[原创]完整逆向Sysnap同学的注册表还原工具-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]完整逆向Sysnap同学的注册表还原工具

发表于: 2009-4-2 20:47 14710

[原创]完整逆向Sysnap同学的注册表还原工具

sudami

2009-4-2 20:47

14710

在debugman上恰巧看到sysnap同学发的一个还原注册表的demo([工具]注册表保护),既然涉及到磁盘解析之类的,我顿时来了兴趣,于是简单看了下, IDA+WINDBG.如下:

总体来说,有点儿大题小做~
-----------------------------------------------------------------------------------
逆向Sysnap同学的注册表还原工具所带驱动.完成为C源码,编译后可正常替换原驱动,且新驱动和源驱动代码相似度为98%. 其中设计了一个简单的单向链表,来存储受保护文件,可动态扩充

code逆的很烂,就不放了(若相关大牛做过注册表还原,可以交流代码,相互提高) 不过这个驱动的idb,是我逆向有史以来,注释最仔细的,几乎每个细节都注释了,所以放一个IDB + 编译完的驱动在这里,供需要学习注册表还原的同学参考.

若您想进一步了解磁盘还原知识, 可以逆下国内外一些常见的还原软件(ShadowUser / 雨过天晴 / ...)

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#调试逆向

上传的附件：

Snap1.gif （10.08kb，996次下载）
Snap2.gif （13.97kb，993次下载）
sudami.rar （117.36kb，280次下载）

收藏・15

免费・7

支持

最新回复 (28) 1 2 ▶
xzchina 雪币： 615 活跃值： (1202) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 2 楼乐乐雄雨过天晴. 2009-4-2 20:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 3 楼 sudami还是贴代码吧——还要装个IDA才能看idb~~~ 2009-4-3 01:51 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 4 楼无法理解.无视. 2009-4-3 03:52 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 5 楼先膜拜,后学习 2009-4-3 04:16 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 6 楼驱动果然是小玩意，你去逆向一个C++工程看看 2009-4-3 09:56 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼我是菜,没楼上的牛. 2009-4-3 09:59 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼 QQ给你传个~~ 2009-4-3 10:17 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 9 楼 V大你把你的多点还原也帖下吧 2009-4-3 10:42 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 10 楼谁QQ收到源代码了.贴出来吧. 2009-4-3 10:44 0
kingcom 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 107 粉丝 0 关注私信	kingcom 11 楼黑客果然都比较喜欢装。 2009-4-3 11:28 0
ysoni 雪币： 8 活跃值： (2651) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 110 粉丝 0 关注私信	ysoni 12 楼我也要 2009-4-3 11:38 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 13 楼你还天天黑客来黑客去. 很强大啊上传的附件： Snap1.gif （9.39kb，887次下载） Snap2.gif （6.01kb，869次下载） 2009-4-3 11:47 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 14 楼黑客，DIR,SharpWinner,SB ... 2009-4-3 11:51 0
ufozhyufo 雪币： 239 活跃值： (11) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 33 粉丝 0 关注私信	ufozhyufo 3 15 楼 [QUOTE=sudami;600703]在debugman上恰巧看到sysnap同学发的一个还原注册表的demo([工具]注册表保护 (http://www.debugman.com/read.php?tid=2849&page=e&#a)),既然涉及到磁盘解析之类的,我顿时来了兴趣,于是简单看了下, IDA+WINDBG.如下: 2...[/QUOTE] 感谢 sudami 分享,谢谢. 2009-4-3 11:57 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 16 楼以后写个hello world都要ＶＭ了。。。。千万不要给大米看到 2009-4-3 12:14 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 17 楼借光，传个给我看看。谢谢。 339171218 2009-4-3 12:22 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 18 楼大伙直接拿IDB F5吧. IDB已经注释相当详细了,动动手,CTRL+F5,就是源码了... 2009-4-3 12:43 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 19 楼非人类源码不要 2009-4-3 13:22 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 20 楼很佩服大米的动手能力 2009-4-3 14:11 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 21 楼大米逆向功底很强啊~ 2009-4-3 14:56 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 22 楼逆向顶多算个初学者. 还得多向大家学习. 2009-4-3 15:15 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 23 楼支持大米，不过大米的习惯估计放代码有点难度 ,还是看IDB就行了 2009-4-3 22:21 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 24 楼前两天做了个保护类的驱动也用了单向链表，看来单向链表容易被想到啊，不行啊不行 2009-4-3 22:26 0
tatep 雪币： 143 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 46 粉丝 0 关注私信	tatep 25 楼支持sudami大牛的分享 2010-3-24 22:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

sudami

发帖

1581

回帖

1010

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
xzchina 雪币： 615 活跃值： (1202) 能力值： ( LV4，RANK：50 ) 在线值：发帖 42 回帖 843 粉丝 0 关注私信	xzchina 1 2 楼乐乐雄雨过天晴. 2009-4-2 20:50 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 3 楼 sudami还是贴代码吧——还要装个IDA才能看idb~~~ 2009-4-3 01:51 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 4 楼无法理解.无视. 2009-4-3 03:52 0
Nooby 雪币： 82 活跃值： (10) 能力值： (RANK：210 ) 在线值：发帖 44 回帖 629 粉丝 3 关注私信	Nooby 5 5 楼先膜拜,后学习 2009-4-3 04:16 0
boywhp 雪币： 1233 活跃值： (907) 能力值： ( LV12，RANK：750 ) 在线值：发帖 98 回帖 595 粉丝 26 关注私信	boywhp 12 6 楼驱动果然是小玩意，你去逆向一个C++工程看看 2009-4-3 09:56 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼我是菜,没楼上的牛. 2009-4-3 09:59 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 8 楼 QQ给你传个~~ 2009-4-3 10:17 0
Sysnap 雪币： 581 活跃值： (149) 能力值： ( LV12，RANK：600 ) 在线值：发帖 32 回帖 389 粉丝 10 关注私信	Sysnap 14 9 楼 V大你把你的多点还原也帖下吧 2009-4-3 10:42 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 10 楼谁QQ收到源代码了.贴出来吧. 2009-4-3 10:44 0
kingcom 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 107 粉丝 0 关注私信	kingcom 11 楼黑客果然都比较喜欢装。 2009-4-3 11:28 0
ysoni 雪币： 8 活跃值： (2651) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 110 粉丝 0 关注私信	ysoni 12 楼我也要 2009-4-3 11:38 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 13 楼你还天天黑客来黑客去. 很强大啊上传的附件： Snap1.gif （9.39kb，887次下载） Snap2.gif （6.01kb，869次下载） 2009-4-3 11:47 0
cvcvxk 雪币： 8835 活跃值： (2404) 能力值： ( LV12，RANK：760 ) 在线值：发帖 125 回帖 3095 粉丝 235 关注私信	cvcvxk 10 14 楼黑客，DIR,SharpWinner,SB ... 2009-4-3 11:51 0
ufozhyufo 雪币： 239 活跃值： (11) 能力值： ( LV9，RANK：140 ) 在线值：发帖 9 回帖 33 粉丝 0 关注私信	ufozhyufo 3 15 楼 [QUOTE=sudami;600703]在debugman上恰巧看到sysnap同学发的一个还原注册表的demo([工具]注册表保护 (http://www.debugman.com/read.php?tid=2849&page=e&#a)),既然涉及到磁盘解析之类的,我顿时来了兴趣,于是简单看了下, IDA+WINDBG.如下: 2...[/QUOTE] 感谢 sudami 分享,谢谢. 2009-4-3 11:57 0
cntrump 雪币： 1708 活跃值： (586) 能力值： ( LV15，RANK：670 ) 在线值：发帖 204 回帖 2062 粉丝 19 关注私信	cntrump 13 16 楼以后写个hello world都要ＶＭ了。。。。千万不要给大米看到 2009-4-3 12:14 0
wofan[OCN] 雪币： 2943 活跃值： (1788) 能力值： ( LV9，RANK：850 ) 在线值：发帖 55 回帖 808 粉丝 8 关注私信	wofan[OCN] 21 17 楼借光，传个给我看看。谢谢。 339171218 2009-4-3 12:22 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 18 楼大伙直接拿IDB F5吧. IDB已经注释相当详细了,动动手,CTRL+F5,就是源码了... 2009-4-3 12:43 0
dsjHZAHfaf 雪币： 148 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 29 回帖 391 粉丝 0 关注私信	dsjHZAHfaf 19 楼非人类源码不要 2009-4-3 13:22 0
三根火柴雪币： 268 活跃值： (40) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 20 楼很佩服大米的动手能力 2009-4-3 14:11 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 21 楼大米逆向功底很强啊~ 2009-4-3 14:56 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 22 楼逆向顶多算个初学者. 还得多向大家学习. 2009-4-3 15:15 0
dayed 雪币： 225 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 10 回帖 222 粉丝 1 关注私信	dayed 1 23 楼支持大米，不过大米的习惯估计放代码有点难度 ,还是看IDB就行了 2009-4-3 22:21 0
marshalx 雪币： 340 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 1 关注私信	marshalx 24 楼前两天做了个保护类的驱动也用了单向链表，看来单向链表容易被想到啊，不行啊不行 2009-4-3 22:26 0
tatep 雪币： 143 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 46 粉丝 0 关注私信	tatep 25 楼支持sudami大牛的分享 2010-3-24 22:00 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复