d.eetl 于天阳
其实我不知道各位专家是太专业了还是根本没发现..其实Windows的文件保护机制在设计上有很大的缺陷..I/O监控是一个很土的办法的是Microsoft一直应用着.. 哎看着各位一会用这个API绕过这个一会又用那个API 绕过...什么注册表,什么 系统 服务 很早以前有研究过这方面的技术 今天闲的没事干 透露下哈`..
以下描述几点: 1. I/O监控是个很土的办法 2. 从执行效率来讲内存操作的效率远远高于I/O操作N倍
OK 从我上述2点我们可以实现以下逻辑..
I/O操作需要1毫秒 内存操作0.001毫秒一次 (我只是说的大概..并不是准确数字..)
说到这 你是不是大概有点想法了?
对..没错....将频繁的I/O操作压入指令栈..虽然在第一次-第2次之间会触发 windows 文件保护机制系统并恢复相应系统文件但是之后....呵呵...在系统恢复的同时我又把那文件替换掉了..也就是说在此时的替换是人不知鬼不觉.虽然在一开始会触发windows文件保护机智但是...并不是一点意义都没有..因为如果没有任何终端在当时正在桌面模式那么.系统不会有任何提示....然而你想要的效果也达到了.. 此种方法对于windows文件保护机制并没有做任何破坏.并不像刚开始讲的那几中比较有技术的方法..
其实此问题一直存在很多年..一直没有人提..
哎没办法发个例子出来吧..汗
del %systemroot%system32append.exe copy c:aaa.exe %systemroot%system32append.exe %systemroot%system32append.exe
试试.. 被替换的那程序整成进程独占..防止被替换..那么..程序就替换不回来了....
查看更多关于浅谈Windows文件保护 - Windows操作系统 - 自学php的详细内容...