| windows文件保护机制 |
| 作者:内详 来源:网络搜集 点击数:
更新时间:2008-3-31 18:10:58 |
|
|
如果我们在win2000下运行任何过时的win32病毒,我们会发现一个讨厌的对话框,上面显示:
“一个受windows保护的系统文件被替换,为了维持系统的稳定性,这个文件已经被恢复成正确的系统版本,如
果你的程序发生了错误,请联系微软帮助中心获得支持。”
Heh!windows2000维护着一个被系统保护的文件的列表,并且忽略任何替换或修改这些文件的请求,同时显示
上面的信息。通过翻阅windows2000 DDK文档,我们可以发现更多有关文件保护的信息,
“当SFP检测到一个受保护的系统文件被替换,它会还原这个系统文件。当一个在系统保护目录下的文件被更改
时,SFP收到一个目录变更通知并被激活,SFP收到这个通知之后,它将检测哪个文件被更改,如果这个文件是
受保护的,SFP将从某个目录文件中寻找这个文件的数字签名来判断它是否是正确的版本,如果这个文件的版本
不正确,系统将试着用dllcache目录中的一个文件来恢复它,如果dllcache中没有这个文件,系统将会从distrib
ution media中寻找一个替代文件.
查找注册表我们可以找到一些与SFP有关的键:
HKEY_LOCAL_MACHINE
\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SfcBugcheck
SfcDisable
SfcQuota
SfcScan
SfcDisable这个键似乎就是我们所要找的,这个键值可以是FLASE (00h) 或者 TRUE (01h),现在让我们把它设
成TRUE
FUCK! 真倒霉,我们没能改变世界,SfcDisable的确可以禁用SFP,但是只有下次启动之后才能生效,[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页
|
|
| 教程录入:yxdoor 责任编辑:yxdoor |
上一篇教程: 安全隐患来自内部
下一篇教程: 彻底隐藏文件之最经典操作 |
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
