鬼仔's Blog

作者：MJ0011

Hardlink 之文件蹲坑~

首先用oo.exe蹲坑一个文件 c:\1.txt~
可以看到文件打不开了~

图1：

然后fsutil.exe hardlink create c:\7.txt c:\1.txt

创建硬链接~

图2：

你会发现7.txt也被独占了~打不开啊打不开，

图3：

当你去拿着7.txt去unlockme， 去process explorer.,去超级巡警暴力删除地时候，你会发现，找不到啊找不到，删不到啊删不到

图4：who lock me 啊 ，找不到找不到~

因为这些喜欢跑到别人进程里去关句柄的SB删除工具，完全不知道是由于1.txt被蹲坑了，所以7.txt才被蹲坑了

因此这样的文件unlockme,  process explorer , 超级巡警暴力删除都傻眼了，傻眼了

恩，所以说，牛比还是360啊

我们的XCB大法就可以干掉这个文件了

图5~， XCB大法测试工具，force delete后  7.txt瞬间消失~

补充一点，使用磁盘层抹文件的方法，确实也可以删除掉这个7.txt,

不过危险的是，用磁盘层方法会导致1.txt也被干掉，因为是共享的FILE RECORD~，这时候如果攻击者拿c:\windows\system32\config\system去站坑~磁盘层白痴删除工具，就傻眼了傻眼了

所以磁盘删除文件啊，不靠谱啊不靠谱~

XCB大法就不会有这个问题，删除完7.TXT后，只是1.txt被解除占用，1.txt的数据仍然保留得好好的~

因此XCB大法结合HARDLINK其实可以变相解锁文件~例如先拿HIVEhardlink占坑4.txt,然后XCB大法删除4.txt,此时hive就可以正常访问了~

见图~：

但其实文件的句柄仍在，SYSTEM进程仍然可以正常访问System hive~

见图：

所以说XCB大法是安全解锁~不伤句柄~