DebugMan - 第8个男人 » x86/x64/IA-64编程 » 注册表保护程序
«12 3 » Pages: ( 3/3 total )
本页主题: 注册表保护程序 打印 | 加为IE收藏 | 收藏主题 | 上一主题 | 下一主题

gz1x



该用户目前不在线
级别: RCT成员
精华: 0
发帖: 125
声望: 7 点
DM币: 384 元
贡献: 0 点
注册时间:2008-01-27
最后登录:2010-07-28
查看作者资料 发送短消息 引用回复这个帖子 推荐此帖

Quote:
引用第17楼sudami于2009-04-14 20:43发表的  :
[+] diyhack同学为什么要用MJ同学的方法 - 由于"\WINDOWS\system32\config\system"文件
的CCB偏移+0x004处FLAG(00012003)的第5位存在,区别于其他文件基于这点来判断.
但是要考虑到兼容性,何必这样做呢?直接判断FILE_OBJECT中的name不就成了吗?

.......



逆向其实并不是必须,但是关键部分还是值得研究。
所谓0x10000标志,system hive之所以是system hive也...
我现在能拿到的操作系统来看,到vista32sp1都是+4 flag没问题的。
win7 最新版本没symbol,没看。
顶端 Posted: 2009-04-14 21:02 | 20 楼
sudami



头衔:[大型*野地猪*] [大型*野地猪*]
该用户目前在线
级别: 核心会员
精华: 18
发帖: 885
声望: 54 点
DM币: 253 元
贡献: 0 点
注册时间:2007-10-23
最后登录:2010-08-01
查看作者资料 发送短消息 引用回复这个帖子 推荐此帖

貌似这部分都是没符号的吧, 自己挖掘太辛苦了...
FCB / LCB / CCB ...
顶端 Posted: 2009-04-14 21:05 | 21 楼
gz1x



该用户目前不在线
级别: RCT成员
精华: 0
发帖: 125
声望: 7 点
DM币: 384 元
贡献: 0 点
注册时间:2008-01-27
最后登录:2010-07-28
查看作者资料 发送短消息 引用回复这个帖子 推荐此帖

其实说起来,走CmRegisterCallbackEx也可以实现类似的注册表的;利用IO_REPARSE走FileSystem filter也能实现文件的。只是所谓的正规不正规,底层不底层的问题。
顶端 Posted: 2009-04-14 21:06 | 22 楼
sudami



头衔:[大型*野地猪*] [大型*野地猪*]
该用户目前在线
级别: 核心会员
精华: 18
发帖: 885
声望: 54 点
DM币: 253 元
贡献: 0 点
注册时间:2007-10-23
最后登录:2010-08-01
查看作者资料 发送短消息 引用回复这个帖子 推荐此帖

Quote:
引用第20楼gz1x于2009-04-14 21:02发表的  :

所谓0x10000标志,system hive之所以是system hive也...
.



FSCTL_MARK_AS_SYSTEM_HIVE
顶端 Posted: 2009-04-14 21:07 | 23 楼
gz1x



该用户目前不在线
级别: RCT成员
精华: 0
发帖: 125
声望: 7 点
DM币: 384 元
贡献: 0 点
注册时间:2008-01-27
最后登录:2010-07-28
查看作者资料 发送短消息 引用回复这个帖子 推荐此帖

Quote:
引用第21楼sudami于2009-04-14 21:05发表的  :
貌似这部分都是没符号的吧, 自己挖掘太辛苦了...
FCB / LCB / CCB ...


我是指win7所有文件都没有srv的symbol,估计现在是测试阶段,M$不太想把符号放在服务器上。
顶端 Posted: 2009-04-14 21:09 | 24 楼
Azy

该用户目前不在线
级别: 核心会员
精华: 7
发帖: 498
声望: 43 点
DM币: 280974 元
贡献: 0 点
注册时间:2007-12-01
最后登录:2010-07-17
查看作者资料 发送短消息 引用回复这个帖子 推荐此帖

Quote:
引用第22楼gz1x于2009-04-14 21:06发表的  :
其实说起来,走CmRegisterCallbackEx也可以实现类似的注册表的;利用IO_REPARSE走FileSystem filter也能实现文件的。只是所谓的正规不正规,底层不底层的问题。

同感,shadow defender那样基于卷的很容易被咔叉
别在我内核中hook,脏了我写回的hive。
顶端 Posted: 2009-04-14 21:27 | 25 楼
diyhack

头衔:管理员 管理员
该用户目前不在线
级别: 核心会员
精华: 6
发帖: 674
声望: 33 点
DM币: 2147433707 元
贡献: 0 点
注册时间:2007-05-06
最后登录:2010-08-01
查看作者资料 发送短消息 引用回复这个帖子 推荐此帖

之所以使用CCB Flag是因为我的原则是尽量避免低效的字符串匹配、比较。。。

我本来是准备用字符串比较的,恰好MJ告诉我那个Flag,所以就直接用了

Su同学你应该看到了代码中找\\WINDOWS\\system32\\config\\software这个HIVE是用字符串比较的

不过并没有重定向SOFTWARE键。。。
顶端 Posted: 2009-04-14 21:41 | 26 楼
MJ0011

头衔:我是乖娃娃 我是乖娃娃
该用户目前在线
级别: RCT成员
精华: 29
发帖: 2189
声望: 80 点
DM币: 5636 元
贡献: 0 点
注册时间:2007-06-04
最后登录:2010-08-01
查看作者资料 发送短消息 引用回复这个帖子 推荐此帖

Quote:
引用第24楼gz1x于2009-04-14 21:09发表的  :


我是指win7所有文件都没有srv的symbol,估计现在是测试阶段,M$不太想把符号放在服务器上。



7000build是有符号的~又一个泄露版WIN7的受害者~
我是乖娃娃
顶端 Posted: 2009-04-14 21:53 | 27 楼
wowocock

该用户目前不在线
级别: 核心会员
精华: 0
发帖: 569
声望: 31 点
DM币: 32 元
贡献: 0 点
注册时间:2007-02-08
最后登录:2010-08-01
查看作者资料 发送短消息 引用回复这个帖子 推荐此帖

不错,看来有大米后,弥补了丢失DOSKEY的缺憾。
顶端 Posted: 2009-04-15 08:39 | 28 楼
kay



该用户目前不在线
级别: 初级会员
精华: 0
发帖: 3
声望: 0 点
DM币: 9 元
贡献: 0 点
注册时间:2009-07-17
最后登录:2010-02-05
查看作者资料 发送短消息 引用回复这个帖子 推荐此帖

这个程序太可怕了,尝试过保护的时候安装各种软件,导致虚拟内存不够,没有源代码,不知道为何。开机总是会提示虚拟内存不够,我分配的4g结果只有256m。。手动分配后重启还是256.。。
顶端 Posted: 2009-07-20 21:36 | 29 楼
«12 3 » Pages: ( 3/3 total )
DebugMan - 第8个男人 » x86/x64/IA-64编程