掀起你的盖头来：手工实战Rootkit木马

显示全部楼层 · 发表于 2009-1-18 22:53:42

原帖由 tawny2008 于 2009-1-18 22:50 发表

驱动提示，呵呵，期待你把这个工具完善，可惜不支持NTFS

就是没人说起怎么在NTFS下写入有效啊，，，外国的网站看着太累又找不到，国内的都是文件修复的

显示全部楼层 · 发表于 2009-1-18 22:54:01

好好学习~~

显示全部楼层 · 发表于 2009-1-18 22:55:56

注册表文件在SYSTEM32\CONFIG文件夹下的6个文件：DEFAULT、SAM、SECURITY、SOFTWARE、USERDIFF和SYSTEM中，你应该知道吧，用2进制或16进制读取就行了，现在转换2进制和16进制的软件实在是太多了

显示全部楼层 · 发表于 2009-1-18 22:59:19

原帖由 银砾石 于 2009-1-18 22:52 发表
先上个图预览下吧，今天要休息了

突然想到一个使用的地方--就是文件夹加密的

可以先做好一个HARDLINK，然后一个放外面，一个放待加密的那里，

加密后，如果外面的文件内容变了，那就是真的加密，如果没变， ...

你整天在研究破解别人的伪加密呢，哈哈，有没和同学那些show过啊？

显示全部楼层 · 发表于 2009-1-18 23:02:59

英文强就行，我英文程度只看得懂计算机英语，勉强看得懂BIOS的英文

显示全部楼层 · 发表于 2009-1-18 23:05:14

我同学都不知道在哪了呢。。

不研究了，反正也那样

明天开始看注册表

那6个文件我知道，，我是按扇区读的（程序已经做好了读的功能，没必要去用系统的，也不容易读到假的），本来16进制

显示全部楼层 · 发表于 2009-1-18 23:09:03

好贴，学习了啊

显示全部楼层 · 发表于 2009-1-18 23:09:07

刚发现了，我那程序FAT下还有个问题，，就是目录项损坏的情况，那种情况下处理很容易失败

显示全部楼层 · 发表于 2009-1-18 23:12:31

原帖由 银砾石 于 2009-1-18 23:05 发表
我同学都不知道在哪了呢。。

不研究了，反正也那样

明天开始看注册表

那6个文件我知道，，我是按扇区读的（程序已经做好了读的功能，没必要去用系统的，也不容易读到假的），本来16进制

看来你是内向型的，都不管同学，我同学都什么都不懂，亏还是计算机专业

显示全部楼层 · 发表于 2009-1-18 23:15:30

目录项损坏就无法读取吗？

回复 53楼银砾石的帖子