如何关闭WFP

最新推荐文章于 2023-08-20 22:35:31 发布
最新推荐文章于 2023-08-20 22:35:31 发布
阅读量2.1k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: vcbcbdelphi的window编程 文章标签: windows xp null file 汇编 exe
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/iiprogram/article/details/3076168
 

关于windows文件保护的讨论有许多,最近对他进行了一些整理,下面将整理的心得写下来:

微软为了提高 Windows 系统的可靠性和稳定性,从 Windows 2000 开始使用一种叫做 WFP ( Windows File Protection,
Windows 文件保护)的机制。现在,Windows 2000和Windows XP都有这个功能。

WFP 把某些文件认为是非常重要的系统文件,例如所有的dll文件,exe、fon、ocx、sys还有tff等后缀的文件。在Windows
2000/XP刚装好后,系统会自动备份这些文件到一个专门的叫做 dllcache 的文件夹,这个dllcache 文件夹的位置默认保
存在%SYSTEMROOT%/system32/dllcache。显示了所有受保护文件的正确版本和类型。一旦检测到文件被替代或者覆盖,就
可以自动从备份的文件中恢复。而如果备份的文件由于某些原因也不可用,那么Windows就会要求你插入系统光盘,以便从
光盘上恢复。


1、设置注册表值
在 HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon 下添加
"SFCDisable" DWORD值:FFFFFF9D.

SFCDisable 取值说明:
------------------------
0 = 启用WFP
1 = 禁用WFP,但是在系统每次启动的时候会询问你是否重新启用
2 = 只在下一次系统启动时禁用WFP
4 = 启用 WFP,但不跳出提示对话框
FFFFFF9D = 禁用 WFP

但是这个方法需要重新启动机器,另外改注册表的时候卡巴怕是又会吼起来了。

2、修改文件

Windows 2000 是: %SystemRoot%/system32/sfc.dll
Windows XP 是: %SystemRoot%/system32/sfc_os.dll
将此文件复制出来,用UltraEdit进行修改。
修改之前一定要先删除 %SystemRoot%/system32/dllcache下的同名文件。
具体修改如下:
---------------------------------------------------
Windows 2000 SP1 及以下版本不需要修改
Windows 2000 SP2 将 6211 处的 8BC6 改成 9090
Windows 2000 SP3 将 6211 处的 8BC6 改成 9090
Windows 2000 SP4 将 62DB 处的 8BC6 改成 9090
Windows XP 将 E2B8 处的 8BC6 改成 9090
Windows XP SP1 将 E3BB 处的 8BC6 改成 9090
Windows XP SP2 将 ECE9 处的 33C0 改成 EB01
---------------------------------------------------

这个方法有点自相矛盾,应为本身sfc.dll及sfc_os.dll就出现在WFP所保护的文件列表中。要修改这两个文件首先
就需要关闭文件保护。faint呀!

枚举文件保护所监控的文件列表的代码如下:
   if ((SfcGetNextProtectedFile =(TSfcGetNextProtectedFile) GetProcAddress( hSFC,
    "SfcGetNextProtectedFile")) == NULL)
   {
    FreeLibrary( hSFC) ;
    printf( "Error: Api SfcGetNextProtectedFile not found/n/n", argv[ 0]) ;
    return -1 ;
   }
  
   printf( "List of protected files:/n/n") ;
  
   pfd.FileNumber = 0 ;
  
   while(SfcGetNextProtectedFile( NULL, &pfd) != 0)
   {
    printf( "%ws/n", &pfd.FileName) ;
   }
}

进行反汇编了一下WFPdisable.exe,理出它的大概处理流程。

3、调用sfc.dll中的未导出函数

主要是插入winlogon进程中,调用sfc.dll(xp中是sfc_os.dll)中的未导出的2号函数,来关闭
windows系统的文件保护。

这种做法得到了一定程度的普及,如WFPdisable、黑客之门等就是这样做的。

HMODULE hSfc = LoadLibary( "sfc.dll" );
LPTHREAD_START_ROUTINE pThread = (LPTHREAD_START_ROUTINE)GetProcAddress( hSfc, 2 );

4、关闭执行windows文件签名的服务

windows之所以知道文件发生了变化主要的方法是对实施保护的文件执行签名保护,关闭了执行文件编录的服务,
WFP服务做校验,当然也就失效了。当是文件编录服务在第一次关闭以后还会自动启用。

因此有人提出替换服务的方法来关闭文件保护,但是这样做的缺点是文件保护就永远的被关闭了。其实我想此时服务的
关闭为crack sfc.dll创造了条件。另外,再次地关闭该服务的话,该服务也就不会在启动了。再狠一点,编程的时候
直接禁用该服务。并没有什么依赖该服务的服务,一般情况下也用不到,所以还是可以一试的。

有个这方面的内容可以参考以下:
在Win2000-XP上安静地替换正在使用的系统文件
Windows File Protection: How To Disable It On The Fly

如何禁止Windows文件保护(WFP
tony的专栏
10-25 1840
如何禁止Windows文件保护(WFP)分类: 操作系统2009-10-19 14:56 393人阅读 评论(0) 收藏 举报如何禁止Windows文件保护(WFP)。我们先来了解下WFP是如何工作的。相关的文件是sfc_os.dll(2000下是sfc.dll,在xp下也有sfc.dll文件,但都是调用sfc_os.dll的功能)和 Winlogon.exe 。Winlogo进程通过调用sfc
wfp 禁用ip_WFP网络过滤驱动——限制网站访问
weixin_32421297的博客
01-30 575
[md]0x1前言文中的注释有的来自微软官方的解释翻译,有的来自Windows内核安全与驱动开发书中的解释,也有的来自我个人的理解。代码功能是在Windows内核安全与驱动开发第15章中Wfpsample代码的基础上完成的.0x2环境配置1610609082543.png (23.62 KB, 下载次数: 0)2021-1-24 18:54 上传代码直接编译一大堆错误,网上找了找原因是环境配置问题...
禁用WFP (Windows File Protection)
BillBeggar的专栏
05-08 1451
<br />方法一:<br />通过修改注册表的方式,打开注册表到HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon,这里有几个键是需要我们设置的: <br />SFCDisable,值为0时打开了WFP ,这也是默认的状态。双击后可以改成1,这将禁用WFP ,并且需要重启动一下才能生效;值为2,仅仅会在下一次启动时禁用;值为4,将启用,并且不会显示提醒用户的窗口。<br />SFCQuota,可以决定允
禁用WFPWindows File Protection,Windows 文件保护)的机制
河边杨柳
10-01 1766
禁用WFPWindows File Protection,Windows 文件保护)的机制作为一个后台运行的服务,WFP会消耗一定的资源,如果你的电脑配置不是很高,那么就完全可以禁用,以便提高电脑性能。不过禁用后Windows的稳定性可能得不到保障,这个由你自己来决定。如果你要禁用WFP,需要修改注册表,同时,在注册表中也可以完成其他的一些设置。运行regedit打开注册表编辑器,展开
Centos7中Zookeeper三节点集群搭建
weixin_43993673的博客
09-03 203
安装前需要安装好jdk 检测集群时间是否同步 检测防火墙是否关闭 检测主机 ip映射有没有配置 ##下载安装包、解压 tar -zxvf zookeeper-3.4.5.tar.gz mv zookeeper-3.4.5 zookeeper ##修改环境变量(注意:3台zookeeper都需要修改) vi /etc/profile export ZOOKEEPER_HOME=/home/hado...
退出的命令
Mr_XiaoYuan011的博客
04-12 1594
1. esc + : + qw 或 esc+ : + x或 esc + shift + zz     保存退出2. 正常退出有个前提条件是:打开的文本文件在内容上没有被改动过  :  esc + : + q   正常退出3. esc + : + q!   不保存退出4.esc + : + !       强制退出...
WFP_自定义标题栏.zip
08-05
标题栏的核心组件通常是TitleBar控件,它包含最小化、最大化和关闭按钮。在WPF中,我们可以通过以下步骤实现自定义: 1. **创建新样式**: 首先,在XAML资源字典中创建一个新的Style,其TargetType为`Window`。这将...
WFP防火墙在应用层的增删过滤器操作
阶乘的闲庭信步
04-25 3167
WFP防火墙的作用 WFP防火墙是在Vista/Win2008之后的操作系统中才引入的一套流量管控平台。提供一套API接口供开发人员调用。应用层和驱动层都有不同的模块可以调用。用于取代之前的LSP过滤器、TDI过滤器、NDIS过滤器等。通过WFP API,可以实现防火墙、网络管控工具等流量管控服务。 使用WFP防火墙时注意的事项 WFP防火墙仅在Vista/Win 2008以后的系统中方可生效。 在Vista/Win 2008中,过滤器的添加不支持"或"策略。如果需求中包含对个IP段、多个端口号、多个协议
【驱动开发】Windows过滤平台(WFPWindows Filtering Platform)
qq_42814021的博客
04-13 4961
TDI:Transport Driver Interface,传输层接口。TDI在Windows Vista之后就不再支持了,之后的版本中被WFP取代。socket可以指定某种方式开始传输用户的数据(比如TCP或UDP),这就是传输层。传输层的特点是:用户只需要关心实际需要传输的用户数据,而不用担心数据实际的发送次数、如何封装、如何确定发送正确性、出错何重发等。Windows过滤平台(Windows Filter Platform),是从Vista系统后新增的一套系统API和服务,为网络数据包过滤。
WFP单实例应用程序示例
12-24
如果不能立即获取(即已经有其他实例持有),则表示有另一个应用程序实例在运行,我们关闭当前进程。反之,如果成功获取,说明当前是唯一实例,可以继续执行应用程序的初始化流程。 此外,如果需要在已运行的实例中...
通过安全日志读取WFP防火墙放行日志
最新发布
阶乘的闲庭信步
08-20 2381
之前的文档中,描写了如何对WFP防火墙进行操作以及如何在防火墙日志中读取被防火墙拦截网络通讯的日志。这边文档,着重描述如何读取操作系统中所有被放行的网络通信行为。读取系统中放行的网络通信行为日志,在win10之后的操作系统上,也可以通过前一篇提到的读取阻断日志的方式进行读取(以FWPM_NET_EVENT0.type字段区分),但是在较老的系统中却不支持直接读取。为了保持系统兼容性,可以通过读取操作系统安全日志(EventId:5156)的方式进行网络通信日志的采集。
wfp网络过滤框架总结(一)
zhangge3663的博客
09-18 4637
一、基本术语定义 callout为扩展wfp性能提供的一个功能,由一系列call function和一个guid key组成,wfp内置了几个callouts。用户可以通过callout drivers自己添加callout。 callout driver实现一个或者多个callouts的内核驱动,这个驱动通过向filter engine注册callouts,来通知filter engine当...
WPF 系统关闭模式
weixin_34249367的博客
04-07 325
WPF App.xaml中ShutdownMode的属性值 OnLastWindowClose(默认值) 最后一个窗体关闭或调用Application对象的Shutdown()方法时,应用程序关闭。 OnMainWindowClose      启动窗体关闭或调用Application对象的Shutdown()方法时,引用程序关闭。(和C#的Windows应用程序的关闭...
WPF退出程序
ShineRoyal
02-22 2494
当处于全屏模式下时,没有右上角的退出按钮,此时需要手动写button退出功能。 调用下面语句可以直接退出。 Application.Current.Shutdown();
Windows Vista 核心网络过滤
neil
09-15 252
 Windows Vista(简称Vista),是微软公司推出的最新的客户端操作系统,内部名称Windows NT 6.0。相对于Windows NT 5.x,其网络结构变化非常大,原有的TDI,NDIS系统挂接方法不再适用。(修改自nrworld.com 作者匿名)     在Vista系统中,微软引入了两种新的网络过滤系统,WFP和 NDISfilter。由于WFP和NDIS系统十分庞大,...
Windows 筛选平台 (WFP)
热门推荐
Tinna_zhang的专栏
10-14 1万+
原文路径::http://msdn.microsoft.com/zh-cn/library/windows/hardware/gg463267.aspx 引用于微软官方 Windows 筛选平台 (WFP) 更新日期: 5月 15日 2008年 此信息适用于以下操作系统: Windows Vista Windows Server 2008
WFP Binding(五种模式)
R041211的博客
06-09 926
<Grid> <StackPanel VerticalAlignment="Center"> <TextBlock Text="{Binding model.WPF}" Height="208" TextWrapping="WrapWithOverflow"> ...
帮我写一个WFP 的demo
03-09
好的,我可以为您提供一个 WFP 的 demo,您可以参考以下代码: #include <windows.h> #include <stdio.h> #include <stdlib.h> #include <wfp.h> #pragma comment(lib, "Fwpkclnt.lib") int main(int argc, char* argv[]) { FWPM_SESSION session = { }; FWPM_FILTER filter = { }; FWPM_FILTER_CONDITION filterConditions[1] = { }; FWPM_PROVIDER provider = { }; FWPM_SUBLAYER subLayer = { }; HANDLE engineHandle = NULL; UINT64 filterId = ; DWORD errorCode = ERROR_SUCCESS; // 初始化 WFP 引擎 errorCode = FwpmEngineOpen(NULL, RPC_C_AUTHN_WINNT, NULL, &session, &engineHandle); if (errorCode != ERROR_SUCCESS) { printf("Failed to open WFP engine. Error code: %d\n", errorCode); return -1; } // 创建 WFP 提供程序 provider.displayData.name = L"My WFP Provider"; provider.displayData.description = L"Demo WFP Provider"; provider.providerKey = (GUID) { x12345678, x1234, x1234, { x12, x34, x12, x34, x12, x34, x12, x34 } }; errorCode = FwpmProviderAdd(engineHandle, &provider, NULL); if (errorCode != ERROR_SUCCESS) { printf("Failed to add WFP provider. Error code: %d\n", errorCode); FwpmEngineClose(engineHandle); return -1; } // 创建 WFP 子层 subLayer.displayData.name = L"My WFP SubLayer"; subLayer.displayData.description = L"Demo WFP SubLayer"; subLayer.subLayerKey = (GUID) { x12345678, x1234, x1234, { x12, x34, x12, x34, x12, x34, x12, x34 } }; subLayer.weight = FWP_EMPTY; errorCode = FwpmSubLayerAdd(engineHandle, &subLayer, NULL); if (errorCode != ERROR_SUCCESS) { printf("Failed to add WFP sublayer. Error code: %d\n", errorCode); FwpmProviderDeleteByKey(engineHandle, &provider.providerKey); FwpmEngineClose(engineHandle); return -1; } // 创建 WFP 过滤器条件 filterConditions[].fieldKey = FWPM_CONDITION_IP_REMOTE_ADDRESS; filterConditions[].matchType = FWP_MATCH_EQUAL; filterConditions[].conditionValue.type = FWP_BYTE_ARRAY16_TYPE; filterConditions[].conditionValue.byteArray16 = (FWP_BYTE_ARRAY16) { x01, x02, x03, x04, x05, x06, x07, x08, x09, xA, xB, xC, xD, xE, xF, x10 }; // 创建 WFP 过滤器 filter.providerKey = provider.providerKey; filter.subLayerKey = subLayer.subLayerKey; filter.displayData.name = L"My WFP Filter"; filter.displayData.description = L"Demo WFP Filter"; filter.action.type = FWP_ACTION_BLOCK; filter.weight.type = FWP_EMPTY; filter.filterCondition = filterConditions; filter.numFilterConditions = ARRAYSIZE(filterConditions); errorCode = FwpmFilterAdd(engineHandle, &filter, NULL, &filterId); if (errorCode != ERROR_SUCCESS) { printf("Failed to add WFP filter. Error code: %d\n", errorCode); FwpmSubLayerDeleteByKey(engineHandle, &subLayer.subLayerKey); FwpmProviderDeleteByKey(engineHandle, &provider.providerKey); FwpmEngineClose(engineHandle); return -1; } // 关闭 WFP 引擎 FwpmFilterDeleteById(engineHandle, filterId); FwpmSubLayerDeleteByKey(engineHandle, &subLayer.subLayerKey); FwpmProviderDeleteByKey(engineHandle, &provider.providerKey); FwpmEngineClose(engineHandle); return ; }
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值