[原创]短短3行代码让很多号称驱动级的强删文件工具失效-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]短短3行代码让很多号称驱动级的强删文件工具失效

发表于: 2009-4-14 20:16 20699

[原创]短短3行代码让很多号称驱动级的强删文件工具失效

qihoocom

2009-4-14 20:16

20699

这个代码来自我去年写的一篇科普文章：《[爆老技术]NTFS之hardlink攻防之二》
http://hi.baidu.com/mj0011/blog/item/ade45610bee913fac2ce7915.html

测了下面这些号称驱动级删除的工具,结果都失败了~

当然360粉碎机必然是直接删除的~

1.超级巡警暴力删除工具 1.4 -失败

2.gmer 1.0.15 失败

3.unlocker 1.8.7 ：失败

程序下载: hltrick.rar

先确保c盘是NTFS分区且C根目录下没有1.txt和2.txt,运行hlstrick.exe,并尝试用删除工具删除1.txt~


HANDLE hfile1 = CreateFile("c:\\1.txt" ,
   FILE_WRITE_DATA ,
   FILE_SHARE_READ | FILE_SHARE_WRITE ,
   NULL,
   CREATE_ALWAYS , 
   0,
   0
   );


if (hfile1 == INVALID_HANDLE_VALUE)
{
   printf("create file 1 failed! err %u\n" , GetLastError());
   return 0 ;
}
CloseHandle(hfile1);


if (!CreateHardLinkA("c:\\2.txt" , "c:\\1.txt" , NULL))
{
   printf("create hardlink failed err %u\n" , GetLastError());
   return 0 ;
}
hfile1 = CreateFile("c:\\2.txt" ,
   FILE_WRITE_DATA | FILE_READ_DATA | DELETE,
   0,
   NULL,
   OPEN_EXISTING , 
   0,
   0
   );

printf("try to kill c:\\1.txt!\n");

while(TRUE)
{
   Sleep(100000);
}

[课程]Android-CTF解题方法汇总！

上传的附件：

hltrick.rar （13.83kb，113次下载）

收藏・10

免费・7

支持

最新回复 (42) 1 2 ▶
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼 xuetr 可以干掉 2009-4-14 20:18 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 3 楼干掉的不稀奇，干不掉的才稀奇 2009-4-14 20:19 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 4 楼不是三行代码，是三个WIN32API 2009-4-14 20:24 0
tcbhj 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	tcbhj 5 楼 360的托~~~ 2009-4-14 20:25 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 6 楼你看看我的ID,你见过这么明显的托吗？ 2009-4-14 20:26 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 7 楼实际3行代码也够了~ 2009-4-14 20:26 0
dnfreeuser 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	dnfreeuser 8 楼直接把两个都删不就得了,查下HARDLINK又不难 2009-4-14 21:05 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 9 楼我对360不做任何评价.. 2009-4-14 21:30 0
pathletboy 雪币： 182 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 375 粉丝 1 关注私信	pathletboy 2 11 楼其实一行就可以了啊。 2009-4-14 21:39 0
xzchina 雪币： 615 活跃值： (1127) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 12 楼神奇 2009-4-14 21:42 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 13 楼对的，我老老实实回去学习 2009-4-14 21:48 0
cicicici 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	cicicici 14 楼看来MJ的贴触到了某些人敏感的神经啊～ 2009-4-14 21:53 0
plxtz 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	plxtz 15 楼晕哦 2009-4-14 22:05 0
wwwst 雪币： 203 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	wwwst 16 楼 -_-! -_-! 2009-4-14 22:14 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 17 楼这个在debugman学习过了，来点更猛的吧 2009-4-14 22:43 0
亚洲之鹰雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	亚洲之鹰 18 楼哈哈,看了qihoocom的回复，感觉360的人实在是太吊了，联想到MJ0011也曾经骂过delphi是垃圾，不知道设计出delphi的Anders Hejlsberg算是什么人物呢？人家好歹也微软的16位高手之一，唉，不说了~~~~知道谦虚的自然知道，不知道的多说也是对牛弹琴~~~ 2009-4-14 22:50 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 19 楼哈哈，MJ还是不错的，除了首页的歌和脾气之外，实在是不敢恭维 2009-4-14 22:59 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 20 楼作为mj粉丝团团员来围观了 2009-4-14 23:04 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 21 楼请问 MJ createfile 有DELETE这个参数吗 2009-4-15 06:56 0
dnfreeuser 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	dnfreeuser 22 楼 dwDesiredAccess [in] Specifies the type of access to the object. An application can obtain read access, write access, read/write access, or device query access. This parameter can be any combination of the following values. Value Meaning 0 Specifies device query access to the object. An application can query device attributes without accessing the device. GENERIC_READ Specifies read access to the object. Data can be read from the file and the file pointer can be moved. Combine with GENERIC_WRITE for read/write access. GENERIC_WRITE Specifies write access to the object. Data can be written to the file and the file pointer can be moved. Combine with GENERIC_READ for read/write access. In addition, you can specify the following access flags. Value Documented DELETE Standard Access Rights READ_CONTROL Standard Access Rights WRITE_DAC Standard Access Rights WRITE_OWNER Standard Access Rights SYNCHRONIZE Standard Access Rights STANDARD_RIGHTS_REQUIRED Standard Access Rights STANDARD_RIGHTS_READ Standard Access Rights STANDARD_RIGHTS_WRITE Standard Access Rights STANDARD_RIGHTS_EXECUTE Standard Access Rights STANDARD_RIGHTS_ALL Standard Access Rights SPECIFIC_RIGHTS_ALL ACCESS_MASK ACCESS_SYSTEM_SECURITY ACCESS_MASK MAXIMUM_ALLOWED ACCESS_MASK GENERIC_READ ACCESS_MASK GENERIC_WRITE ACCESS_MASK GENERIC_EXECUTE ACCESS_MASK GENERIC_ALL ACCESS_MASK 2009-4-15 08:06 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 23 楼这不是技术,是技巧。你还不如直接监控强删工具,不允许启动呢。 2009-4-15 08:47 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 24 楼往往有不少HIPS没考虑到硬链。 2009-4-15 08:47 0
azy 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	azy 25 楼程序员的十层楼，我们跟那些人根本不是一层上的，没必要一块比。 2009-4-15 09:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qihoocom

发帖

1165

回帖

420

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (42) 1 2 ▶
fixfix 雪币： 419 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 21 回帖 671 粉丝 0 关注私信	fixfix 2 楼 xuetr 可以干掉 2009-4-14 20:18 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 3 楼干掉的不稀奇，干不掉的才稀奇 2009-4-14 20:19 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 4 楼不是三行代码，是三个WIN32API 2009-4-14 20:24 0
tcbhj 雪币： 203 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 65 粉丝 0 关注私信	tcbhj 5 楼 360的托~~~ 2009-4-14 20:25 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 6 楼你看看我的ID,你见过这么明显的托吗？ 2009-4-14 20:26 0
qihoocom 雪币： 635 活跃值： (101) 能力值： ( LV12，RANK：420 ) 在线值：发帖 49 回帖 1165 粉丝 23 关注私信	qihoocom 9 7 楼实际3行代码也够了~ 2009-4-14 20:26 0
dnfreeuser 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	dnfreeuser 8 楼直接把两个都删不就得了,查下HARDLINK又不难 2009-4-14 21:05 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 9 楼我对360不做任何评价.. 2009-4-14 21:30 0
pathletboy 雪币： 182 活跃值： (55) 能力值： ( LV6，RANK：90 ) 在线值：发帖 25 回帖 375 粉丝 1 关注私信	pathletboy 2 11 楼其实一行就可以了啊。 2009-4-14 21:39 0
xzchina 雪币： 615 活跃值： (1127) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 12 楼神奇 2009-4-14 21:42 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 13 楼对的，我老老实实回去学习 2009-4-14 21:48 0
cicicici 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	cicicici 14 楼看来MJ的贴触到了某些人敏感的神经啊～ 2009-4-14 21:53 0
plxtz 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 13 粉丝 0 关注私信	plxtz 15 楼晕哦 2009-4-14 22:05 0
wwwst 雪币： 203 活跃值： (85) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 24 粉丝 0 关注私信	wwwst 16 楼 -_-! -_-! 2009-4-14 22:14 0
stalker 雪币： 399 活跃值： (38) 能力值： (RANK：350 ) 在线值：发帖 70 回帖 1064 粉丝 3 关注私信	stalker 8 17 楼这个在debugman学习过了，来点更猛的吧 2009-4-14 22:43 0
亚洲之鹰雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 11 粉丝 0 关注私信	亚洲之鹰 18 楼哈哈,看了qihoocom的回复，感觉360的人实在是太吊了，联想到MJ0011也曾经骂过delphi是垃圾，不知道设计出delphi的Anders Hejlsberg算是什么人物呢？人家好歹也微软的16位高手之一，唉，不说了~~~~知道谦虚的自然知道，不知道的多说也是对牛弹琴~~~ 2009-4-14 22:50 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 19 楼哈哈，MJ还是不错的，除了首页的歌和脾气之外，实在是不敢恭维 2009-4-14 22:59 0
zapline 雪币： 2362 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 66 回帖 2376 粉丝 0 关注私信	zapline 20 楼作为mj粉丝团团员来围观了 2009-4-14 23:04 0
wping 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 88 回帖 386 粉丝 0 关注私信	wping 21 楼请问 MJ createfile 有DELETE这个参数吗 2009-4-15 06:56 0
dnfreeuser 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 13 粉丝 0 关注私信	dnfreeuser 22 楼 dwDesiredAccess [in] Specifies the type of access to the object. An application can obtain read access, write access, read/write access, or device query access. This parameter can be any combination of the following values. Value Meaning 0 Specifies device query access to the object. An application can query device attributes without accessing the device. GENERIC_READ Specifies read access to the object. Data can be read from the file and the file pointer can be moved. Combine with GENERIC_WRITE for read/write access. GENERIC_WRITE Specifies write access to the object. Data can be written to the file and the file pointer can be moved. Combine with GENERIC_READ for read/write access. In addition, you can specify the following access flags. Value Documented DELETE Standard Access Rights READ_CONTROL Standard Access Rights WRITE_DAC Standard Access Rights WRITE_OWNER Standard Access Rights SYNCHRONIZE Standard Access Rights STANDARD_RIGHTS_REQUIRED Standard Access Rights STANDARD_RIGHTS_READ Standard Access Rights STANDARD_RIGHTS_WRITE Standard Access Rights STANDARD_RIGHTS_EXECUTE Standard Access Rights STANDARD_RIGHTS_ALL Standard Access Rights SPECIFIC_RIGHTS_ALL ACCESS_MASK ACCESS_SYSTEM_SECURITY ACCESS_MASK MAXIMUM_ALLOWED ACCESS_MASK GENERIC_READ ACCESS_MASK GENERIC_WRITE ACCESS_MASK GENERIC_EXECUTE ACCESS_MASK GENERIC_ALL ACCESS_MASK 2009-4-15 08:06 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 23 楼这不是技术,是技巧。你还不如直接监控强删工具,不允许启动呢。 2009-4-15 08:47 0
peaceclub 雪币： 255 活跃值： (207) 能力值： ( LV9，RANK：250 ) 在线值：发帖 59 回帖 967 粉丝 1 关注私信	peaceclub 6 24 楼往往有不少HIPS没考虑到硬链。 2009-4-15 08:47 0
azy 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 19 粉丝 0 关注私信	azy 25 楼程序员的十层楼，我们跟那些人根本不是一层上的，没必要一块比。 2009-4-15 09:38 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复