Ring3无驱还原穿透清除工具(Ring3CrDisk)

Ring3无驱还原穿透清除工具(Ring3CrDisk)，由论坛大神原创制作的一个磁盘驱动读写修复工具，Ring3无驱还原穿透清除工具支持系统还原和影子穿透功能，适合多个磁盘端口机使用，有需要的朋友们可以下载试试，程序为单文件版本，解压后即可双击使用。

Ring3无驱还原穿透清除工具原理

一种是比较传统的，使用X86 IO，对IDE硬盘进行读写，

目前没有可以防御住该类读写的还原或者影子系统。但是IDE硬盘比较久远，现在用的电脑不是很多，所以可能他们这些软件并不是很关注这个问题。

使用该方法的软件，CrDisk（硬盘保护卡克星），对 0x102-0x107端口进行IO，未文档化或者为扩展的X86 IO端口。

重新分析了下，修正了之前的看法。他使用了0x1F2-0x1F7端口对硬盘进行操作，是标准的X86 IO，可以在网上搜索到具体使用方法。

bochs上可以看到ATA通道0使用1F0端口，通道1使用170端口。SCSI/SATA的可同理，只是资料比较少，成功后更新POC。

另外一种通用性相对较高，对\GLOBAL??\PhysicalDrive%d设备进行读写，绝大多数还原或影子不能防御，像Shadow Defender的应对措施就是强制重启你的电脑。

使用该方法的软件，Sector Editor，如果结合文件系统结构，就可以很轻松的改写硬盘上的任何一个文件。

Ring3无驱还原穿透清除工具使用

双击运行程序

选择磁盘目录

点击破解后等待即可