加载中…
个人资料
Hades_Expolit
Hades_Expolit
  • 博客等级:
  • 博客积分:0
  • 博客访问:94,486
  • 关注人气:18
  • 获赠金笔:0支
  • 赠出金笔:0支
  • 荣誉徽章:
相关博文
推荐博文
谁看过这篇博文
加载中…
正文 字体大小:

禁用系统文件保护功能与Win32.Ravs.a病毒

(2008-11-19 23:15:25)
标签:

it

分类: 毒笼

今天在SOSO问问上看到一位网友说自己的系统总是跳出文件保护对话框关闭不了,网上好多文章都是说的一种方式,其实还有其他关闭方法,这也是通过Win32.Ravs.a 病毒引出的可能用的效果也不错。
禁用系统文件保护功能

禁用文件保护 WFP(Windows File Protection)必须经过两步,第一步修改注册表,第二步修改文件,重启生效。

1、设置注册表值

在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下添加

"SFCDisable" DWORD值:FFFFFF9D.

SFCDisable 取值说明:

------------------------

0 = 启用WFP

1 = 禁用WFP,但是在系统每次启动的时候会询问你是否重新启用

2 = 只在下一次系统启动时禁用WFP

4 = 启用 WFP,但不跳出提示对话框

FFFFFF9D = 完全禁用 WFP

------------------------

这是注册表导入文件:

-------------------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"SFCDisable"=dword:FFFFFF9D

-------------------------------------------------------------------------------------------------------------

2、修改文件

Windows 2000 是: %SystemRoot%\system32\sfc.dll

Windows XP 是: %SystemRoot%\system32\sfc_os.dll

将此文件复制出来,用UltraEdit进行修改。

修改之前一定要先删除 %SystemRoot%\system32\dllcache下的同名文件。

具体修改如下:

---------------------------------------------------

Windows 2000 SP1 及以下版本不需要修改

Windows 2000 SP2 将 6211 处的 8BC6 改成 9090

Windows 2000 SP3 将 6211 处的 8BC6 改成 9090

Windows 2000 SP4 将 62DB 处的 8BC6 改成 9090

Windows XP 将 E2B8 处的 8BC6 改成 9090

Windows XP SP1 将 E3BB 处的 8BC6 改成 9090

Windows XP SP2 将 ECE9 处的 33C0 改成 EB01

---------------------------------------------------

改好后,在纯dos状态下覆盖掉原文件


病毒别名: Win32.Ravs.a
中文名称: 病毒类型:Win32病毒 影响系统:Win 9x/ME,Win 2000/NT,Win XP,Win 2003
病毒行为:
该病毒为Windows平台下的感染型病毒,病毒运行后将自身复制为伪系统正常程序,然后尝试感染用户机器上的可执行文件,破坏用户机器的可执行文件,造成系统运行速度变慢;网络可用时病毒会尝试通过局域网传播病毒,同时病毒开放特定端口和外界通信。
病毒主要通过感染文件方式、局域网方式进行传播。
1、病毒运行后将病毒体复制为以下文件:
%Windir%\sysmgr.exe
2、运行过过程中生成以下相关文件:
%Windir%\conf.dat
%Windir%\svc.dat
3、病毒在后台运行时开放13001端口(UDP)。
4、修改以下注册表项,以关闭系统文件保护功能:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
SFCDisable = 4
[HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Windows NT\Windows File Protection]
SFCDisable = 4
5、病毒尝试感染用户机器所有可用磁盘中的exe文件,但不感染被系统保护的文件和包含"dllcache"字样的文件夹中的文件。
6、网络状态可用时,病毒尝试枚举用户机器所在的局域网内的可利用机器进行病毒传播。

 

0

阅读 评论 收藏 转载 喜欢 打印举报/Report
  • 评论加载中,请稍候...
发评论

    发评论

    以上网友发言只代表其个人观点,不代表新浪网的观点或立场。

      

    新浪BLOG意见反馈留言板 电话:4000520066 提示音后按1键(按当地市话标准计费) 欢迎批评指正

    新浪简介 | About Sina | 广告服务 | 联系我们 | 招聘信息 | 网站律师 | SINA English | 会员注册 | 产品答疑

    新浪公司 版权所有