這知能破壞硬盤，測試看看你的HIPS有沒有保護底層磁盤！

 
                                                       

[ 本帖最後由 Roger 於 2007-9-10 08:00 編輯 ]

這支只有對 MBR  512 byt 無所謂 沒底層保護也不需害怕   對我沒效

PS  :: 我手上還有另外一支

[ 本帖最後由 peter_yu 於 2007-9-10 08:43 編輯 ]

引用:

原帖由 peter_yu 於 2007-9-10 08:37 發表
這支只有對 MBR  512 byt 無所謂 沒底層保護也不需害怕

的確只改前512 byt,但為何說不需害怕呢?

引用:

原帖由 hwwgo 於 2007-9-10 10:05 發表


的確只改前512 byt,但為何說不需害怕呢?

沒害怕也不擔心   MBR 有 BACKUP   光碟開機 RESTORE  EASY 只是花各幾分鐘吧


PS：：： 如果能搞到  BIOS  CD/DVD/USB   都無法開  事情就大條了  MBR  算是小事

[ 本帖最後由 peter_yu 於 2007-9-10 10:23 編輯 ]

引用:

原帖由 peter_yu 於 2007-9-10 10:18 發表


沒害怕也不擔心   MBR 有 BACKUP   光碟開機 RESTORE  EASY 只是花各幾分鐘吧
PS：：： 如果能搞到  BIOS  CD/DVD/USB   都無法開  事情就大條了  MBR  算是小事

我還以為有新的防御方法

引用:

原帖由 hwwgo 於 2007-9-10 10:37 發表


我還以為有新的防御方法

簡單有效   不想用  EQ  SSM  這種誤報太多   沒事也亂叫一通

說白了只判斷 \\.\PHYSICALDRIVE  沒判斷 SetFilePointer(hDevice, 0, 0, 0); 便可移到 MBR (Offset 單位是 Bytes)
一個 Sector = 512 Bytes.   準確的話 只讀不報  寫入才報  所以說能用嗎？？？  看個人啦！！！

[ 本帖最後由 peter_yu 於 2007-9-10 10:49 編輯 ]

引用:

原帖由 peter_yu 於 2007-9-10 10:40 發表

簡單有效   不想用  EQ  SSM  這種誤報太多   沒事也亂叫一通

說白了只判斷 \\.\PHYSICALDRIVE  沒判斷 SetFilePointer(hDevice, 0, 0, 0); 便可移到 MBR (Offset 單位是 Bytes)
一個 Sector = 512 Bytes.   準確的話 只讀不報  寫入才報  所以說能用嗎？？？  看個人啦！！！

好像要打開 PHYSICALDRIVE 的時候都用到了CreateFile ,所以報了一下.
也許 EQ  SSM 都是報打開 PHYSICALDRIVE ,但如果要 WriteFile 才報的話 ,可能hips不好判斷是寫文件還是寫mbr吧.

引用:

原帖由 hwwgo 於 2007-9-10 11:15 發表


好像要打開 PHYSICALDRIVE 的時候都用到了CreateFile ,所以報了一下.
也許 EQ  SSM 都是報打開 PHYSICALDRIVE ,但如果要 WriteFile 才報的話 ,可能hips不好判斷是寫文件還是寫mbr吧.

好像不是只有 WriteFile  才提示   PHYSICALDRIVE 有用到就會有底層提示
所以說會誤報 沒事也亂叫   所以我用最穩也最簡單的方法解決


可以寫程序測測  我只有一個 HD  不好測              MBR  一定是沒抓到 抓到的話直接報出MBR

[ 本帖最後由 peter_yu 於 2007-9-10 11:32 編輯 ]

引用:

原帖由 peter_yu 於 2007-9-10 11:24 發表


好像不是只有 WriteFile  才提示   PHYSICALDRIVE 有用到就會有底層提示
所以說會誤報 沒事也亂叫   所以我用最穩也最簡單單的方法解決

可以寫程序測測  我只有一個 HD  不好測              
MBR  一定是沒抓到 抓到的話直接報出MBR

EQ 是報 CreateFile('\\.\PhysicalDrive0'......
算誤報啦

能準確在WriteFile才提示的安全軟件,應該還沒有吧.

[ 本帖最後由 hwwgo 於 2007-9-10 11:34 編輯 ]

引用:

原帖由 hwwgo 於 2007-9-10 11:33 發表


EQ 是報 CreateFile('\\.\PhysicalDrive0'......
算誤報啦

能準確在WriteFile才提示的安全軟件,應該還沒有吧.

沒有  因為不是檔案 只是 512 bye 的內存 也不可能辨識到指向MBR  所以這樣做法有爭議存在

引用:

原帖由 peter_yu 於 2007-9-10 11:38 發表

沒有  因為不是檔案 只是 512 bye 的內存 也不可能辨識到指向MBR  所以這樣做法有爭議存在

簡單測了一下ProS和SSM,都算是誤報了

KAV/FIS都掛了

引用:

原帖由 peter_yu 於 2007-9-10 08:37 發表


PS  :: 我手上還有另外一支

另外一种很强吗 最好能测测EQ肯定能拦截的

我的FIS也掛了，有新的防禦方法嗎

NG b3能报修改mbr和写磁盘底层
测试了几个都是报的mbr，如猪三 王云禾
没有写磁盘的样本

用EQ測試.

用WinHex打開磁盤,即使拒絕底層磁盤操作 ,WinHex同樣能在硬盤任何位置寫任何東西.

該擋的沒擋下,卻多了一推無謂的提示.

用ProS測

WinHex打開磁盤時


寫磁盤時


拒絕后,WinHex彈出的提示


雖然ProS有誤報,但起碼做了些實事.

[ 本帖最後由 hwwgo 於 2007-9-21 10:19 編輯 ]

底層磁盤操作


寫入或修改才報沒話說   讀入也報那就...........................................................

這就好比 讀物理內存 和 寫物理內存 一樣...

SSM與EQ一樣,只報打開磁盤,沒報寫磁盤.