爆老技术啊爆老技术~

NTFS支持一种HARDLINK技术，可以将两个文件“硬连接”起来，其实原理很简单，两个文件共享同样的fie record，操作一个文件相当与操作另一个文件，包括相关属性，删除其中一个，另一个会保留原有的数据存在~

可使用系统工具fsutil.exe来创建一个硬连接，也可以使用windows提供的相关API、FSCTL来实现

fsutil hardlink create c:\1.txt c:\2.txt，即可建立c:\2.txt的连接,c:\1.txt

那么用于攻防，能做什么呢，简单就想到啦，使用文件路径过滤的同学们就惨了

pryrege.sys是一个最近流行的木马程序，其包含了一个文件系统过滤驱动，当你去删除他的文件的时候，他会假装返回成功了，实际是失败了~另外它的驱动有只读属性，并且不允许你修改它的属性，所以要写入也是不行的了~

你以为怎么清除它？上驱动?NONONO，没必要啊，hardlink来帮忙

我们首先用fsutil创建一个对它的hardlink, c:\2.txt，如图1

你会发现，2.txt也是有只读属性的，没关系，将c:\2.txt的属性只读去掉

此时pryrege.sys的只读属性也没了，如图2

我们来用记事本把2.txt的内容清空~

你会发现pryrege.sys也变成0字节空文件了~~ ,如图3：

至此，该木马作者哼哧哼哧地捣鼓出了个20多K的文件过滤狗屎驱动，只要一行命令就把他搞定了~

当然hardlink也是有攻防两面性的，例如用来删除或改写卡巴7的文件~ 用来读取被XX文件安全岛保护的文件~等等，技术是双刃剑啊~看你怎么用了。

不过，360的自我保护早考虑到这块，彻底抛弃了原始的路径过滤方法了，如图~ 没法给360的程序创建硬连接的，另外，即使你创建成功了，操作也无法成功映射过去，至于这点怎么做到的~碍于职业道德，我就不说啦~大伙自己研究吧~

http://hi.baidu.com/isbx/blog/item/5421a0447e90b984b3b7dccc.html