информационная безопасность
без паники и всерьез
 подробно о проектеRambler's Top100
Где водятся OGRыПортрет посетителяСтрашный баг в Windows
BugTraq.Ru
Русский BugTraq
 Анализ криптографических сетевых... 
 Модель надежности двухузлового... 
 Специальные марковские модели надежности... 
 Ростелеком заподозрили в попытке... 
 Линуксовый ботнет, распространяющийся... 
 Конец поддержки Internet Explorer 
главная обзор RSN блог библиотека закон бред форум dnet о проекте
bugtraq.ru / форум / hacking
Имя Пароль
ФОРУМ
если вы видите этот текст, отключите в настройках форума использование JavaScript
регистрация





Легенда:
  новое сообщение
  закрытая нитка
  новое сообщение
  в закрытой нитке
  старое сообщение
  • Напоминаю, что масса вопросов по функционированию форума снимается после прочтения его описания.
  • Новичкам также крайне полезно ознакомиться с данным документом.
Ревизор дисков ADinf32/ADinf32 Pro 03.10.07 17:13  Число просмотров: 5286
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>


Ревизор дисков ADinf32/ADinf32 Pro
<hacking>
Протоколирование/наблюдение за обращением процесса к секторам жесткого диска 13.09.07 04:52  
Автор: Radio_lover Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Уважаемые, прошу помочь с решением следующей проблемы:
Нужно запротоколировать/пронаблюдать все обращения конкретного процесса к секторам жесткого диска. Имеется софт, который в ходе установки себя на компьютер помимо установочных файлов, еще что-то дописывает в какой-то из начальных секторов. Форматирование и восстановление раздела из раннее сделаной копии(до установки этого софта) не мешает етому софту при последующей установке его на только что восстановленный раздел "распознать", что он уже был некогда установлен. Так вот требуется "разведать" к каким именно секторам обращается процесс и не дурно узнать байты с каким именно offset'ом он читает/пишет. Надеюсь, что все тогково объяснил. Спасибо зараннее за помощь.
Ревизор дисков ADinf32/ADinf32 Pro 03.10.07 17:13  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>


Ревизор дисков ADinf32/ADinf32 Pro
И классика от Руссиновича :) 03.10.07 17:34  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>


FileMon for Windows v7.04
классика от Руссиновича 27.12.07 14:43  
Автор: wildwind Статус: Незарегистрированный пользователь
<"чистая" ссылка>
Только не filemon а diskmon, он как раз на уровне секторов отслеживает.
Как вариант - пройтись вайпером из под дос/*никс. Форматирование не убивает сами данные и, возможно, софт "достает" себя из последних секторов, которые забиваются, как правило последними. Да и софт может озвучите ? :) 14.09.07 12:01  
Автор: Garick <Yuriy> Статус: Elderman
<"чистая" ссылка>
*** Как вариант - пройтись вайпером из под дос/*никс. ***... 29.09.07 22:57  
Автор: Radio_lover Статус: Незарегистрированный пользователь
<"чистая" ссылка>
*Как вариант - пройтись вайпером из под дос/*никс.*Именно этим способом, я выяснил, что этот "подлый софт" пишет себя куда-то в начальную дорожку раздела или диска. Меня интересует универсальное решение со стороны програмного обеспечения, которое можно было бы заставить, протоколировать все обращения к жесткому диску, не как к файловой структуре, а с указанием физического расположения записанных/считанных данных. То есть номер физ. сектора.*Да и софт может озвучите ? :)*Демки от Адоба.
Универсального не будет, все обращения протоколировать... 01.10.07 11:11  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Меня интересует универсальное решение со стороны
> програмного обеспечения, которое можно было бы заставить,
> протоколировать все обращения к жесткому диску, не как к

Универсального не будет, все обращения протоколировать нельзя. Зациклится. Запись протокола в файл приводит к многократным запросам чтени/записи диска. В протоколировщике не просто реализовать фильтр свей/чужой записи в файл.
Точно??? Откуда такая уверенность? Что за ОС? Знатоки... 13.09.07 13:40  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Уважаемые, прошу помочь с решением следующей проблемы:
> Нужно запротоколировать/пронаблюдать все обращения
> конкретного процесса к секторам жесткого диска. Имеется
> софт, который в ходе установки себя на компьютер помимо
> установочных файлов, еще что-то дописывает в какой-то из
> начальных секторов. Форматирование и восстановление раздела

Точно??? Откуда такая уверенность? Что за ОС? Знатоки виндов, поправте меня, если ошибаюсь, но винды (семейства NT) не дадут произвести запись в абы какой сектор винта, а только на файловом уровне.

> из раннее сделаной копии(до установки этого софта) не
> мешает етому софту при последующей установке его на только
> что восстановленный раздел "распознать", что он уже был
> некогда установлен. Так вот требуется "разведать" к каким

Может оно и пишется, но не в раздел. После создания раздела на винте остается еще несколько мегабайт нераспределенного места, которое уже распределить нельзя.

> именно секторам обращается процесс и не дурно узнать байты
> с каким именно offset'ом он читает/пишет. Надеюсь, что все
> тогково объяснил. Спасибо зараннее за помощь.

Может проще позвонить разработчикам и спросить у них. Пять минут и все решение проблемы, а то можно очень долго мучится.
Точно, да, извиняюсь, как всегда, самое важное забыл... 13.09.07 14:38  
Автор: Radio_lover Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Уважаемые, прошу помочь с решением следующей проблемы:
> > Нужно запротоколировать/пронаблюдать все обращения
> > конкретного процесса к секторам жесткого диска.
> Имеется
> > софт, который в ходе установки себя на компьютер
> помимо
> > установочных файлов, еще что-то дописывает в какой-то
> из
> > начальных секторов. Форматирование и восстановление
> раздела
>
> Точно??? Откуда такая уверенность? Что за ОС? Знатоки
> виндов, поправте меня, если ошибаюсь, но винды (семейства
> NT) не дадут произвести запись в абы какой сектор винта, а
> только на файловом уровне.


Точно, да, извиняюсь, как всегда, самое важное забыл указать. ОС Win XP SP1/SP2. На жестком диске
один раздел на 25 ГБ, занимающий 10% всего диска, все остальное не распределено. Форматирован NTFS с размером сектора 512 байт.



>
> > из раннее сделаной копии(до установки этого софта) не
> > мешает етому софту при последующей установке его на
> только
> > что восстановленный раздел "распознать", что он уже
> был
> > некогда установлен. Так вот требуется "разведать" к
> каким
>


> Может оно и пишется, но не в раздел. После создания раздела
> на винте остается еще несколько мегабайт нераспределенного
> места, которое уже распределить нельзя.

А где именно такое место находится? "До" согданного раздела? После? На сколько он велик? Или это дело случая?

>
> > именно секторам обращается процесс и не дурно узнать
> байты
> > с каким именно offset'ом он читает/пишет. Надеюсь, что
> все
> > тогково объяснил. Спасибо зараннее за помощь.
>
> Может проще позвонить разработчикам и спросить у них. Пять
> минут и все решение проблемы, а то можно очень долго
> мучится.

Нет, они ответят, что это - "военная тайна" :) Может кто-нибудь ответит еще на следующий вопрос, с какого сектора начинается "сам раздел", то есть сколько еще места после MBR остается до того где уже начинается место с файлами? размер сектора 512 байт. Спасибо.
Если мерить виртуальными "дорожками", "поверхностями" и... 13.09.07 16:32  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 13.09.07 16:34  Количество правок: 1
<"чистая" ссылка>
> А где именно такое место находится? "До" согданного
> раздела? После? На сколько он велик? Или это дело случая?

> Нет, они ответят, что это - "военная тайна" :) Может
> кто-нибудь ответит еще на следующий вопрос, с какого
> сектора начинается "сам раздел", то есть сколько еще места
> после MBR остается до того где уже начинается место с
> файлами? размер сектора 512 байт. Спасибо.

Если мерить виртуальными "дорожками", "поверхностями" и "секторами", то первая дорожка отводися под служебную информацию, которая представляет из себя таблицу разделов диска и загрузочную запись, которую считывает БИОС при загрузке. Обычно под это отводится весь сектор, причем последние 4*16+2 байт занимают описатели 4 разделов и два байта сигнатуры. В начале сектора находится программа анализа таблицы разделов и загрузки первого сектора загрузочного раздела. Эта программа обычно чуть меньше, чем 512-(4*16+2), так что уже имеем "дырку".
Вторая "дырка" - это остальные сектора первой дорожки (точнее нулевой), поскольку сам раздел должен начинаться с первого сектора но уже следующей поверхности. Эти сектора могут использоваться нестандартными загрузчиками.
Есть еще места в первых секторах раздела.
Загрузочные сектора диска и таблицей разделов, естественно, не форматируются при форматировании раздела.
Винда позволит записать куда угодно - были бы права 13.09.07 13:53  
Автор: amirul <Serge> Статус: The Elderman
<"чистая" ссылка>
> Точно??? Откуда такая уверенность? Что за ОС? Знатоки
> виндов, поправте меня, если ошибаюсь, но винды (семейства
> NT) не дадут произвести запись в абы какой сектор винта, а
> только на файловом уровне.

Можно писать и в любой сектор раздела (это вообще фича Win32 API - не надо даже native api дергать) и просто в любой физический сектор (хоть MFT).
Это понятно, иначе бы невозможно было... 13.09.07 16:38  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
<"чистая" ссылка>
> Можно писать и в любой сектор раздела (это вообще фича
> Win32 API - не надо даже native api дергать) и просто в
> любой физический сектор (хоть MFT).

Это понятно, иначе бы невозможно было создать/удалить/форматировать другие новые разделы.
Все кроется в фразе "были бы права". Я полагаю, что у юзера обычно недостаточно прав ни для какой из системных функций чтения/записи произвольных секторов винчестера. Иначе бы рухнула вся система защиты файлов!
А можно ли что-нибудь записать в "unallocated" то есть в ту... 13.09.07 14:40  
Автор: Radio_lover Статус: Незарегистрированный пользователь
<"чистая" ссылка>
> > Точно??? Откуда такая уверенность? Что за ОС? Знатоки
> > виндов, поправте меня, если ошибаюсь, но винды
> (семейства
> > NT) не дадут произвести запись в абы какой сектор
> винта, а
> > только на файловом уровне.
>
> Можно писать и в любой сектор раздела (это вообще фича
> Win32 API - не надо даже native api дергать) и просто в
> любой физический сектор (хоть MFT).

А можно ли что-нибудь записать в "unallocated" то есть в ту область жесткого диска, на которой нет раздела и она соответственно нефотформатирована?
Низя. ОСы обычно не следят за тем, к какой области относится... 13.09.07 16:42  
Автор: DPP <Dmitry P. Pimenov> Статус: The Elderman
Отредактировано 13.09.07 16:44  Количество правок: 1
<"чистая" ссылка>
> А можно ли что-нибудь записать в "unallocated" то есть в ту
> область жесткого диска, на которой нет раздела и она
> соответственно нефотформатирована?

Низя. ОСы обычно не следят за тем, к какой области относится требуемый сектор. Они просто не дают "не админам" вообще пользоваться функцией записи/чиения диска на секторном уровне. Так проще.
Про NT подобными ОС можно вызывать непривелигированную функцию чтения/записи сектора раздела, если этот раздел FAT, но это будет только область этого раздела, который был заранее создан админом.

Фишка в том, что прога должна работать не под админом и под NT подобными виндами. Значит она на низком секторном уровне с диском не работает.
Могу посоветовать снять образ диска до и после. И сравнить. 13.09.07 08:55  
Автор: ZloyShaman <ZloyShaman> Статус: Elderman
<"чистая" ссылка>
1




Rambler's Top100
Рейтинг@Mail.ru


  Copyright © 2001-2022 Dmitry Leonov   Page build time: 0 s   Design: Vadim Derkach