NTFS之HARDLINK攻防

NTFS之HARDLINK攻防

引用：

http://www.debugman.com/thread/2061/1/1

http://www.debugman.com/thread/2062/1/1

http://huaidan.org/archives/2398.html

http://huaidan.org/archives/2399.html

----------------------------------------------------------------------------------------------------------------------------------

第一章

作者：MJ0011

爆老技術啊爆老技術~

NTFS支援一種HARDLINK技術，可以將兩個檔案“硬串連”起來，其實原理很簡單，兩個檔案分享權限設定同樣的fie record，操作一個檔案相當與操作另一個檔案，包括相關屬性，刪除其中一個，另一個會保留原有的資料存在~

可使用系統工具fsutil.exe來建立一個硬串連，也可以使用windows提供的相關API、FSCTL來實現

fsutil hardlink create c:\1.txt c:\2.txt，即可建立c:\2.txt的串連,c:\1.txt

那麼用於攻防，能做什麼呢，簡單就想到啦，使用檔案路徑過濾的同學們就慘了

pryrege.sys是一個最近流行的木馬程式，其包含了一個檔案系統過濾驅動，當你去刪除他的檔案的時候，他會假裝返回成功了，實際是失敗了~另外它的驅動有唯讀屬性，並且不允許你修改它的屬性，所以要寫入也是不行的了~

你以為怎麼清除它？上驅動?NONONO，沒必要啊，hardlink來幫忙

我們首先用fsutil建立一個對它的hardlink, c:\2.txt，1

你會發現，2.txt也是有唯讀屬性的，沒關係，將c:\2.txt的屬性唯讀去掉

此時pryrege.sys的唯讀屬性也沒了，2

我們來用記事本把2.txt的內容清空~

你會發現pryrege.sys也變成0位元組空檔案了~~ ,3：

至此，該木馬作者哼哧哼哧地搗鼓出了個20多K的檔案過濾狗屎驅動，只要一行命令就把他搞定了~

當然hardlink也是有攻防兩面性的，例如用來刪除或改寫卡巴7的檔案~ 用來讀取被XX檔案安全島保護的檔案~等等，技術是雙刃劍啊~看你怎麼用了。

不過，360的自我保護早考慮到這塊，徹底拋棄了原始的路徑過濾方法了，~ 沒法給360的程式建立硬串連的，另外，即使你建立成功了，操作也無法成功映射過去，至於這點怎麼做到的~礙於職業道德，我就不說啦~大夥自己研究吧~

----------------------------------------------------------------------------------------------------------------------------------

第二章

Hardlink 之檔案蹲坑~

首先用oo.exe蹲坑一個檔案 c:\1.txt~
可以看到檔案打不開了~

圖1：

然後fsutil.exe hardlink create c:\7.txt c:\1.txt

建立永久連結~

圖2：

你會發現7.txt也被獨佔了~打不開啊打不開，

圖3：

當你去拿著7.txt去unlockme， 去process explorer.,去超級巡警暴力刪除地時候，你會發現，找不到啊找不到，刪不到啊刪不到

圖4：who lock me 啊 ，找不到找不到~

因為這些喜歡跑到別人進程裡去關控制代碼的SB移除工具，完全不知道是由於1.txt被蹲坑了，所以7.txt才被蹲坑了

因此這樣的檔案unlockme,  process explorer , 超級巡警暴力刪除都傻眼了，傻眼了

恩，所以說，牛比還是360啊

我們的XCB大法就可以幹掉這個檔案了

圖5~， XCB大法測試載入器，force delete後  7.txt瞬間消失~

補充一點，使用磁碟層抹檔案的方法，確實也可以刪除掉這個7.txt,

不過危險的是，用磁碟層方法會導致1.txt也被幹掉，因為是共用的FILE RECORD~，這時候如果攻擊者拿c:\windows\system32\config\system去站坑~磁碟層白癡移除工具，就傻眼了傻眼了

所以磁碟刪除檔案啊，不靠譜啊不靠譜~

XCB大法就不會有這個問題，刪除完7.TXT後，只是1.txt被解除佔用，1.txt的資料仍然保留得好好的~

因此XCB大法結合HARDLINK其實可以變相解鎖檔案~例如先拿HIVEhardlink占坑4.txt,然後XCB大法刪除4.txt,此時hive就可以正常訪問了~

見圖~：

但其實檔案的控制代碼仍在，SYSTEM進程仍然可以正常訪問System hive~

見圖：

所以說XCB大法是安全解鎖~不傷控制代碼~