[求助]Windows如何识别系统DLL的版本？-经典问答-看雪-安全社区|安全招聘|kanxue.com

最新回复 (6)
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 2 楼这个不知道，Windows(XP)好象不识别DLL的版本吧？它好象只有个“系统文件保护”，文件被改或被删除时会自动还原。如果备份文件也不存在或也被改的话，系统会提示“文件丢失，请插入光盘修复”。判断系统文件是否被修改用的应该是MD5一类的效验吧。 2008-10-17 15:53 0
NooneR 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	NooneR 3 楼那替换系统DLL的木马是怎么做到的呢？是绕过了WFP的检测吗 2008-10-17 15:56 0
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 4 楼系统的“文件保护”程序估计也是用HOOK技术实现的。替换系统文件的病毒一般都是驱动级的，比如“机器狗病毒”，它是利用磁盘过滤驱动自己去挂接的IO，然后读写磁盘数据的。系统的“文件保护”程序HOOK的只是高层( ring3)API，只有调用这些API时才会触发“文件保护”程序(默认设置)，如果调用没被HOOK到的API(如ring0 API)，那么“文件保护”程序就不起作用了。 “文件保护”程序对系统文件的检测有多种方式，注册表中可以设置。如被动、主动、自动等。 2008-10-17 16:40 0
NooneR 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	NooneR 5 楼学习了谢谢 2008-10-17 17:36 0
ruffy 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ruffy 6 楼一个简单绕过WFP的方法先将DllCache里的同名文件替换掉 2008-10-18 11:37 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 7 楼 1.系统是识别DLL版本的，但不是用在系统文件保护上。而这个版本就是在PE头部的一个值，因此伪造是一点不难的。同样现在的病毒还会伪造的包括公司名和文件时间戳，以欺骗手动查看的用户。磁碟机的某些版本，你查看它的驱动时，会看到 Microsoft Corporation,版本号6.0.2900.5512，修改日期与系统文件相同等，这些都是伪造的。 2.Windows系统文件保护验证的是文件的数字签名，是Microsoft的签名，而这个要伪造其难度较大。 3.Windows系统文件保护是在受保护的文件被修改后，用正确的版本给替换回来，而不是直接拦截修改操作。并且该功能是登录时刻启动的，它的配置值是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCDisable" =dword:00000000 为0是启用，为4是完全禁用。所以推测该保护应该是在Ring3中Hook的，或者不是Hook,而是直接在相关Win32API内部代码就嵌入了这一功能。注：以上是个人经验所谈，有错莫怪，欢迎指正。 2008-10-18 12:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

最新回复 (6)
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 2 楼这个不知道，Windows(XP)好象不识别DLL的版本吧？它好象只有个“系统文件保护”，文件被改或被删除时会自动还原。如果备份文件也不存在或也被改的话，系统会提示“文件丢失，请插入光盘修复”。判断系统文件是否被修改用的应该是MD5一类的效验吧。 2008-10-17 15:53 0
NooneR 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	NooneR 3 楼那替换系统DLL的木马是怎么做到的呢？是绕过了WFP的检测吗 2008-10-17 15:56 0
coderui 雪币： 288 活跃值： (53) 能力值： ( LV8，RANK：120 ) 在线值：发帖 29 回帖 188 粉丝 6 关注私信	coderui 2 4 楼系统的“文件保护”程序估计也是用HOOK技术实现的。替换系统文件的病毒一般都是驱动级的，比如“机器狗病毒”，它是利用磁盘过滤驱动自己去挂接的IO，然后读写磁盘数据的。系统的“文件保护”程序HOOK的只是高层( ring3)API，只有调用这些API时才会触发“文件保护”程序(默认设置)，如果调用没被HOOK到的API(如ring0 API)，那么“文件保护”程序就不起作用了。 “文件保护”程序对系统文件的检测有多种方式，注册表中可以设置。如被动、主动、自动等。 2008-10-17 16:40 0
NooneR 雪币： 209 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 20 粉丝 0 关注私信	NooneR 5 楼学习了谢谢 2008-10-17 17:36 0
ruffy 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	ruffy 6 楼一个简单绕过WFP的方法先将DllCache里的同名文件替换掉 2008-10-18 11:37 0
书呆彭雪币： 2110 活跃值： (21) 能力值： (RANK：260 ) 在线值：发帖 30 回帖 1861 粉丝 2 关注私信	书呆彭 6 7 楼 1.系统是识别DLL版本的，但不是用在系统文件保护上。而这个版本就是在PE头部的一个值，因此伪造是一点不难的。同样现在的病毒还会伪造的包括公司名和文件时间戳，以欺骗手动查看的用户。磁碟机的某些版本，你查看它的驱动时，会看到 Microsoft Corporation,版本号6.0.2900.5512，修改日期与系统文件相同等，这些都是伪造的。 2.Windows系统文件保护验证的是文件的数字签名，是Microsoft的签名，而这个要伪造其难度较大。 3.Windows系统文件保护是在受保护的文件被修改后，用正确的版本给替换回来，而不是直接拦截修改操作。并且该功能是登录时刻启动的，它的配置值是HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "SFCDisable" =dword:00000000 为0是启用，为4是完全禁用。所以推测该保护应该是在Ring3中Hook的，或者不是Hook,而是直接在相关Win32API内部代码就嵌入了这一功能。注：以上是个人经验所谈，有错莫怪，欢迎指正。 2008-10-18 12:11 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复