NTFS之HARDLINK攻防

NTFS支持一种HARDLINK技术，可以将两个文件“硬连接”起来，其实原理很简单，两个文件共享同样的fie record，操作一个文件相当与操作另一个文件，包括相关属性，删除其中一个，另一个会保留原有的数据存在~IXPUB技术博客8f[e3r%N8n/o!`;C_B

&YKfhx%XC0可使用系统工具fsutil.exe来创建一个硬连接，也可以使用windows提供的相关API、FSCTL来实现

2|:v)D2^\0fsutil hardlink create c:\1.txt c:\2.txt，即可建立c:\2.txt的连接,c:\1.txt
8um~|Se-f$k!Z0IXPUB技术博客/eG{{#H] W
那么用于攻防，能做什么呢，简单就想到啦，使用文件路径过滤的同学们就惨了IXPUB技术博客ta2IQk:Ok!o*i

3W8x aj#y;v1q6t0pryrege.sys是一个最近流行的木马程序，其包含了一个文件系统过滤驱动，当你去删除他的文件的时候，他会假装返回成功了，实际是失败了~另外它的驱动有只读属性，并且不允许你修改它的属性，所以要写入也是不行的了~

你以为怎么清除它？上驱动?NONONO，没必要啊，hardlink来帮忙IXPUB技术博客5YTNn+DG!e

!p8G'ne!X0DO0我们首先用fsutil创建一个对它的hardlink, c:\2.txt，如图1IXPUB技术博客])C%x6Gf)E"R
IXPUB技术博客t Pf,]W%}D%R6H
你会发现，2.txt也是有只读属性的，没关系，将c:\2.txt的属性只读去掉IXPUB技术博客jgX Ne[

'o"t3iDik;}0此时pryrege.sys的只读属性也没了，如图2IXPUB技术博客0_]+d9Tt

B,sHC^"P2e0我们来用记事本把2.txt的内容清空~IXPUB技术博客
Gd5}*r t3p

I7W*X ?:X0你会发现pryrege.sys也变成0字节空文件了~~ ,如图3：IXPUB技术博客C9P[@:| ho#|dQ
IXPUB技术博客#\t'Z#csDF
至此，该木马作者哼哧哼哧地捣鼓出了个20多K的文件过滤狗屎驱动，只要一行命令就把他搞定了~

当然hardlink也是有攻防两面性的，例如用来删除或改写卡巴7的文件~ 用来读取被XX文件安全岛保护的文件~等等，技术是双刃剑啊~看你怎么用了。IXPUB技术博客;Z)For+J:j\

#s]!nX+m,oY"f@2|Cm0不过，360的自我保护早考虑到这块，彻底抛弃了原始的路径过滤方法了，如图~ 没法给360的程序创建硬连接的，另外，即使你创建成功了，操作也无法成功映射过去，至于这点怎么做到的~碍于职业道德，我就不说啦~大伙自己研究吧~IXPUB技术博客3n"I_fnm*w

200810150322382