Windows系统文件保护

最新推荐文章于 2024-09-18 22:43:41 发布
最新推荐文章于 2024-09-18 22:43:41 发布
阅读量1.3k 收藏
点赞数
分类专栏: windows系统管理和安全 文章标签: windows 汇编 xp dll 通讯 微软

用PEDIY的方式来给Windows系统文件添加引入表项来加载DLL,我的同事yythac写过一个后门叫做黑客之门也是使用类似的方式来加载,本来打算向他请教的,只是现在他们太忙了,只是自己搞定了,用了一天时间分析引入表,一天时间写程序,XP和2K系统上调试运行通过,只是通讯这一块不打算搞那么麻烦,要不时间搞太长老总肯定要K我啦!

另外一个问题是Windows系统文件保护,通过反汇编sfc.dll和sfc_os.dll发现在有一个叫做TerminateWatchThread的函数,很多人都说是Close什么之类的函数,基本根本不是Close什么东东,而是停止对系统文件保护的监视线程,通过IDA Pro反汇编的代码,基本微软的符号文件很清楚的告诉我们它是干什么的了,用它可以关闭系统文件保护。

首先判断一下版本,如果是XP就从sfc_os.dll里找这个函数,如果是2K就从sfc.dll里找这个函数,然后在Winlogon.exe里启一个远程线程运行一下TerminateWatchThread,再PEDIY搞系统文件。为什么在Winlogon.exe里启远程线程,写一个小程序枚举一下系统中的Modules就可以发现只有Winlogon.exe进程里使用了sfc#.dll,所以监视线程在Winlogon.exe进程的地址空间里啊!

 

iiprogram
关注
专栏目录
Windows系统文件保护禁用工具
11-24
Windows系统文件保护禁用工具。我做批处理美化XP的时候用到的。
Windows影子保护系统 EWF,断电保护
10-10
Windows的影子保护系统,全称为Enhanced Write Filter(EWF),是一种强大的系统保护机制,主要目的是为了防止对系统磁盘的非预期修改。在EWF的保护下,任何对系统分区(如C盘)的更改都不会永久保存,一旦系统重启...
windows 文件保护机制
dengzhaoqun的专栏
03-06 1805
操作系统的核心文件非常重要, 如果被改写可能会引起严重后果. Win 引入文件保护( Windows File Protection, WFP)机制.      WFP 保护特定的文件类型, 如扩展名为 SYS, EXE, DLL, OCX, FON 和 TTF 的系统文件.      当一个应用程序试图替换一个受保护的文件时, WEP检查替换文件的数字签名, 判断此文件是否来自微软, 以及是
【数据维护】Windows文件保护机制(SFC)
哈士奇
09-07 1845
前言: Windows文件保护机制(WFP),它可以防止关键的系统文件被改写。 WFP被设计用来保护windows文件夹的内容,这决定了WFP只保护特定的文件类型。如SYS、EXE、OCX、FON和TTF,而不是阻止对整个文件夹的任何修改。 当一个应用程序试图替换一个受保护的文件时,WFP就会检查替换文件的数字签名,已确定次文件是否是正确的版本。 1.SFC命令工具的使用(6个命令
【操作系统】文件保护、目录结构
计算机与软件考研
07-15 367
文件保护访问类型通过限制可进行的文件访问类型,保护机制可提供控制访问(特别地为防止文件被破坏,一般对写和修改操作需要特别控制)。访问类型有:读;写;修改;运行;添加;删除;列表清单。访问...
【操作系统】4.8 文件保护
qq_43134199的博客
12-26 106
1 口令保护 2 加密保护 3 访问控制 总结
Windows 系统文件保护
都市夜猫的专栏
08-06 937
Windows 从 2000 开始就引入了系统文件保护功能(WFP),今天先看看如何列出被保护系统文件。代码很简单,只调用了一个 api 函数:SfcGetNextProtectedFileDECLARE Long SfcGetNextProtectedFile IN sfc Long RpcHandle, String @ ProtFileDataCREATE CURSOR p
Windows文件系统
Hugu
11-08 6854
文章目录0x01 文件系统概念0x02 常见文件系统FAT文件系统(windows)NTFS文件系统(windows)ExFAT(windows MACos linux)HFS/HFS+(MAC OS专用)EXT(3,4)(linux)XFS(linux)0x03 NTFS相对于FAT的优势容错性安全性(NTFS权限)文件压缩磁盘配额0x04 NTFS权限应用规则0x05 NTFS权限基本设置0x06 实验练习 0x01 文件系统概念 ​ 文件系统是操作系统用于明确存储设备(常见的是磁盘,也有基于NAND
电脑软件关闭系统文件保护.rar
10-25
标题中的“电脑软件关闭系统文件保护”涉及到的是操作系统中的一项安全特性,通常在Windows系统中被称为“系统文件保护”(System File Checker,SFC)。这项功能是为了防止系统关键文件被篡改或损坏,确保系统的...
操作系统安全:WINDOWS文件系统介绍.pptx
06-02
操作系统安全,特别是Windows系统,其安全性与文件系统密切相关。文件系统是操作系统中管理存储设备上文件的机制。本文主要介绍了Windows文件系统中的FAT和NTFS两种主要类型,以及NTFS的一些核心特性。 FAT(File ...
电脑软件彻底关闭系统文件保护SFC.rar
10-25
系统文件保护(System File Checker,简称SFC)是Windows操作系统中的一个重要功能,它旨在保护系统核心文件不被未经授权的修改或替换,确保系统的稳定性和安全性。当你尝试执行名为"电脑软件彻底关闭系统文件保护...
Windows 系统文件保护(续)
都市夜猫的专栏
08-07 1198
研究了一晚上,发现:第一种方法并不容易实现,而且过程繁琐第二种方法可以实现,但由于需要采用远程注入的方式来调用未公开函数 SfcTerminateWatcherThread(sfc_os.dll 中序号为 2,此函数必须在 WinLogon 进程内调用才生效),这样就存在一个限制,因为要调用 CreateRemoteThread 在 WinLogon 进程空间内创建远程线程,而这个功能会被很多病毒
操作系统知识点总结(十四)文件保护:文件访问类型和访问控制
积累 沉淀 博学 广思
12-01 7813
为了防止文件共享可能会导致文件被破坏或未经核准的用户修改文件,文件系统必须控制用户对文件的存取,即解决对文件的读、写、执行的许可问题。为此,必须在文件系统中建立相应的文件保护机制。 文件保护通过口令保护、加密保护和访问控制等方式实现。其中,口令保护和加密保护是为了防止用户文件被他人存取或窃取,而访问控制则用于控制用户对文件的访问方式。 访问类型 对文件的保护可以从限制对文件的访问类型中出发。可...
操作系统:文件共享和文件保护
qq_40821469的博客
04-24 1028
硬链接(基于索引结点) 各个用户的目录项指向同一个索引结点。 索引节点中需要有链接计数count。 某用户想删除文件时,只是删除该用户的目录项,且count–。 只有count==0时才能真正删除文件数据和索引结点,否则会导致指针悬空。 软链接(基于符号链) 在一个Link型的文件中记录共享数据的存放路径(Windows快捷方式)。 操作系统根据路径一层层查找目录,最终找到共享文件。 即使软...
Java迭代器Iterator和Iterable有什么区别?
sunyan5211314的博客
09-18 906
该方法的实现方式是使用 for-each 循环遍历集合中的元素,对于每个元素,调用 Consumer 对象的 accept 方法执行指定的操作。原则上,只要一个 List 实现了 Iterable 接口,那么它就可以使用 for-each 这种方式来遍历,那具体该怎么遍历,还是要看它自己是怎么实现 Iterator 接口的。第一种我们略过,第二种用的是 Iterator,第三种看起来是 for-each,其实背后也是 Iterator,看一下反编译后的代码(如下所示)就明白了。
《C++移动语义:解锁复杂数据结构的高效之道》
最新发布
xy520521的博客
09-18 1106
在移动构造函数中,我们将源链表的头指针赋值给目标链表的头指针,并将源链表的头指针置为 nullptr,以确保源链表在移动后不再拥有资源。在移动赋值运算符中,我们首先清空目标链表,然后将源链表的头指针赋值给目标链表的头指针,并将源链表的头指针置为 nullptr。在移动构造函数中,我们将源树的根指针赋值给目标树的根指针,并将源树的根指针置为 nullptr,以确保源树在移动后不再拥有资源。在移动赋值运算符中,我们首先清空目标树,然后将源树的根指针赋值给目标树的根指针,并将源树的根指针置为 nullptr。
_Array类,类似于Vector,其实就是_string
weixin_42944928的博客
09-15 528
【代码】_Array类,类似于Vector,其实就是_string。
路由器接口配置DHCP实验简述
weixin_42185241的博客
09-18 531
路由器接口配置DHCP简述
Windows NT 文件系统实现探索
"Windows NT 文件系统内部机制第九章中文翻译" 在Windows NT操作系统中,文件系统扮演着至关重要的角色,它负责管理和组织存储设备上的数据。本章探讨的是如何在NT环境下创建一个自定义的文件系统,以及文件系统...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值