如何禁止Windows文件保护

最新推荐文章于 2024-10-15 14:04:56 发布
最新推荐文章于 2024-10-15 14:04:56 发布
阅读量846 收藏
点赞数
分类专栏: 安全编程 文章标签: windows system file function object xp
如何禁止Windows文件保护 2008-11-28 15:24:10
 
如何禁止Windows文件保护
2007-09-30 18:01
下面介绍如何禁止Windows文件保护(WFP)。
我们先来了解下WFP是如何工作的。相关的文件是sfc_os.dll(2000下是sfc.dll,在xp下也有sfc.dll文件,但都是调用sfc_os.dll的功能)和 Winlogon.exe 。
Winlogo进程通过调用sfc dll 导出的函数进行文件保护,后者通过FindFirstChangeNotification函数在用户态监视要保护的目录,然后通过WaitForSingleObject等待事件的发生。实际上如果你通过object viewer观察这个进程,会找到每个保护目录的句柄。这里我用Process Explorer观察得到:
EVENT \BaseNamedObjects\WFP_IDLE_TRIGGER
File D:\WINDOWS\system32\dllcache
File D:\WINDOWS\system32
……
那么,我们是可以通过FindCloseChangeNotification或CloseHandle(两个实际是相同的)来停止WFP监视系统目录。
简要步骤如下:
1.在管理员身份下运行程序,提升自已进程的SeDebugPrivileges权限
2.找到winlogo进程的ID
3.以PROCESS_DUP_HANDLE权限打开winlogo进程(后面要复制winlogo进程内的句柄)
4. 通过NtQuerySystemInformation函数,遍历winlogo进程内所有打开的句柄。
5. 通过NtQueryObject查询句柄对象的名称,如果名称是我们需要停止保护的目录,则用DuplicateHandle复制句柄到我们进程,
带DUPLICATE_CLOSE_SOURCE标志,然后调用CloseHandle关闭该句柄。
详细代码参考:[url]http://bbs.driverdevelop.com/htm_data/101/0705/101763.html[/url]
Sfc_os.dll导出的第5号函数(SetSfcFileException),也可用于禁止Windows文件保护。通常,这个函数使得由参数指定的被保护文件在60秒内可以修改替换,实际测试后,发现在xp下是没有这个时间限制的。函数原型:
SetSfcFileException (DWORD param1, PWCHAR param2, DWORD param3);
param1: Always set to 0
param2: The full path of the file to modify later
param3: Always set to –1
代码示范:
typedef DWORD(__stdcall *CPP) (DWORD param1, PWCHAR param2, DWORD param3);
void Disable_WFP()
{
HINSTANCE hmod=LoadLibrary("sfc_os.dll");
CPP SetSfcFileException;

// the function is stored at the fifth ordinal in sfc_os.dll
SetSfcFileException= (CPP)GetProcAddress(hmod,(LPCSTR)5);

SetSfcFileException(0, L"c:\\windows\\system32\\calc.exe",-1);

//Now we can modify the system file in a complete stealth.
}
anhkgg
关注
专栏目录
如何禁止Windows文件保护(WFP)
tony的专栏
10-25 1734
如何禁止Windows文件保护(WFP)分类: 操作系统2009-10-19 14:56 393人阅读 评论(0) 收藏 举报如何禁止Windows文件保护(WFP)。我们先来了解下WFP是如何工作的。相关的文件sfc_os.dll(2000下是sfc.dll,在xp下也有sfc.dll文件,但都是调用sfc_os.dll的功能)和 Winlogon.exe 。Winlogo进程通过调用sfc
【数据维护】Windows文件保护机制(SFC
哈士奇
09-07 1872
前言: Windows文件保护机制(WFP),它可以防止关键的系统文件被改写。 WFP被设计用来保护windows文件夹的内容,这决定了WFP只保护特定的文件类型。如SYS、EXE、OCX、FON和TTF,而不是阻止对整个文件夹的任何修改。 当一个应用程序试图替换一个受保护文件时,WFP就会检查替换文件的数字签名,已确定次文件是否是正确的版本。 1.SFC命令工具的使用(6个命令
Windows系统禁止文件夹联网,批量设置防火墙规则
csdn_life18的博客
04-11 2167
Windows系统禁止文件夹联网,批量设置防火墙规则
[网络管理]Windows Server 2012 R2 文件服务器安装与配置05 之文件屏蔽功能与配置全局配额
德仔
10-17 7422
一、文件屏蔽功能测试为了防止公司文件服务器中毒,公司决定禁止存放.exe文件,下面我们来配置一下。1、由于可执行文件的限制,文件屏蔽模板里面已经有了,所以我们不需要在手动创建模板了,直接点击“创建文件屏蔽...”2、选择屏蔽的目录,已经屏蔽文件类型,点击“创建”3、我们可以看到已经创建了一条规则,阻止:可执行文件4、这时候我们再往test01目录里面存放.exe文件,提示“你需要权限来执行此操作
Windows文件系统
Hugu
11-08 6899
文章目录0x01 文件系统概念0x02 常见文件系统FAT文件系统(windows)NTFS文件系统(windows)ExFAT(windows MACos linux)HFS/HFS+(MAC OS专用)EXT(3,4)(linux)XFS(linux)0x03 NTFS相对于FAT的优势容错性安全性(NTFS权限)文件压缩磁盘配额0x04 NTFS权限应用规则0x05 NTFS权限基本设置0x06 实验练习 0x01 文件系统概念 ​ 文件系统是操作系统用于明确存储设备(常见的是磁盘,也有基于NAND
Windows 资源保护找到了损坏文件,但其中有一些文件无法修复
热门推荐
心之所向
10-23 4万+
Windows 资源保护找到了损坏文件,但其中有一些文件无法修复。对于联机修复,位于 windir\Logs\CBS\CBS.log 的 CBS 日志文件中有详细信息。例如C:\Windows\Logs\CBS\CBS.log。对于脱机修复,/OFFLOGFILE 标记提供的日志文件中有详细信息。这条命令会扫描系统文件并和官方服务器上文件进行对比,找到问题。如果没有出现下图所示情况,请使用方案二。
关于问题【Windows 资源保护找到了损坏文件,但其中有一些文件无法修复】解决办法
iii66yy的博客
01-31 4万+
Windows 资源保护找到了损坏文件,但其中有一些文件无法修复。对于联机修复,位于 windir\Logs\CBS\CBS.log 的 CBS 日志文件中有详细信息。例如 C:\Windows\Logs\CBS\CBS.log。对于脱机修复,/OFFLOGFILE 标记提供的日志文件中有详细信息。
怎么关闭windows文件保护.docx
09-27
如何关闭 Windows 文件保护 Windows 文件保护是一项安全功能,可以防止系统文件被恶意修改或删除。但是在某些情况下,我们可能需要关闭这个功能,以便进行一些系统维护或修复操作。下面我们将介绍两种关闭 Windows...
windows内核驱动读写文件
10-11
windows内核驱动条件下文件的创建、读、写等功能实现源码。适用于驱动调试和运行观察的日志打印输出,比Windbg和reaceview更方便。
服务器共享的设计文件如何防拷贝、共享文件只读不能复制、共享文件禁止复制、怎么复制
10-01
通过软件的"全局设置",管理员可以选择在用户无读取权限时隐藏文件,进一步强化文件保护。 为了实现更精细的权限控制,该系统还提供了访问许可和访问窗体许可功能,允许管理者阻止特定程序、动作或窗体,如禁止截屏...
轻松突破Windows文件保护功能.rar
04-21
"轻松突破Windows文件保护功能"这个压缩包可能包含了一个工具或者教程,旨在帮助用户了解如何在必要情况下绕过这一保护措施。当然,这种操作应当谨慎进行,以免破坏系统或导致数据丢失。 文件保护功能在Windows中的...
禁止Windows应用联网の脚本
10-07
Windows系统中禁止应用联网,可以减少应用广告,防止应用在后台使用流量,防止应用更新,保护隐私,获得更好的体验。 运行该脚本后直接输入软件所在文件夹目录,脚本会自动扫描文件夹内的.exe文件,并在Windows...
文件保护的概念
Bing's Blog
10-17 9969
文件保护的概念 为了防止文件共享可能会导致文件被破坏或者未经核准的用户修改文件文件系统必须控制用户对文件的存取,即:解决对文件的读、写、执行的许可问题。因此必须建立相应的文件保护机制:口令保护、加密保护、访问控制等。 文件保护,并不保护文件是不是受损之类。防止用户文件被他人存取或窃取:口令,加密 控制用户对文件的访问方式–rwx:访问控制访问控制其中之一的策略是:在Linux下面我们非常熟悉
JAVA队列
2301_80062351的博客
10-13 713
1. 队列(Queue)   1.1 概念   1.2 队列的使用    1.入队列    2.出队列    3.查找队头元素   1.3 队列模拟实现    1.入队列    2. 出队列    3.查找    4.判空和判断大小
【操作系统的使用】Linux 输入输出重定向:掌握控制台的高级用法
最新发布
她是不会无条件的!!
10-15 431
操作系统的使用 第二部分
c语言链表实现
2301_81172092的博客
10-12 882
c语言链表的实现以及易错点的标注
C语言01
2302_76384361的博客
10-14 376
/获取顺序表的大小,该接口直接获取顺序表的成员变量size并返回。//顺序表的索引,给出索引求值。//修改顺序表中指定位置的值。//顺序表的插入操作。//顺序表的查找操作。
如何关闭及解决Windows文件保护问题
"这篇文档主要介绍了如何处理Windows文件保护导致的困扰,特别是在系统重装后仍然弹出相关提示窗口的问题。文件保护功能旨在确保系统关键文件的完整性,但有时可能会因病毒或文件替换而引发问题。本文档提供了解决...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值