NTFS之HARDLINK攻防

)Z.jq8Q^(@F(V0作者：MJ0011IXPUB技术博客{[I%{.If

'BjIj3ni0爆老技术啊爆老技术~IXPUB技术博客 ~*XSMg8G!{

ykE&eL4C;M0NTFS支持一种HARDLINK技术，可以将两个文件“硬连接”起来，其实原理很简单，两个文件共享同样的fie record，操作一个文件相当与操作另一个文件，包括相关属性，删除其中一个，另一个会保留原有的数据存在~

:T)J5G8L,F!Sw!W+{;h0可使用系统工具fsutil.exe来创建一个硬连接，也可以使用windows提供的相关API、FSCTL来实现

;F8O2? o5{9c0fsutil hardlink create c:\1.txt c:\2.txt，即可建立c:\2.txt的连接,c:\1.txtIXPUB技术博客[x ZbZC,U

7jP(F1x7W yV I%e0那么用于攻防，能做什么呢，简单就想到啦，使用文件路径过滤的同学们就惨了IXPUB技术博客#p C,S*Gc'N zt:t

pryrege.sys是一个最近流行的木马程序，其包含了一个文件系统过滤驱动，当你去删除他的文件的时候，他会假装返回成功了，实际是失败了~另外它的驱动有只读属性，并且不允许你修改它的属性，所以要写入也是不行的了~

/m:]m6b/^l'Z/s6E0你以为怎么清除它？上驱动?NONONO，没必要啊，hardlink来帮忙IXPUB技术博客(lJ#H]8K^.f

我们首先用fsutil创建一个对它的hardlink, c:\2.txt，如图1
w3`[0B4xXmS,O0
'F#Eboj K ]0你会发现，2.txt也是有只读属性的，没关系，将c:\2.txt的属性只读去掉IXPUB技术博客$r/O2_ PR7|x.j

bKRD}0此时pryrege.sys的只读属性也没了，如图2IXPUB技术博客qyx5VqW W@

(W-_3}o%Ik_uW0我们来用记事本把2.txt的内容清空~IXPUB技术博客r6R-p-B9v$BHn1C;T

%t%]+Ih;U6E0你会发现pryrege.sys也变成0字节空文件了~~ ,如图3：IXPUB技术博客
_/N.Hb*}~

:u:N#[&f-Q EV
|0至此，该木马作者哼哧哼哧地捣鼓出了个20多K的文件过滤狗屎驱动，只要一行命令就把他搞定了~

3ksr h;fGv0当然hardlink也是有攻防两面性的，例如用来删除或改写卡巴7的文件~ 用来读取被XX文件安全岛保护的文件~等等，技术是双刃剑啊~看你怎么用了。

+W:p0Kh{"q5X+wU#vXO0不过，360的自我保护早考虑到这块，彻底抛弃了原始的路径过滤方法了，如图~ 没法给360的程序创建硬连接的，另外，即使你创建成功了，操作也无法成功映射过去，至于这点怎么做到的~碍于职业道德，我就不说啦~大伙自己研究吧~
c6I*Toy#t
`0IXPUB技术博客k/J#| R}T _w