Ring3無(wú)驅(qū)還原穿透清除工具(Ring3CrDisk)

Ring3無(wú)驅(qū)還原穿透清除工具(Ring3CrDisk)，由論壇大神原創(chuàng)制作的一個(gè)磁盤(pán)驅(qū)動(dòng)讀寫(xiě)修復(fù)工具，Ring3無(wú)驅(qū)還原穿透清除工具支持系統(tǒng)還原和影子穿透功能，適合多個(gè)磁盤(pán)端口機(jī)使用，有需要的朋友們可以下載試試，程序?yàn)閱挝募�版本，解壓后即可雙擊使用。

Ring3無(wú)驅(qū)還原穿透清除工具原理

一種是比較傳統(tǒng)的，使用X86 IO，對(duì)IDE硬盤(pán)進(jìn)行讀寫(xiě)，

目前沒(méi)有可以防御住該類(lèi)讀寫(xiě)的還原或者影子系統(tǒng)。但是IDE硬盤(pán)比較久遠(yuǎn)，現(xiàn)在用的電腦不是很多，所以可能他們這些軟件并不是很關(guān)注這個(gè)問(wèn)題。

使用該方法的軟件，CrDisk（硬盤(pán)保護(hù)卡克星），對(duì) 0x102-0x107端口進(jìn)行IO，未文檔化或者為擴(kuò)展的X86 IO端口。

重新分析了下，修正了之前的看法。他使用了0x1F2-0x1F7端口對(duì)硬盤(pán)進(jìn)行操作，是標(biāo)準(zhǔn)的X86 IO，可以在網(wǎng)上搜索到具體使用方法。

bochs上可以看到ATA通道0使用1F0端口，通道1使用170端口。SCSI/SATA的可同理，只是資料比較少，成功后更新POC。

另外一種通用性相對(duì)較高，對(duì)\GLOBAL??\PhysicalDrive%d設(shè)備進(jìn)行讀寫(xiě)，絕大多數(shù)還原或影子不能防御，像Shadow Defender的應(yīng)對(duì)措施就是強(qiáng)制重啟你的電腦。

使用該方法的軟件，Sector Editor，如果結(jié)合文件系統(tǒng)結(jié)構(gòu)，就可以很輕松的改寫(xiě)硬盤(pán)上的任何一個(gè)文件。

Ring3無(wú)驅(qū)還原穿透清除工具使用

雙擊運(yùn)行程序

選擇磁盤(pán)目錄

點(diǎn)擊破解后等待即可