2008-10-6 11:04 0
marxixing 雪币： 233 活跃值： (43) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 57 粉丝 0 关注私信	marxixing 2 6 楼正是因为在平时总是遇到一些被恶意保护的文件无法删除,我才决定要做实现这样功能的一个软件,因为是基于磁盘扇区操作的,所以比360的文件粉碎机,江民的右键粉碎文件都更有效.dir命令能够发现一些被rootkit所隐藏的恶意文件.理论上在这种模式下是隐藏不掉的. 2008-10-6 11:16 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 7 楼 DiskSpy [Version 1.0] Marxixing@tom.com 2008.07.16 - 09.28 C:\>dir oh, GetMftFileRecord failed, so shit! C:\>copy zlt023ca.tmp What? is not directory! C:\> 2008-10-7 06:25 0
marxixing 雪币： 233 活跃值： (43) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 57 粉丝 0 关注私信	marxixing 2 8 楼抱歉,楼上的错误在我本地的多台计算机都无法重现,我再看看到底bug出现在什么地方. 2008-10-7 12:58 0
appben 雪币： 213 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 124 粉丝 0 关注私信	appben 9 楼是不是有杀软给保护了? 2008-10-7 21:02 0
冰到极点雪币： 156 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	冰到极点 10 楼我觉得，还是在进程中T除，再删除，重启才安全。不然的话，你扇区中就算删了，内存中还有病毒存在，它会随时复原删除的文件。不过这软件也有它的优点，还是不错的。顶 2008-10-24 14:39 0
roottan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	roottan 11 楼好东西,收藏,window nt内核按理论上是不可以这样的,对磁盘和CPU底层是有保护的 2008-10-27 09:45 0
xinhuadlk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	xinhuadlk 12 楼不错正需要谢谢啦 2008-11-8 14:14 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 13 楼 next到D盘下，dir后出现报警声，显示乱码。 2008-11-8 20:09 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 14 楼不错　收藏备用 2008-11-8 22:55 0
hbhzga 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	hbhzga 15 楼下载收藏，谢谢。 2008-11-10 11:51 0
china龙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	china龙 16 楼收藏备用。这种扇区级的操作，不知道要不要自己处理碎片文件。还有，不知道是否支持raid 2008-11-18 23:38 0
ttthzy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ttthzy 17 楼要了，。。。。。 2008-11-22 22:53 0
petsatan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	petsatan 18 楼还以为是代码呢... 2008-11-22 23:17 0
skyXnet 雪币： 226 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 84 粉丝 0 关注私信	skyXnet 3 19 楼双击打开后，直接DIR，没问题，可显示出文件及路径。如果先Next后，再DIR ，出错。如下图所示：上传的附件： nexT后出错.jpg （20.95kb，163次下载） 2008-11-26 23:51 0
水土不服雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	水土不服 20 楼问一个问题：你的这个和在dos下用那些命令有什么差别吗？ 2008-11-30 11:47 0
BebEtter 雪币： 156 活跃值： (394) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	BebEtter 21 楼本来也想写个类似的东西,看到楼主的觉得不错基于磁盘的数据处理,不通过文件系统,这样可以发现一些通过文件系统隐藏的文件,理论上可以抗一些rootkit,作者最好再完善扩充下这个工具 2008-12-1 11:13 0
hlxuan 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	hlxuan 22 楼在偶的SP3系统下可以运行，但是进不了根目录，也就换不了目录。。。 2008-12-9 14:01 0
陀螺雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	陀螺 23 楼不错，正需要的好东东 2008-12-24 20:15 0
andylauone 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	andylauone 24 楼这个东西不错，收藏一下 2008-12-25 10:23 0
chifuk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	chifuk 25 楼 DiskSpy是一款支持磁盘扇区级的文件复制及删除功能的软件，能绕过目前所有已知的各种文件保护方式，对付顽固病毒尤其有效。只要你会使用简单的dos命令，你就会使用DiskSpy。 2008-12-26 02:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

marxixing

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (40) 1 2 ▶
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 2 楼请问这东西稳不稳? 2008-10-6 10:34 0
marxixing 雪币： 233 活跃值： (43) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 57 粉丝 0 关注私信	marxixing 2 3 楼楼上的兄弟尽管放心,已在我本地的n台计算机(n>5)上进行了验证,上面所列举的功能都能正确实现.如果有什么问题,欢迎大家提出bug. 2008-10-6 10:41 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 4 楼 ok. 那下载啰. 谢谢! 我现在copy一些 flv影片都是用 final data 看来以后不用装 final data 了谢谢! 感恩! 2008-10-6 10:59 0
suibk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	suibk 5 楼这东西是干掉木马的好工具啊 2008-10-6 11:04 0
marxixing 雪币： 233 活跃值： (43) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 57 粉丝 0 关注私信	marxixing 2 6 楼正是因为在平时总是遇到一些被恶意保护的文件无法删除,我才决定要做实现这样功能的一个软件,因为是基于磁盘扇区操作的,所以比360的文件粉碎机,江民的右键粉碎文件都更有效.dir命令能够发现一些被rootkit所隐藏的恶意文件.理论上在这种模式下是隐藏不掉的. 2008-10-6 11:16 0
sessiondiy 雪币： 2067 活跃值： (82) 能力值： ( LV9，RANK：180 ) 在线值：发帖 37 回帖 3244 粉丝 6 关注私信	sessiondiy 4 7 楼 DiskSpy [Version 1.0] Marxixing@tom.com 2008.07.16 - 09.28 C:\>dir oh, GetMftFileRecord failed, so shit! C:\>copy zlt023ca.tmp What? is not directory! C:\> 2008-10-7 06:25 0
marxixing 雪币： 233 活跃值： (43) 能力值： ( LV6，RANK：90 ) 在线值：发帖 12 回帖 57 粉丝 0 关注私信	marxixing 2 8 楼抱歉,楼上的错误在我本地的多台计算机都无法重现,我再看看到底bug出现在什么地方. 2008-10-7 12:58 0
appben 雪币： 213 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 124 粉丝 0 关注私信	appben 9 楼是不是有杀软给保护了? 2008-10-7 21:02 0
冰到极点雪币： 156 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 74 粉丝 0 关注私信	冰到极点 10 楼我觉得，还是在进程中T除，再删除，重启才安全。不然的话，你扇区中就算删了，内存中还有病毒存在，它会随时复原删除的文件。不过这软件也有它的优点，还是不错的。顶 2008-10-24 14:39 0
roottan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	roottan 11 楼好东西,收藏,window nt内核按理论上是不可以这样的,对磁盘和CPU底层是有保护的 2008-10-27 09:45 0
xinhuadlk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	xinhuadlk 12 楼不错正需要谢谢啦 2008-11-8 14:14 0
laohai 雪币： 211 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 284 粉丝 0 关注私信	laohai 13 楼 next到D盘下，dir后出现报警声，显示乱码。 2008-11-8 20:09 0
lixupeng 雪币： 563 活跃值： (95) 能力值： ( LV2，RANK：10 ) 在线值：发帖 31 回帖 1636 粉丝 0 关注私信	lixupeng 14 楼不错　收藏备用 2008-11-8 22:55 0
hbhzga 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 23 粉丝 0 关注私信	hbhzga 15 楼下载收藏，谢谢。 2008-11-10 11:51 0
china龙雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 18 粉丝 0 关注私信	china龙 16 楼收藏备用。这种扇区级的操作，不知道要不要自己处理碎片文件。还有，不知道是否支持raid 2008-11-18 23:38 0
ttthzy 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	ttthzy 17 楼要了，。。。。。 2008-11-22 22:53 0
petsatan 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 19 粉丝 0 关注私信	petsatan 18 楼还以为是代码呢... 2008-11-22 23:17 0
skyXnet 雪币： 226 活跃值： (115) 能力值： ( LV8，RANK：130 ) 在线值：发帖 12 回帖 84 粉丝 0 关注私信	skyXnet 3 19 楼双击打开后，直接DIR，没问题，可显示出文件及路径。如果先Next后，再DIR ，出错。如下图所示：上传的附件： nexT后出错.jpg （20.95kb，163次下载） 2008-11-26 23:51 0
水土不服雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	水土不服 20 楼问一个问题：你的这个和在dos下用那些命令有什么差别吗？ 2008-11-30 11:47 0
BebEtter 雪币： 156 活跃值： (394) 能力值： ( LV2，RANK：15 ) 在线值：发帖 0 回帖 15 粉丝 0 关注私信	BebEtter 21 楼本来也想写个类似的东西,看到楼主的觉得不错基于磁盘的数据处理,不通过文件系统,这样可以发现一些通过文件系统隐藏的文件,理论上可以抗一些rootkit,作者最好再完善扩充下这个工具 2008-12-1 11:13 0
hlxuan 雪币： 190 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 3 粉丝 0 关注私信	hlxuan 22 楼在偶的SP3系统下可以运行，但是进不了根目录，也就换不了目录。。。 2008-12-9 14:01 0
陀螺雪币： 172 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 12 粉丝 0 关注私信	陀螺 23 楼不错，正需要的好东东 2008-12-24 20:15 0
andylauone 雪币： 3 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	andylauone 24 楼这个东西不错，收藏一下 2008-12-25 10:23 0
chifuk 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	chifuk 25 楼 DiskSpy是一款支持磁盘扇区级的文件复制及删除功能的软件，能绕过目前所有已知的各种文件保护方式，对付顽固病毒尤其有效。只要你会使用简单的dos命令，你就会使用DiskSpy。 2008-12-26 02:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复