SysFile开始写也差不多有四五天了...支持的命令不多但却比较实用..不过还是做为技术版本出现..控制台界面的确很难看...
SysFile的俩天主要功能是文件和注册表...文件列举是一个dir命令..支持FAT32和NTFS//..没有驱动..但发现隐藏文件的能力比较强...因为是基于扇区的读写..
注册表列举也是没有驱动..但可以发现隐藏注册表键和键值...因为SysFile是基于HIVE文件解析的..
今天对SysFile加了几个命令...操作HIVE的...因为hived之类的命令里用到了RegSaveKey把目标键转换为HIVE文件来解析...但有可能RegSaveKey失败..所以增添的命令是直接读取系统的HIVE文件...
主要的HIVE有
HKEY_LOCAL_MACHINE\SECURITY------>>%systemroot%\system32\config\SECURITY
HKEY_LOCAL_MACHINE\SOFTWARE------>>%systemroot%\system32\config\SOFTWARE
HKEY_LOCAL_MACHINE\SYSTEM-------->>%systemroot%\system32\config\SYSTEM
HKEY_LOCAL_MACHINE\SAM----------->>%systemroot%\system32\config\SAM
还有其他一些..自己需要找去找...
新增加的命令有
1CopyFile
因为系统HIVE很难打开和复制..所以提供了一个命令CopyFile来强制复制文件..格式是
CopyFile FileToCopyPath|FileToWritePath
比如 CopyFile C:\WINDOWS\system32\config\system|C:\2.hiv
把C:\WINDOWS\system32\config\system复制到C:\2.hiv..注意中间的|不能有空格
2MountHive
挂接一个HIVE文件
格式 MountHive HivePath
比如 MountHive C:\system.hiv
3DirHive
这个命令需要先运行命令MountHive成功后才能使用,功能比较像DIR文件
格式 DirHive RegistePath
比如 DirHive HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
注意HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\需要一个'\'
还有HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\是在你MountHive的HIVE文件中
4UnMountHive
格式 UnMountHive
卸载挂接的HIVE文件
一个例子
输入命令 :
Input > copyfile C:\WINDOWS\system32\config\system|c:\system.hiv
copy file sucessfull!
Input > mounthive c:\system.hiv
Mount Hive ok,you can dir now!
Input > dirhive HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
之前命令命令详解
1 dir 改命令获取目录下的所有文件和文件夹...只支持FAT32和NTFS..不排除BUG
2 inject 该命令扫描目标路径下的可疑文件感染...在写这个时我放弃了许多功能,但可以试看..exe文件效果比较准确
3 ads 该命令扫描文件流,用到的是API..并不能查到所有的ADS...有时间再加强
4 trust 该命令扫描非MS的数字签名文件
5 hived 解析比如像HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的子键
6 hivea 解析比如像HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的子键包括键的值
7 hiveprasea 比如格式是 hiveprasea C:\my.hiv 解析my.hiv...因为我在hived时用到的是一个常规API来转为HIVE文件..有可能转储失败
8 hiveprased 跟上面一样..只是解析结果包括键的值
由于内容比较多...会把内容写到c:\\Hive.txt中/......
BUG多多多多............
[课程]Linux pwn 探索篇!