音速启动 文件夹保护推断

发布时间:2016-12-11 16:10:58 编辑:www.fx114.net 分享查询网我要评论
本篇文章主要介绍了"音速启动 文件夹保护推断",主要涉及到音速启动 文件夹保护推断方面的内容,对于音速启动 文件夹保护推断感兴趣的同学可以参考一下。

朋友让我看看 音速启动的文件夹保护原理.于是download下来,运行,设置待保护的文件夹,加密.退出程序,然后试图进入该文件夹,弹出输入密码.故意输错.进不了,等等,咋弹出个文件被其他应用程序打开? 运行icesword.exe,果然隐藏了一个进程vsenfolder.exe.杀掉,再进入被保护的文件夹,无须再输入密码. 其后关机重启,居然被保护的文件夹又提示输入密码了.再运行icesword那个vsenfolder还是运行在隐藏了. 查查注册表:居然在HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon下shell中将其改成了shell.exe "myfolder/vsenfolder.exe".无语.在其自带的文件说明中声称自己是绿色软件,公公在注册表中生成一点点版本信息而己. 其文件夹保护原理大致如下:用一个隐藏的进程以FILE_FLAG_BACKUP_SEMANTICS方式用createfile打开该文件夹,达到独占该文件夹,再用::ReadDirectoryChangesW来获取事件.弹出自己的密码提示后如正确则放开其独占. 自己写代码,HANDLE hFile = CreateFile("D://backup",        GENERIC_READ,                 // open for reading   0,                            // do not share   NULL,                         // no security   OPEN_EXISTING,                // existing file only   FILE_FLAG_BACKUP_SEMANTICS,        NULL); 断点调,果然,文件夹打不开了. 受不了这么低级的文件夹保护.居然改我的shell.跟一个病毒或流氓软件有什么两样.不过话说回来,这个软件提供的其他功能对于一部分人还有很有帮助的.还是装个能实时监控注册表被修改的工具吧.免得中招. 上csdn发文档,居然要我装csdn.cab???不装行不行?

上一篇:test
下一篇:西安

相关文章

相关评论