Windows 系统文件保护(续)

最新推荐文章于 2021-09-20 17:08:10 发布
最新推荐文章于 2021-09-20 17:08:10 发布
阅读量1.1k 收藏
点赞数
分类专栏: Win32API 文章标签: windows 汇编 api file c 多线程
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dkfdtf/article/details/2780192
版权


研究了一晚上,发现:

第一种方法并不容易实现,而且过程繁琐
第二种方法可以实现,但由于需要采用远程注入的方式来调用未公开函数 SfcTerminateWatcherThread(sfc_os.dll 中序号为 2,此函数必须在 WinLogon 进程内调用才生效),这样就存在一个限制,因为要调用 CreateRemoteThread 在 WinLogon 进程空间内创建远程线程,而这个功能会被很多病毒监控程序截获而导致失败,所以也不易采用

最后只剩下第三种方案了,它采用 SfcFileException(sfc_os.dll 中序号为 5) 函数来临时禁止对某一个文件的保护,禁用时间是一分钟,超过一分钟后保护自动恢复。

最后决定采用第三方案,剩下的问题就是如何调用这个函数指针?满世界找都没有 vfp 调用函数指针的资料,以前研究过 Calvin Hsia's 的 vfp 多线程代码,记得可以用嵌入一段汇编代码的方法来实现函数指针的调用,由于太复杂,当时没有深究,回过头再看看,发现原来还是有所不同,他的汇编代码实现的是一段回调函数,调用函数指针的代码是在汇编块内,直接参数压栈后再 mov eax,函数指针,push eax,再 call eax,可惜咱这里需要先解决从执行 vfp 代码到执行汇编代码的转移,不适用,哭吧!

好在以前看过可以用调用最常见的 CallWindowProc 这个 api 函数的另类用法的文章,具体在那本书就记不起来了。只好自己写一段汇编代码,好长时间没摸汇编了,结果可想而知,经历不少于 10 次的自动重启之后,决定还是找找有没有别人写好的代码可用;运气好,最后找到一段名叫阿国的牛人写的 vb 代码(参见:http://www.aguoge.com/show.htm?id=23),虽然他写这段代码不是用来实现这个功能的,但它的那段汇编代码可以借用,改为 vfp 的语法来实现后的代码如下:


#define C_FILE      'c:/windows/notepad.exe'     && 改为你要关闭保护的文件

LOCAL cFile, hDll, pFunc, pFile, pParams, iResult
PRIVATE hHeap

DECLARE Long CallWindowProc IN WIN32API ;
  Long lpFunc, Long hWnd, Long nMsg, Long wParam, Long @ lParam

DECLARE Long GetProcessHeap IN WIN32API
DECLARE Long HeapAlloc IN WIN32API Long hHeap, Long dwFlags, Long dwBytes
DECLARE Long HeapFree  IN WIN32API Long hHeap, Long dwFlags, Long lpMem

DECLARE Long LoadLibrary IN WIN32API String lpFileName
DECLARE Long FreeLibrary IN WIN32API Long hModule
DECLARE Long GetProcAddress IN WIN32API AS GetAddr_n ;
  Long hModule, Long dwProcOrdinal

m.hDll = LoadLibrary( "sfc_os.dll" )
m.pFunc = GetAddr_n( m.hDll, 5 )       && 取 SfcFileException 的函数指针

m.hHeap = GetProcessHeap()
m.cFile = STRCONV( C_FILE+CHR(0), 5 )  && 函数 SfcFileException 需要 Unicode 格式的文件名
m.pFile = HeapAlloc( m.hHeap, 8, LEN(m.cFile) )
SYS( 2600, m.pFile, LEN(m.cFile), m.cFile )
m.pParams = HeapAlloc( m.hHeap, 8, 12 )
*!* 调用 SfcFileException 函数的参数: 0, 文件名, -1
SYS( 2600, m.pParams, 12, BINTOC(0,'rs')+BINTOC(m.pFile,'rs')+BINTOC(-1,'rs'))
m.iResult = CallPtrFunc( m.pFunc, m.pParams, 3 )
FreeLibrary( m.hDll )
HeapFree( m.hHeap, 0, m.pFile )
HeapFree( m.hHeap, 0, m.pParams )

IF ( 0 == m.iResult )
  TEXT TO m.cMsg NOSHOW TEXTMERGE
文件 <<C_FILE>> 的保护已被暂时关闭,一分钟后自动恢复 

现在你可以修改/更名/替换它了 ...
  ENDTEXT
  MESSAGEBOX( m.cMsg, 64, '关闭保护成功' )
ELSE
  MESSAGEBOX( '关闭保护失败,或许它本来就未受 Windows 保护。', 16, '错误' )
ENDIF


FUNCTION CallPtrFunc( pFn, pParam, iCount )

  LOCAL sCode, pCode, iRet0, iRet1

  m.sCode = ;
    0h558BEC53E8000000005B81EB2C1100108D934A1100105264FF35000000006489250000 ;
  + 0h0000EB1F8B44240CE8000000005981E9531100108D91971100108990B800000033C0C3 ;
  + 0h8B550C8B4D108D148AEB068D52FCFF32490BC975F68B4508FFD0648F050000000083C4 ;
  + 0h048B4D1489015BC9C21000648F050000000083C40433C08B4D1489215BC9C210009090

  m.pCode = HeapAlloc( m.hHeap, 8, LEN(m.sCode) )
  SYS( 2600, m.pCode, LEN(m.sCode), m.sCode )

  m.iRet0 = 0
  m.iRet1 = CallWindowProc( m.pCode, m.pFn, m.pParam, m.iCount, @ m.iRet0 )
  HeapFree( m.hHeap, 0, m.pCode )

  IF ( m.iRet0 != m.iRet1 )
    m.iRet1 = -1
    ERROR '严重错误,函数执行结果不可用。'
  ENDIF
  RETURN m.iRet1
ENDFUNC
 
都市夜猫
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
学习笔记-第十二章 恶意代码分析实战
Yes_butter的博客
03-24 1494
第12章 隐蔽的恶意代码启动 1.启动器 启动器是一种设置自身或其他恶意代码片段以达到即使或将来秘密运行的恶意代码。 启动器的目的是安装一些东西,以使恶意行为对用户隐蔽。 启动器经常包含它要加载的恶意代码。最常见的情况是在它的资源节中包含一个可执行文件或者dll。 正常情况下,Windows pe文件格式中的资源节是供可执行程序使用的,但并不应该是可执行程序的 组成代码。正常资源节的内容...
恶意代码分析实战 Lab12
baidu_41108490的博客
05-30 1561
1学到现在都学了一半了,后面都不会分析的很细致,不会关注细节,只会大致把握恶意代码的主要流程,主要做了什么,把握这些就已经是成功分析恶意代码了,不需要每个一个函数都分析到点上,没必要,我们会加快速度看一下字符串,我觉得最主要的线索就是explorer.exe,想来是要对他进行dll注入,毕竟还有一个lab12-01.dll文件存在看一下.exe程序alloca_probe是堆栈保护检查的函数不要管...
恶意代码分析实战12-04
Yale的博客
09-20 797
本次实验我们将会分析lab12-04.exe文件。先来看看要求解答的问题 Q1.位置0x401000的代码完成了什么功能? Q2.代码注入了哪个进程? Q3.使用LoadLibraryA装载了哪个DLL程序? Q4.传递给CreateRemoteThread调用的第4个参数是什么? Q5.二进制主程序释放出了哪个恶意代码? Q6.释放出恶意代码的目的是什么? 首先使用Peview载入 可以看到CreateRemoteThread创建远程线程的函数以及LoadResource和FindResourceA等资
恶意代码分析常见Windows函数
weixin_30932215的博客
09-07 341
accept   用来监听入站网络连接,这个函数预示着程序会在一个套接字上监听入站网络连接。 AdjustTokenPrivileges   用来启用或禁用特定的访问权限。执行进程注入的恶意代码会经常调用这个函数 ,来取得额外的权限。 AttachThreadInput   将一个线程处理的输入附加到另一个线程上,使得第二个线程接收到输入事件。如键盘和鼠标事件。击键记录器和其他...
sfc_os.dll第五号函数替换文件
anhkgg的专栏
09-06 2387
sfc_os.dll第五号函数替换文件 2010-07-22 17:31 625人阅读 评论(0) 收藏 举报 Windows文件保护是个烦人的东西,我们在写小马的时候不可避免的想要干掉它。 流行的思路有以下几种: 1.远程注入Winlogon进程卸载sfc_os.dll 2.强制替换dllcache里的文件,监视弹窗,使用postmessage发送wm_clos
windows向服务器传输文件
02-10
FileZilla支持FTP、FTPS和SFTP协议,用户友好的界面使其易于使用,同时提供高级功能,如断点传、书签管理、拖放操作等,使Windows用户能高效地进行服务器文件传输。 总的来说,Windows向服务器传输文件涉及的关键...
Windows可靠文件复制处理
11-21
Windows系统中,我们可以使用内置的文件复制功能,如“文件资源管理器”的拖放操作,或者使用命令行工具如`xcopy`或`robocopy`。这些工具在默认情况下会尝试确保源文件和目标文件的一致性,但它们可能无法处理网络...
仿文件快传系统源码.zip
11-06
"跨平台"意味着它应该能够在不同的操作系统上运行,如Windows、MacOS和Linux。"跨网络地域"则表明它的设计目标是克服网络限制,使用户无论在世界的哪个角落都能高效地分享文件。这通常涉及到优化的文件上传和下载...
FileZilla-3.60.1-win64【Linux与Windows交互、文件上传使用】
05-22
总的来说,FileZilla是连接Linux和Windows系统的理想工具,无论是开发人员进行代码部署,还是普通用户进行文件共享,都能大大提高工作效率。其简单易用的界面、丰富的功能和跨平台支持,使其成为FTP工具的首选之一。...
windows 版本的 lftp
06-05
LFTP最初是为Unix-like系统设计的,但随着其跨平台支持的发展,现在Windows用户也能享受到这款强大的文件传输工具。 **LFTP的主要特点和优势** 1. **多协议支持**:LFTP不仅支持FTP(文件传输协议),还支持SFTP...
病毒分析教程第七话--进程注入分析(下)
安全杂货铺
04-10 460
进程注入分析(中) 教程参考自《恶意代码分析实战》 程序来自:http://www.nostarch.com/malware.htm Lab 12-4 本节实验使用样本Lab12-04.exe。 这个程序的目的是什么? 从资源节加载恶意payload,然后注入到svchost.exe进程中运行。 启动器恶意代码是如何隐藏执行的? 使用PE注入的方式将恶意PE注入到svchost.exe中。 ...
关于windows系统文件保护。转载:http://hi.baidu.com/w1n_r00tkit/blog/item/b4354900691aa2067aec2c6f.html
oneVs1的专栏
09-21 4824
关于windows系统文件保护http://hi.baidu.com/w1n_r00tkit/blog/item/b4354900691aa2067aec2c6f.htmlhttp://eyuanhermit.blog.hexun.com/29625080_d.html.方法1 兼容的方法这是个非常兼容的方法我通过逆向一些微软的工具得到的。这个方法被那些工具所使用,用
Wine 安装使用问题集锦
weixin_34342578的博客
10-16 1622
安装wine出现的问题与解决 1、安装wine出错了(缺少文件) 安装wine 的 RPM包时候出现如下错误。 # rpm -ivh wine-xim-20030408-1.i386.rpm error: Failed dependencies: libsane.so.1 is needed by wine-xim-20030408-1 libXv.s...
Windows 系统文件保护
都市夜猫的专栏
08-06 926
Windows 从 2000 开始就引入了系统文件保护功能(WFP),今天先看看如何列出被保护系统文件。代码很简单,只调用了一个 api 函数:SfcGetNextProtectedFileDECLARE Long SfcGetNextProtectedFile IN sfc Long RpcHandle, String @ ProtFileDataCREATE CURSOR p
VFP向Win32函数传递参数
Sunny的专栏
08-09 3773
VFP向Win32函数传递参数2003年10月15日 News2News摘要:学习如何在VFP3到8里向Win32函数传递参数,包括值传递和引用传递,生成和传递结构,和更多的内容。 目录 值传递 引用传递 用API函数分配内存 传递NULL的LPCTSTR参数 用不同的接口调用Win32函数 生成结构 使用结构的指针 回调(CallBack)函数作为输入参数 值传递     传递变
udf 文件系统 中文说明
最新发布
07-02
此外,UDF文件系统还具备断点传的功能,即在中断后能够继传输文件,提高数据传输的可靠性。 UDF文件系统对于不同操作系统的兼容性非常好,可以在Windows、Mac OS和Linux等主流操作系统上读取和写入UDF格式的...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值