[原创]绕过所有的注册表检查隐藏驱动注册表-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]绕过所有的注册表检查隐藏驱动注册表

发表于: 2009-6-2 00:30 18472

[原创]绕过所有的注册表检查隐藏驱动注册表

qihoocom

2009-6-2 00:30

18472

几个月前，我曾在某些帖子谈论过这个技术

现在六一节到了，为了满足广大饥渴的小朋友们，特此放出

=====================================================

Mark在Windows Internals 4th(p 210)中提到过，WIN2000下，为了保持系统HIVE的完整性，系统在刷新SYSTEM HIVE的同时，会刷新一个名为“替补储巢”的hive :System.alt

当系统储巢System已经损坏，无法加载时，就会选择这个替补储巢system.alt来加载.这是由于win2000的ntldr不知道如何使用储巢日志文件(system.log)来进行储巢修复导致的，Mark称windows XP以后的系统已经抛弃了这一机制

但事实如何呢？首先我们来看一下某份NT4的代码：

下面这个函数是BootLoader(ntldr)用来加载系统HIVE的函数：

ARC_STATUS
BlLoadAndScanSystemHive(
    IN ULONG DeviceId,
    IN PCHAR DeviceName,
    IN PCHAR DirectoryPath,
    IN PWSTR BootFileSystem,
    OUT PCHAR BadFileName
    )
...................
省略无关部分
.....................

    strcpy(Directory,DirectoryPath);
    strcat(Directory,"\\system32\\config\\");
    Status = BlLoadAndInitSystemHive(DeviceId,
                                     DeviceName,
                                     Directory,
                                     "system",
                                     FALSE,
                                     &RestartSetup);

    if(Status != ESUCCESS) {
        //
        // bogus hive, try system.alt
        //
        Status = BlLoadAndInitSystemHive(DeviceId,
                                         DeviceName,
                                         Directory,
                                         "system.alt",
                                         TRUE,
                                         &RestartSetup);
        if(Status != ESUCCESS) {
            strcpy(BadFileName,DirectoryPath);
            strcat(BadFileName,"\\SYSTEM32\\CONFIG\\SYSTEM");
            goto HiveScanFailed;
        }
    }

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・17

免费・7

支持

最新回复 (26) 1 2 ▶
uvbs 雪币： 30 活跃值： (760) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 2 楼 SF . 储巢这个名字好别扭，听起来像初潮，看起来像卵巢 2009-6-2 00:56 0
kelthuzad 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	kelthuzad 3 楼占个座慢慢看~ 顺便膜拜MJ大大 2009-6-2 00:59 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼又是绕过所有XX,太黄了~ 说起不对称，我想起了TLB的不同步问题~ 2009-6-2 06:56 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 5 楼占个座 2009-6-2 08:21 0
peowner 雪币： 116 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 108 粉丝 0 关注私信	peowner 6 楼学习了！ 2009-6-2 09:10 0
lionlx 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	lionlx 7 楼强帖跟着膜拜。。。 2009-6-2 09:54 0
王道雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	王道 8 楼膜拜 MJ大师 2009-6-2 13:16 0
gaouestc 雪币： 285 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	gaouestc 9 楼过来了就占个座吧 2009-6-2 13:33 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 10 楼膜拜我看书不仔细没见过system.alt HIVE 2009-6-2 22:21 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 11 楼很详细，膜拜MJ大大 2009-6-2 23:30 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 12 楼 MJ贴 ,不容错过. mark 一下 , 谢谢MJ 2009-6-3 18:50 0
mergerly 雪币： 177 活跃值： (232) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 22 粉丝 2 关注私信	mergerly 1 13 楼很强大，学习学习 2009-6-3 19:37 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 14 楼膜拜MJ大大！！！！！！！！！！ 2009-6-3 19:42 0
kagayaki 雪币： 1312 活跃值： (5164) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 15 楼收藏............... 2009-6-4 15:49 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 16 楼 mj 出手，必有经典。。。 2009-6-5 11:55 0
seesth 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	seesth 17 楼收藏了，谢谢分享。 2009-6-5 12:52 0
cutcut 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	cutcut 18 楼太强大了,我什么时候才能做到呀 2009-6-5 13:47 0
冰熔岩雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	冰熔岩 19 楼强贴，收藏！ 2009-11-10 21:00 0
starskywh 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 54 粉丝 0 关注私信	starskywh 20 楼膜拜膜拜,顶顶顶哈. 2009-12-3 11:30 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 21 楼看上去很棒~~~~学习收藏了~ 2009-12-9 20:09 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 22 楼膜拜mj~学习思路~ 2009-12-9 22:24 0
diuboss 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	diuboss 23 楼虚伪的人,自私的人,总是公布一些已经淘汰了的东西来沽名钓誉 BS此人 2009-12-10 13:02 0
風之痕雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	風之痕 24 楼占个位置.... 2010-7-26 00:15 0
武汉星痕雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	武汉星痕 25 楼重点不是利用过程而是思路,,,, 2010-7-27 14:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

qihoocom

发帖

1165

回帖

420

RANK

关注

私信

他的文章

[原创]让天易love俯首称臣 --- 随意PEDIY 54459

关于我们

联系我们

企业服务

看雪公众号

最新回复 (26) 1 2 ▶
uvbs 雪币： 30 活跃值： (760) 能力值： ( LV4，RANK：50 ) 在线值：发帖 4 回帖 199 粉丝 2 关注私信	uvbs 2 楼 SF . 储巢这个名字好别扭，听起来像初潮，看起来像卵巢 2009-6-2 00:56 0
kelthuzad 雪币： 114 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 57 粉丝 0 关注私信	kelthuzad 3 楼占个座慢慢看~ 顺便膜拜MJ大大 2009-6-2 00:59 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 4 楼又是绕过所有XX,太黄了~ 说起不对称，我想起了TLB的不同步问题~ 2009-6-2 06:56 0
dnybz 雪币： 66 活跃值： (960) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 166 粉丝 0 关注私信	dnybz 5 楼占个座 2009-6-2 08:21 0
peowner 雪币： 116 活跃值： (38) 能力值： ( LV2，RANK：10 ) 在线值：发帖 19 回帖 108 粉丝 0 关注私信	peowner 6 楼学习了！ 2009-6-2 09:10 0
lionlx 雪币： 41 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 27 粉丝 0 关注私信	lionlx 7 楼强帖跟着膜拜。。。 2009-6-2 09:54 0
王道雪币： 108 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 32 粉丝 0 关注私信	王道 8 楼膜拜 MJ大师 2009-6-2 13:16 0
gaouestc 雪币： 285 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 53 粉丝 0 关注私信	gaouestc 9 楼过来了就占个座吧 2009-6-2 13:33 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 10 楼膜拜我看书不仔细没见过system.alt HIVE 2009-6-2 22:21 0
非安全雪币： 750 活跃值： (228) 能力值： ( LV9，RANK：780 ) 在线值：发帖 63 回帖 487 粉丝 11 关注私信	非安全 17 11 楼很详细，膜拜MJ大大 2009-6-2 23:30 0
jackozoo 雪币： 1450 活跃值： (35) 能力值： (RANK：680 ) 在线值：发帖 50 回帖 775 粉丝 3 关注私信	jackozoo 14 12 楼 MJ贴 ,不容错过. mark 一下 , 谢谢MJ 2009-6-3 18:50 0
mergerly 雪币： 177 活跃值： (232) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 22 粉丝 2 关注私信	mergerly 1 13 楼很强大，学习学习 2009-6-3 19:37 0
hangweapon 雪币： 2 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 29 粉丝 0 关注私信	hangweapon 14 楼膜拜MJ大大！！！！！！！！！！ 2009-6-3 19:42 0
kagayaki 雪币： 1312 活跃值： (5164) 能力值： ( LV3，RANK：20 ) 在线值：发帖 174 回帖 1253 粉丝 25 关注私信	kagayaki 15 楼收藏............... 2009-6-4 15:49 0
Winker 雪币： 796 活跃值： (370) 能力值： ( LV9，RANK：380 ) 在线值：发帖 133 回帖 1127 粉丝 19 关注私信	Winker 8 16 楼 mj 出手，必有经典。。。 2009-6-5 11:55 0
seesth 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	seesth 17 楼收藏了，谢谢分享。 2009-6-5 12:52 0
cutcut 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	cutcut 18 楼太强大了,我什么时候才能做到呀 2009-6-5 13:47 0
冰熔岩雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	冰熔岩 19 楼强贴，收藏！ 2009-11-10 21:00 0
starskywh 雪币： 231 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 54 粉丝 0 关注私信	starskywh 20 楼膜拜膜拜,顶顶顶哈. 2009-12-3 11:30 0
孟贤雪币： 414 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 261 粉丝 1 关注私信	孟贤 21 楼看上去很棒~~~~学习收藏了~ 2009-12-9 20:09 0
ReturnsMe 雪币： 269 活跃值： (25) 能力值： ( LV7，RANK：100 ) 在线值：发帖 6 回帖 162 粉丝 0 关注私信	ReturnsMe 2 22 楼膜拜mj~学习思路~ 2009-12-9 22:24 0
diuboss 雪币： 221 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 11 粉丝 0 关注私信	diuboss 23 楼虚伪的人,自私的人,总是公布一些已经淘汰了的东西来沽名钓誉 BS此人 2009-12-10 13:02 0
風之痕雪币： 130 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 36 粉丝 0 关注私信	風之痕 24 楼占个位置.... 2010-7-26 00:15 0
武汉星痕雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 23 粉丝 0 关注私信	武汉星痕 25 楼重点不是利用过程而是思路,,,, 2010-7-27 14:26 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复