Quote:

引用第17楼sudami于2009-04-14 20:43发表的  :
[+] diyhack同学为什么要用MJ同学的方法 - 由于"\WINDOWS\system32\config\system"文件
的CCB偏移+0x004处FLAG(00012003)的第5位存在,区别于其他文件基于这点来判断.
但是要考虑到兼容性,何必这样做呢?直接判断FILE_OBJECT中的name不就成了吗?

.......

逆向其实并不是必须，但是关键部分还是值得研究。
所谓0x10000标志，system hive之所以是system hive也...
我现在能拿到的操作系统来看，到vista32sp1都是+4 flag没问题的。
win7 最新版本没symbol，没看。

貌似这部分都是没符号的吧, 自己挖掘太辛苦了...
FCB / LCB / CCB ...

其实说起来，走CmRegisterCallbackEx也可以实现类似的注册表的；利用IO_REPARSE走FileSystem filter也能实现文件的。只是所谓的正规不正规，底层不底层的问题。

Quote:

引用第21楼sudami于2009-04-14 21:05发表的  :
貌似这部分都是没符号的吧, 自己挖掘太辛苦了...
FCB / LCB / CCB ...

我是指win7所有文件都没有srv的symbol，估计现在是测试阶段，M$不太想把符号放在服务器上。

Quote:

引用第22楼gz1x于2009-04-14 21:06发表的  :
其实说起来，走CmRegisterCallbackEx也可以实现类似的注册表的；利用IO_REPARSE走FileSystem filter也能实现文件的。只是所谓的正规不正规，底层不底层的问题。

同感，shadow defender那样基于卷的很容易被咔叉

之所以使用CCB Flag是因为我的原则是尽量避免低效的字符串匹配、比较。。。

我本来是准备用字符串比较的，恰好MJ告诉我那个Flag，所以就直接用了

Su同学你应该看到了代码中找\\WINDOWS\\system32\\config\\software这个HIVE是用字符串比较的

不过并没有重定向SOFTWARE键。。。

Quote:

引用第24楼gz1x于2009-04-14 21:09发表的  :


我是指win7所有文件都没有srv的symbol，估计现在是测试阶段，M$不太想把符号放在服务器上。

7000build是有符号的~又一个泄露版WIN7的受害者~

不错,看来有大米后,弥补了丢失DOSKEY的缺憾。

这个程序太可怕了，尝试过保护的时候安装各种软件，导致虚拟内存不够，没有源代码，不知道为何。开机总是会提示虚拟内存不够，我分配的4g结果只有256m。。手动分配后重启还是256.。。