在写这篇文章之前我犹豫了很久，到底要不要把这些鲜为人知的方法公开了，因为一 旦公开，被人掌握这些技术，那么还原软件的脆弱性则一览无遗，网吧的机子应该就可以 随便的穿透，机器狗是需要加载驱动来进行穿透还原，而我介绍的这种技术不需要加载驱 动则可以穿透还原，你是不是听的有点兴奋，有点热血沸腾；但是我还是要告诉你，技术 是一把双刃剑，利用的好是安全软件，利用的邪恶就是木马、病毒等；作为一名黑客防线 的读者，我相信都是希望立志成为一名网络安全员，为中国互联网的安全纯洁尽一份绵薄 之力。题外话就不说那，下面切入正题。
我记得我最早接触的还原软件是还原精灵，是台湾一家软件公司出品的安全软件，它 最大的神奇之处就在于计算机重启之后，你对计算机磁盘的所有操作：添加、删除、修改 文件、注册表的这些痕迹全部被抹的一干二净，所有的操作都随着计算机重启而”消失 了”。还有就是有一种硬件还原卡也起到相同的效果。当时在学校的机房里，想装点自己 的东西，总是不行，因此我记得当时最流行的手段来过还原精灵就是破解其密码，破解密 码后，重新修改还原精灵的配置，就可以使自己读写磁盘有效，当时由于自己还不会内核 驱动开发，也不知道还原软件的原理，只是觉得太不可思议了。现在由于自己开始学习内 核编程，对还原软件的原理有一定的了解，还原软件主要解决就是数据读写重定向问题以 及重定向读写的效率，目前的还原软件主要以下两种：单点还原、多点还原。以后有时间 我再给各位分享自己这方面的学习研究结果。Windows 64位的操作系统开始，微软意识到 其自身内核安全的问题，其加入了？8^1^^^^1技术，这个技术能够防止内核模式驱动动态 或者替换Windows内核的任何内容；也就是说5501 HOOK、inline HOOK、IAT HOOK、EAT H00K、0^}100&等等，只要是修改了内核模块任何部分，就会蓝屏。也就是“1^(^8 64位 操作系统在内核里封锁了 110抓技术(应用层下仍然可以使用），也就是我们以前学习的H00K 技术无用那，那不是白学习了，你先别急着愤怒，应该愤怒的是所有的安全软件公司，你 想想现在几乎所有的安全软件都在内核中使用了即呢技术，而且都是通过自己反汇编、底 层调试等手段研究出来的，这些关键核心技术一声不响就被微软封杀，你说它恼不恼火， 虽然微软也意识到这个问题，随后提供一些监控的接口，但是这又使所有的安全软件的很 多功能雷同了，难不成微软想把安全这一块留给自己，这现实吗？ x86的许多木马确实无 法在$64的机器上运行，但是新的问题出现：1014这类病毒完全绕过你的？&如1^^^,它通 过底层读写将自己写在1^?里，也就是即0抓11'技术，在你的？&化1^^^还未启动时，写 入肋0111'驱动，从而隐藏保护自身等。这样完全绕过了所谓了的？3比1^1虹(1技术。说那 这么多，跟Ring3穿透还原有什么的关系，其实我想说的就是1014将自身写入到MBR里，

用到的就是穿透技术，如何将自身写入磁盘所保护的位置，这就是关键。由于自身技术和 环境的限制，我还不能给大家介绍64位下的穿透，因此这次给大家介绍的是32位“1^(^8 XP系统下的穿透技术。
这些技术来源于mjOOll在XCON (国内最大的安全焦点会议）2008的一篇文章tophet.a， 搞安全的怕没有几个人不认识MJ0011,此人目前就职于360，号称360首席技术工程师，其 犀利的言论和深不可测的技术被我们小菜所惊奇，特别是他时不时就爆出其他安全软件： 瑞星、微点、金山等甚至微软的Exploit并且在各大安全论坛内不停的指点和抨击。我常 常在想每个人每天只有24个小时，为什么他能完成这么多事，我却不行，难道不吃不喝还 是可以制造出大量的“影分身”。开个玩笑，从技术上来说他确实相当厉害，而其他就无 需多言了，不过中国的互联网本身就是的混沌的情况，30还能大战，一切皆有可能。
首先介绍如何在Ring3下通过构造SCSI指令来穿透还原软件。还原软件的核心技术就是 数据读写重定向和重定向后的数据读写效率的问题，还原软件的驱动一般是磁盘类设备过 滤驱动和卷设备过滤驱动。卷设备驱动、磁盘类设备驱动、总线设备驱动，是从上至下的 顺序的排列的设备堆栈，最底层是总线设备（也就为端口驱动设备），这个从上至下的并不 是理论上的垂直，我这样解释只是方便我们深刻理解，下面是装有还原软件-讯闪（很多网 吧用这个）的设备堆栈示意图1: