作者:MJ0011
Hardlink 之文件蹲坑~
首先用oo.exe蹲坑一个文件 c:/1.txt~
可以看到文件打不开了~
图1:
然后fsutil.exe hardlink create c:/7.txt c:/1.txt
创建硬链接~
图2:
你会发现7.txt也被独占了~打不开啊打不开,
图3:
当你去拿着7.txt去unlockme, 去process explorer.,去超级巡警暴力删除地时候,你会发现,找不到啊找不到,删不到啊删不到
图4:who lock me 啊 ,找不到找不到~
因为这些喜欢跑到别人进程里去关句柄的SB删除工具,完全不知道是由于1.txt被蹲坑了,所以7.txt才被蹲坑了
因此这样的文件unlockme, process explorer , 超级巡警暴力删除都傻眼了,傻眼了
恩,所以说,牛比还是360啊
我们的XCB大法就可以干掉这个文件了
图5~, XCB大法测试工具,force delete后 7.txt瞬间消失~
补充一点,使用磁盘层抹文件的方法,确实也可以删除掉这个7.txt,
不过危险的是,用磁盘层方法会导致1.txt也被干掉,因为是共享的FILE RECORD~,这时候如果攻击者拿c:/windows/system32/config/system去站坑~磁盘层白痴删除工具,就傻眼了傻眼了
所以磁盘删除文件啊,不靠谱啊不靠谱~
XCB大法就不会有这个问题,删除完7.TXT后,只是1.txt被解除占用,1.txt的数据仍然保留得好好的~
因此XCB大法结合HARDLINK其实可以变相解锁文件~例如先拿HIVEhardlink占坑4.txt,然后XCB大法删除4.txt,此时hive就可以正常访问了~
见图~:
但其实文件的句柄仍在,SYSTEM进程仍然可以正常访问System hive~
见图:
所以说XCB大法是安全解锁~不伤句柄~
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论