Ring3無驅(qū)還原穿透清除工具(Ring3CrDisk)

Ring3無驅(qū)還原穿透清除工具(Ring3CrDisk)，由論壇大神原創(chuàng)制作的一個磁盤驅(qū)動讀寫修復(fù)工具，Ring3無驅(qū)還原穿透清除工具支持系統(tǒng)還原和影子穿透功能，適合多個磁盤端口機(jī)使用，有需要的朋友們可以下載試試，程序為單文件版本，解壓后即可雙擊使用。

Ring3無驅(qū)還原穿透清除工具原理

一種是比較傳統(tǒng)的，使用X86 IO，對IDE硬盤進(jìn)行讀寫，

目前沒有可以防御住該類讀寫的還原或者影子系統(tǒng)。但是IDE硬盤比較久遠(yuǎn)，現(xiàn)在用的電腦不是很多，所以可能他們這些軟件并不是很關(guān)注這個問題。

使用該方法的軟件，CrDisk（硬盤保護(hù)卡克星），對 0x102-0x107端口進(jìn)行IO，未文檔化或者為擴(kuò)展的X86 IO端口。

重新分析了下，修正了之前的看法。他使用了0x1F2-0x1F7端口對硬盤進(jìn)行操作，是標(biāo)準(zhǔn)的X86 IO，可以在網(wǎng)上搜索到具體使用方法。

bochs上可以看到ATA通道0使用1F0端口，通道1使用170端口。SCSI/SATA的可同理，只是資料比較少，成功后更新POC。

另外一種通用性相對較高，對\GLOBAL??\PhysicalDrive%d設(shè)備進(jìn)行讀寫，絕大多數(shù)還原或影子不能防御，像Shadow Defender的應(yīng)對措施就是強(qiáng)制重啟你的電腦。

使用該方法的軟件，Sector Editor，如果結(jié)合文件系統(tǒng)結(jié)構(gòu)，就可以很輕松的改寫硬盤上的任何一個文件。

Ring3無驅(qū)還原穿透清除工具使用

雙擊運行程序

選擇磁盤目錄

點擊破解后等待即可