В Windows XP същественният файл е %systemroot%\system32\sfc.dll който от своя страна вика %systemroot%\system32\sfc_os.dll и проверява за списъка с protected files в %systemroot%\system32\sfcfiles.dll (повече инфо какво правят файловете тук)
За да се забрани хората препоръчват да се пачне sfc_os.dll като се промени една стойност в него, след това да се копира първо! в %systemroot%\system32\dllcache и после в %systemroot%\system32\; да се добави една стойност в registry
Registry Settings System Key: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
Value Name: SFCDisable
Data Type: REG_DWORD (DWORD Value)
Value Data:
- до тук добре, но тези файлчета в момента се ползват и подмяната им е невъзможна при работеща система. Изходът е през Recovery console ({X}:\i386\winnt32.exe /cmdcons ) или някой друг трик при неработеща система да се копират ръчно. А ако нямаме физически достъп до машината или машините са прекалено много...
Решенията който намерих са :
1. http://www.d--b.webpark.pl/reverse04_en.htm
което е :
Value name: PendingFileRenameOperations
Value type: array of null-terminated strings (REG_MULTI_SZ)
Value data:
\??\c:\winnt\system32\sfcfiles0.dll
!\??\c:\winnt\system32\sfcfiles.dll <--- тука може да се добавят други такива файлове - за по-голяма сигурност добавих пачнатият sfc_os.dll, както и копирах същите файлове 1-во в dllcache, и после от там в system32)
Value name: AllowProtectedRenames
Value typ: DWORD (REG_DWORD)
Value data: 1
или по интелигентният начин : rundll32 sfcfiles0 Install/Uninstall (само трябва да се копира на човека sfcfiles0.dll = sfcfiles.dll <- файла който съдържа списъка с protected файловете и е 0-ва големина)
2. Tool-чето което щеше да ми спести мнооого време ако го бях намерил по-рано
Използваните скриптове и файлове ще кача на http://eol.playbox.tv/wfp когато си оправя DNS-a
Няма коментари:
Публикуване на коментар