C++ 获取Windows还原点列表(2)

最新推荐文章于 2022-09-11 08:49:50 发布
最新推荐文章于 2022-09-11 08:49:50 发布
阅读量754 收藏
点赞数
分类专栏: Windows 文章标签: windows 解密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dybb8999/article/details/76576393
版权
本文介绍了一种通过逆向工程C++程序,解析rstrui.exe以获取Windows系统还原点ID的方法。作者详细阐述了利用IDA和OD分析rstrui.exe的关键函数,特别是`CSxFunctionTracer::CSxFunctionTracer()`,并找到了获取系统ID的COM接口。通过监控内存和单步调试,最终成功获取到系统ID,揭示了系统如何使用此ID与还原点文件进行匹配。
摘要由CSDN通过智能技术生成

上一节是获取了系统磁盘上系统还原点文件,成功解决了WMI和PowerShell无法获得系统还原点的问题,但是还原点多余的情况依然无法解决。这几天看了室友的《加密与解密 第三版》对逆向有了很浓厚的兴趣,练手就准备用这个程序。

系统还原点的程序是C:\Windows\System32\rstrui.exe

使用IDA和OD。

历时一周,终于有了头绪,rstrui.exe里面有一个类的静态函数(CSxFunctionTracer::CSxFunctionTracer()),感觉是用来打印日志的,每个函数里面都会调用该函数,并且写上调用函数的函数名。经过寻找,找到2个关键函数:

GetSystemId
_FilterRestorePointsBySystemId

根据函数名看出来是获得系统ID后,根据系统ID进行判断,看样子上一篇文章中获取的文件里应该是有系统ID的,现在只要能获取系统ID就OK了。

看了看GetSystemId的实现,代码量不多,看样子就是一个COM接口:

下图代码是调用COM接口的函数:
IDA

___guard_check_ic

最低0.47元/天 解锁文章
8008208820Hell
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
系统还原点的创建与还原
peng_qilin的博客
11-25 713
蓝屏时快速恢复使用(舍弃一些必要代价)系统还原点的创建 系统还原不能
C++ 获取Windows还原点列表
Hell的博客
07-24 1140
本来是用WMI就可以搞定的,但是不知道什么时候开始,WMI貌似没效果了,SELECT * from SystemRestore结果是空的,但是系统程序rstrui.exe里面能成功找出还原点,这就很神奇了。。。决定研究一下。
删除文件恢复C++实现
05-27
windows操作系统下,C++编写实现对ntfs及fat32文件系统中被删除文件的恢复。
删除特定系统还原
tangobravo的博客
09-11 733
选择要删除的还原点,复制其shadow copy ID (注意非shadow copy set ID)
win10安装c语言不兼容,手把手还原win10系统visual c++不兼容的技巧
weixin_39559559的博客
05-21 3719
电脑一旦开机就会不停的运行,不可避免会出现软硬件问题,win10系统visual c++不兼容就是比较常见的状况,很多用户之前从未遇到win10系统visual c++不兼容这样的问题,对于只会操作电脑的使用者而言动手处理win10系统visual c++不兼容简直是太难了,针对具体原因我们可以采用相应的解决对策:1、打开服务,按windows+R输入services.msc 2、找到wind...
获取windows密码的c++代码
01-20
总的来说,获取Windows密码的C++代码涉及到对Windows底层API的深入理解和使用,这不是一个初学者任务,且应谨慎处理。在实际开发中,应当遵循最小权限原则,避免不必要的系统侵入。同时,理解并尊重用户隐私是至关...
windows平台socket多客户端通信c++编程
03-19
C++中,通常通过包含`winsock2.h`头文件并链接`ws2_32.lib`库来使用Windows Socket API。 2. **TCP/IP协议**: - 在Windows平台上的Socket通信通常基于TCP/IP协议,这是一个面向连接的、可靠的、基于字节流的...
WINDOWS 7安装visual c++ 2005 2008
12-01
### Windows 7 下安装 Visual C++ 2005 SP1 的问题及解决方案 #### 问题背景 在尝试安装 MindManager 8 软件的过程中,系统提示需要先安装 Visual C++ 2005 SP1(Service Pack 1)。然而,在 Windows 7 操作系统上...
windows下ZSTD压缩算法的使用
12-26
Windows环境下,使用C++进行数据压缩和解压缩是一个常见的需求,特别是在处理大量数据时,压缩可以有效地节省存储空间。ZSTD(Zstandard)是一种快速且高效的压缩算法,由Facebook开发并开源。本文将详细讲解如何...
一键备份还原系统
09-13
1、专业:国内第一款真正完美支持Win2000、XP、2003、Vista等操作系统进行一键备份、一键还原的专业软件。 2、安全:支持多个操作系统混合、支持多硬盘、支持分区或盘符错乱、支持Linux 混合分区等;没有对硬盘分区表进行修改,安全稳定,保障数据安全。 3、简单:支持文件拖曳,直接把Ghost 镜像文件( *.gho)拖到程序窗口,即可进行辨认并自动写入地址栏;只需要按一个按钮,所有操作全部自动化完成。 4、个性:“备份系统”时提供三种常用压缩比率(可缩短备份时间或减少备份镜像体积);装机用户或技术人员还可以自由定制 Ghost 核心程序(内置为 Ghost11.1最新版)和定制进行一键备份、一键还原之后的所执行的操作,选项有:完成后自动重启并进入系统、完成后自动关机、返回到DOS,可以进行其它的DOS下操作。 5、智能:自动搜索所有硬盘和所有分区;自动获取分区容量、剩余空间、分区格式;自动检测镜像文件的存储驱动器类型(管您是光驱,还是闪存盘,还是移动硬盘,轻轻一按,即可自动复制到磁盘进行恢复);自动检测空文件;自动中文名判断(Ghost 识别中文字符会变成乱码,所以本程序在Windows自动先进行检测并做出提示)。 6、贴心:备份系统前自动清理IE的临时垃圾文件和回收站,减少体积;支持配置文件(WinGho.ini)静默安装方式(即Ghost光盘的自动安装功能),并添加了“备份系统”后在系统启动菜单添加“一键还原系统”功能。 7、人性化:当使用本程序进行备份系统之后,再次启动本程序时则自动弹出提示备份的文件存在路径和自动添加到还原选项的地址栏上,轻轻一按即可立刻进行还原系统;还原系统时自动忽略 Ghost 镜像文件 CRC 校验。
识别c++ RTTI的ida脚本1
08-08
例如,通过访问`_m_d_name`字段(在VS2015中为`_Data._DecoratedName`)获取类的装饰名称,再利用`name()`函数还原出原始类名。这里,我们可能会遇到一个挑战,即如何在没有真正`type_info`对象的情况下调用`name()`...
电脑用c语言恢复出厂设置,win7系统如何恢复出厂设置?win7系统初始化电脑的方法...
weixin_35663823的博客
05-22 835
win7系统如何恢复出厂设置?这是很多人想知道的问题,但是小编在这里再重申一次,win7系统是没有还原出厂设置这个功能的,但是我们可以折中处理,那就是备份很还原自己的系统,所以当我们刚买到电脑或者重装系统之后一定要备份系统,一定要备份系统。下面小编就为大家介绍一下如何备份和还原系统的具体步骤方法一:使用系统自带的备份还原功能一、创建还原点1:右键点击“计算机”图标,选择“属性”进入系统信息界面。2...
windows10强制删除文件_windows10技巧 恢复出厂状态的4种方法
weixin_39734399的博客
11-18 1018
恢复出厂设置是解决许多Windows问题的核解决方案。如果您的计算机比以前慢得多,则说明您的恶意软件感染不会消失或计划出售您的计算机,恢复出厂设置是最方便的解决方案。根据您的Windows设置和安装版本,您可以通过几种不同的方式将Windows笔记本电脑或台式机恢复出厂设置。我们将向您展示如何尽可能轻松地重置Windows 10、8或7计算机。恢复出厂设置之前,请确保您已备份!在研究如何重设Win...
分析及防护:Win10 执行流保护绕过问题
嬴政
08-07 4200
原文地址:http://www.panshy.com/articles/201508/security-2512.html Black Hat USA 2015正在进行,在微软安全响应中心公布的最新贡献榜单中,绿盟科技安全研究员张云海位列第6位,绿盟科技安全团队(NSFST)位列28位,绿盟科技 安全团队(NSFST)常年致力于发现并解决计算机以及网络系统中存在的各种安全缺陷。这篇《Wind
C/C++中的system函数所有用法!
qq_59418188的博客
08-29 5266
system函数 (大小写无所谓) 不用包含头文件直接调用 以下命令从网上搜索而来,仅仅作为自己学习记录,打卡用途 如有侵权,联系删除! 是可以调用一些DOS命令, 下面列出常用的DOS命令,都可以用system函数调用: ASSOC 显示或修改文件扩展名关联。 AT 计划在计算机上运行的命令和程序。 ATTRIB 显示或更改文件属性。 BREAK 设置或清除扩展式 CTRL+C 检查。 CACLS 显示或修改文件的访问控制列表(ACLs)。 CALL 从另一个批处理程序调用这一个。 CD
Windows还原点编程相关
我爱我家
06-23 1109
<br />1,还原点作成<br />Windows系统在xp以后通过编程来作成系统还原点的API<br />SRSetRestorePoint<br /> <br />通过load系统的srclinet.dll之后,可以获取函数指针来调用。<br />参数PRESTOREPOINTINFO里面包含了还原点的种类。<br />具体的内容可以参考msdn里面System Restore。<br /> <br /> <br />2,读取还原点以及进行还原<br />读取和还原都需要通过wmi来实现,没有发现可以
sqlserver 显示正在还原 用C++怎么解决?
最新发布
06-08
在 SQL Server 中,当数据库正在进行还原操作时,会将该数据库的状态设置为“正在还原”。如果您需要在 C++ 中访问 SQL Server 数据库并查看数据库状态,可以使用 SQL Server Management Objects (SMO)。以下是一个简单的示例代码,可以获取数据库状态: ```c++ #include <iostream> #include <windows.h> #include <sql.h> #include <sqlext.h> #include <sqltypes.h> #include <comdef.h> #include <atlbase.h> #include <atlconv.h> #include <atlstr.h> #include <msxml6.h> #include <comutil.h> #include <vector> #include "sqloledb.h" #import "C:\Program Files\Common Files\System\ado\msado15.dll" no_namespace rename("EOF", "adoEOF") using namespace std; int main() { HRESULT hr = CoInitialize(NULL); if(FAILED(hr)) { cout<<"CoInitialize Failed!"<<endl; return 0; } try { _ConnectionPtr pConn("ADODB.Connection"); pConn->ConnectionString = "Provider=SQLOLEDB;Data Source=YourServerName;Initial Catalog=YourDatabaseName;UID=YourUserName;PWD=YourPassword;"; pConn->CursorLocation = adUseClient; pConn->Open("", "", "", adConnectUnspecified); _RecordsetPtr pRst("ADODB.Recordset"); CString strSql = "SELECT state_desc FROM sys.databases WHERE name = 'YourDatabaseName'"; pRst->Open(strSql, pConn.GetInterfacePtr(), adOpenStatic, adLockReadOnly, adCmdText); if(pRst->adoEOF) { cout<<"No records found!"<<endl; } else { cout<<"Database state: "<<(LPCSTR)(_bstr_t)pRst->Fields->GetItem("state_desc")->Value<<endl; } pRst->Close(); pConn->Close(); } catch(_com_error& e) { cout<<"Error: "<<(LPCSTR)e.Description()<<endl; } CoUninitialize(); return 0; } ``` 您需要将上述代码中的“YourServerName”、“YourDatabaseName”、“YourUserName”和“YourPassword”替换为实际的值。此代码将打开一个与 SQL Server 数据库的连接,并检索指定数据库的状态。如果该数据库正在进行还原操作,则会显示“RESTORING”状态。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值