[原创]NTFS XCB定位。-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]NTFS XCB定位。

发表于: 2013-7-4 11:19 13075

[原创]NTFS XCB定位。

zkgy

2013-7-4 11:19

13075

#define CLEANXCB(p/*PSCB*/) {p->CleanupCount = 0;p->Fcb->CleanupCount = 0;p->Fcb->LinkCount = 1;}


NTSTATUS NT5FuckChildren(PSCB pScb)//XP
{
	PULONG pExact = NULL ,pExact_Bak = NULL;
	PLCB pLcb = NULL;
	LIST_ENTRY *pList = NULL,*pNew = NULL; 
	PSCB pMyScb = NULL;
	char Sign = 0;
	if (!pScb || 0x703 != *(PUSHORT)pScb){
		DbgPrint("pScb为NULL或者非文件夹不用Fuck!\n");
		return 0;	
	}
	DbgPrint("----------------进入目录分析----------------\n");
		
		CLEANXCB(pScb)

	 pExact_Bak = pExact = ((PCHAR)pScb + 0x160) ;
	 
	 //DbgPrint("pExact %X *pExact %X\n",pExact,*pExact);
	 if (*pExact == (ULONG)pExact){
			
		 DbgPrint("此SCB无子LCB!\n");
		 DbgPrint("----------------目录分析完毕----------------\n");	
		 return STATUS_UNSUCCESSFUL;
	 }
		
	 pLcb = (PLCB)(*pExact - 0x8);
	 //DbgPrint("PLCB%XpLcb->ScbLinks.Flink%XpLcb->ScbLinks.Blink%X\n",pLcb,pLcb->ScbLinks.Flink,pLcb->ScbLinks.Blink);
	 if (pLcb->NodeTypeCode != 0x70B){
		 
		 DbgPrint("此LCB错误!\n");
		 DbgPrint("----------------目录分析完毕----------------\n");
		 return STATUS_UNSUCCESSFUL;
	 }

	 while(pLcb->ScbLinks.Flink != pExact  ){

		DbgPrint("-->LCB: %X FCB: %X  SCB: %X\n",pLcb,pLcb->CleanupCount,pLcb->Scb);
		//===============================================================================
		pNew = pList = & ((PFCB)((PCHAR)pLcb+0x14))->ScbQueue;
		while(!((pList->Blink ==pNew || pList->Flink ==pNew) || pList->Flink==NULL)){
			pMyScb = CONTAINING_RECORD(pList->Flink,SCB, FcbLinks.Flink);
			DbgPrint("----------------MySCB %X NodeTypeCode:%X\n",pMyScb,pMyScb->Header.NodeTypeCode);
			//--------------------------
			CLEANXCB(pMyScb)
			//-------------------------
			if (0x703 == pMyScb->Header.NodeTypeCode)  {//此SCB代表一个目录
				DbgPrint("\t");
				NT5FuckChildren(pMyScb);
			}
			
				pList = pList->Flink;
		}
 //=================================================================================
		pLcb = ( ((PUCHAR)pLcb->ScbLinks.Flink)  -0x8); 

	 }
		DbgPrint("-->LCB: %X FCB: %X  SCB: %X\n",pLcb,pLcb->CleanupCount,pLcb->Scb);
		pNew = pList = & ((PFCB)pLcb->CleanupCount)->ScbQueue;
		while(!((pList->Blink ==pNew || pList->Flink ==pNew) || pList->Flink==NULL)){
			pMyScb = CONTAINING_RECORD(pList->Flink,SCB, FcbLinks.Flink);
			DbgPrint("----------------MySCB: %X NodeTypeCode:%X\n",pMyScb,pMyScb->Header.NodeTypeCode);
			 CLEANXCB(pMyScb)
			if (0x703 == pMyScb->Header.NodeTypeCode)  {//此SCB代表一个目录
				DbgPrint("\t");
				NT5FuckChildren(pMyScb);
			}
			
				pList = pList->Flink;
		}
		DbgPrint("----------------目录分析完毕----------------\n");	
	return STATUS_SUCCESS;
}

#defineNT7CLEANXCB(p/*PSCB*/){*(PULONG)((PUCHAR)p+0x60)=0;*(PULONG)(((PUCHAR)(*(PULONG)(( PUCHAR)p + 0x50))) + 0xC4) = 0;}
NTSTATUS NT7FuckChildren(PSCB pScb)
{
	PULONG pExact = NULL ,pExact_Bak = NULL;
	PLCB pLcb = NULL;
	LIST_ENTRY *pList = NULL,*pNew = NULL; 
	PSCB pMyScb = NULL;
	char Sign = 0;
		DbgPrint("----------------进入目录分析----------------\n");
		
		NT7CLEANXCB(pScb)

	 pExact_Bak = pExact = (PULONG)((PCHAR)pScb + 0x168) ;
	 
	 //DbgPrint("pExact %X *pExact %X\n",pExact,*pExact);
	 if (*pExact == (ULONG)pExact){
			
		 DbgPrint("此SCB无子LCB!\n");
		 DbgPrint("----------------目录分析完毕----------------\n");	
		 return STATUS_UNSUCCESSFUL;
	 }
		
	 pLcb = (PLCB)(*pExact - 0x8);
	 //DbgPrint("PLCB%XpLcb->ScbLinks.Flink%XpLcb->ScbLinks.Blink%X\n",pLcb,pLcb->ScbLinks.Flink,pLcb->ScbLinks.Blink);
	 if (pLcb->NodeTypeCode != 0x70B){
		 
		 DbgPrint("此LCB错误!\n");
		 DbgPrint("----------------目录分析完毕----------------\n");
		 return STATUS_UNSUCCESSFUL;
	 }

	 while(  (PULONG)pLcb->ScbLinks.Flink != pExact /*&&  (PULONG) pLcb->ScbLinks.Blink != pExact */){

		DbgPrint("-->LCB: %X FCB: %X  SCB: %X\n",pLcb,*(PULONG)(( PUCHAR)pLcb + 0x18),pLcb->Scb);
		//===============================================================================
		pNew = pList = & ((PFCB)(*(PULONG)(( PUCHAR)pLcb + 0x18)))->LcbQueue;//实际为ScbQueue
		while(!((pList->Blink ==pNew || pList->Flink ==pNew) || pList->Flink==NULL)){
			pMyScb = (PSCB)((PUCHAR)pList->Flink - 0x48);
			DbgPrint("----------------My SCB%X NodeTypeCode:%X\n",pMyScb,pMyScb->Header.NodeTypeCode);
			//--------------------------
			NT7CLEANXCB(pMyScb)
			//-------------------------
			if (0x703 == *(PUSHORT)(pMyScb))  {//此SCB代表一个目录
				DbgPrint("\t");
				NT7FuckChildren(pMyScb);
			}
			
				pList = pList->Flink;
		}
	   // =================================================================================
		pLcb =  (PLCB)( ((PUCHAR)pLcb->ScbLinks.Flink)  -0x8); 

	 }
		DbgPrint("-->LCB: %X FCB: %X  SCB: %X\n",pLcb,*(PULONG)(( PUCHAR)pLcb + 0x18),pLcb->Scb);
		//===============================================================================
		pNew = pList = & ((PFCB)(*(PULONG)(( PUCHAR)pLcb + 0x18)))->LcbQueue;
		while(!((pList->Blink ==pNew || pList->Flink ==pNew) || pList->Flink==NULL)){
			pMyScb = (PSCB)((PUCHAR)pList->Flink - 0x48);
			DbgPrint("----------------My SCB%X NodeTypeCode:%X\n",pMyScb,pMyScb->Header.NodeTypeCode);
			//--------------------------
			NT7CLEANXCB(pMyScb)
			//-------------------------
			if (0x703 == *(PUSHORT)(pMyScb))  {//此SCB代表一个目录
				DbgPrint("\t");
				NT7FuckChildren(pMyScb);
			}
			
				pList = pList->Flink;
		}
		DbgPrint("----------------目录分析完毕----------------\n");	
	return STATUS_SUCCESS;
}

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

NTFS XCB定位技术.doc （301.00kb，325次下载）
2.png （22.41kb，4次下载）
3.png （21.45kb，3次下载）
4.png （22.90kb，3次下载）
5.png （20.57kb，3次下载）
6.png （41.38kb，3次下载）
7.png （9.48kb，3次下载）
8.png （25.06kb，3次下载）
9.png （27.98kb，3次下载）
10.png （50.46kb，4次下载）

收藏・19

免费・5

支持

最新回复 (10)
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 2 楼自从有了新方法无视XCB删除文件后就不再定位了。 2013-7-4 13:07 0
z许雪币： 1907 活跃值： (2075) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 3 楼求v大放血。 2013-7-4 13:15 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 4 楼 2013-7-4 13:25 0
guobing 雪币： 14829 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 5 楼我擦，这个完全看不懂。。 2013-7-4 15:54 0
DuoLaMMeng 雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	DuoLaMMeng 6 楼如果想强制删除文件确实不需要什么XCB 2013-7-4 17:25 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 7 楼如果做透明加密，也不需要什么XCB~~~ 双SCB不需要知道原始FSD的XCB~~ 2013-7-4 19:10 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 8 楼 V校的周末有点时间系列啥时候继续？ 2013-7-5 08:34 0
qqzsxyz 雪币： 244 活跃值： (63) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 70 粉丝 0 关注私信	qqzsxyz 9 楼大神的双眼永远无法不能直视啊.. 2013-7-8 18:44 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 10 楼马上继续~ 2013-7-8 19:57 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 11 楼这个期待啊,估计忙着教学,没空来看雪. 2013-8-4 18:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

zkgy

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (10)
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 2 楼自从有了新方法无视XCB删除文件后就不再定位了。 2013-7-4 13:07 0
z许雪币： 1907 活跃值： (2075) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 3 楼求v大放血。 2013-7-4 13:15 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 4 楼 2013-7-4 13:25 0
guobing 雪币： 14829 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 402 粉丝 0 关注私信	guobing 5 楼我擦，这个完全看不懂。。 2013-7-4 15:54 0
DuoLaMMeng 雪币： 406 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 58 粉丝 0 关注私信	DuoLaMMeng 6 楼如果想强制删除文件确实不需要什么XCB 2013-7-4 17:25 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 7 楼如果做透明加密，也不需要什么XCB~~~ 双SCB不需要知道原始FSD的XCB~~ 2013-7-4 19:10 0
tangwenbin 雪币： 253 活跃值： (46) 能力值： ( LV5，RANK：60 ) 在线值：发帖 11 回帖 82 粉丝 0 关注私信	tangwenbin 1 8 楼 V校的周末有点时间系列啥时候继续？ 2013-7-5 08:34 0
qqzsxyz 雪币： 244 活跃值： (63) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 70 粉丝 0 关注私信	qqzsxyz 9 楼大神的双眼永远无法不能直视啊.. 2013-7-8 18:44 0
cvcvxk 雪币： 8833 活跃值： (2419) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 244 关注私信	cvcvxk 10 10 楼马上继续~ 2013-7-8 19:57 0
学雄雪币： 371 活跃值： (72) 能力值： ( LV5，RANK：60 ) 在线值：发帖 19 回帖 426 粉丝 0 关注私信	学雄 1 11 楼这个期待啊,估计忙着教学,没空来看雪. 2013-8-4 18:23 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复