[原创]编程禁止Windows文件保护-编程技术-看雪-安全社区|安全招聘|kanxue.com

[原创]编程禁止Windows文件保护

发表于: 2007-6-5 19:27 10985

[原创]编程禁止Windows文件保护

StarsunYzL 活跃值

2007-6-5 19:27

10985

这里要用到一个未公开的API——SfcFileException，其声明如下：

DWORD WINAPI SfcFileException(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1);

参数说明： dwUnknown0 未知，设为0
pwszFile 文件名
dwUnknown1 未知，设为-1

从参数可以看出SfcFileException只能对单个文件禁止Windows文件保护，注意pwszFile参数是UNICODE字符。函数成功返回0，失败返回1（一般是文件不受Windows文件保护保护）。在Windows XP里SfcFileException位于SFC_OS.DLL中，没有被导出函数名，只导出了序号，序号为5。下面看代码：

.586
.model flat,stdcall
option casemap:none

include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc

includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib

include \masm32\macros\macros.asm
include \masm32\macros\ucmacros.asm

ProtoDef    typedef proto :dword,:dword,:dword
lpProc        typedef ptr ProtoDef

.data
    WSTR szFile,"C:\Windows\Explorer.exe"
    
.data?
    SfcFileException    lpProc    ?

.code
Main proc
    
    invoke LoadLibrary,SADD('SFC_OS.DLL')
    invoke GetProcAddress,eax,5
    mov SfcFileException,eax
    invoke SfcFileException,0,offset szFile,-1
    .if eax
        invoke MessageBox,NULL,SADD('Err'),SADD('Err'),MB_OK
    .else
        invoke MessageBox,NULL,SADD('OK'),SADD('OK'),MB_OK
    .endif
    ret
Main endp
end Main

代码很简单，就不多说。

参考文献：

《Hacking Windows File Protection》——ddeK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0A6N6s2y4#2L8g2)9J5k6h3y4G2L8g2)9J5c8X3q4T1L8%4g2@1N6$3k6H3i4K6u0W2j5i4y4H3
里面有些不错的东西，建议看一下，英文的。

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

收藏・18

免费・0

支持

最新回复 (17)
猪头三雪币： 158 活跃值： (273) 能力值： ( LV10，RANK：170 ) 在线值：发帖 23 回帖 100 粉丝 3 关注私信	猪头三 3 2 楼不错，收藏了 2007-6-5 20:55 0
三根火柴雪币： 268 活跃值： (55) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 3 楼不错,收下了,学习ing ..... 2007-6-5 21:28 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 4 楼 2k下sfc.dll也一样吗? 我在XP和2K下测试了，都返回IO_PEND错误~~~,用管理员帐户测试的,怎么搞?? 2007-6-5 21:58 0
不懂算法雪币： 205 活跃值： (97) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 329 粉丝 6 关注私信	不懂算法 2 5 楼需要提升到debug权限 2007-6-6 01:12 0
不懂算法雪币： 205 活跃值： (97) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 329 粉丝 6 关注私信	不懂算法 2 6 楼或者在nt服务里面执行这些代码 2007-6-6 01:12 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 7 楼这个还需要DEBUG权限啊,那和以前哪个老办法也没差~~~~ 2007-6-6 10:20 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 8 楼这个改c怎么改？我改的这个好像UNICODE有问题，我太搞得清楚，那位大虾看看 #include <windows.h> #pragma comment(lib,"user32") typedef DWORD WINAPI SfcFileException(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1); int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR pszCmdLine, int cmdShow) { DWORD result = 0; HMODULE hLib = LoadLibrary("SFC_OS.DLL"); SfcFileException *se = GetProcAddress(hLib,5); result = se(0,L"C:\\Windows\\Explorer.exe",-1); if (result) MessageBox(NULL,"err","err",MB_OK); else MessageBox(NULL,"success","success",MB_OK); FreeLibrary(hLib); return 1; } 2007-6-6 13:36 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 9 楼为什么我这样定义函数指针出错？ typedef DWORD WINAPI (*PSfcFileException)(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1); 。。。 PSfcFileException se = ... 2007-6-6 14:13 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 10 楼 typedef那一行提示：语法错误 : “(” 2007-6-6 14:16 0
StarsunYzL 雪币： 424 活跃值： (2504) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 443 粉丝 1 关注私信	StarsunYzL 11 楼 XP SP2测试通过，2K我没测试，你可以在《Hacking Windows File Protection》——cc1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0A6N6s2y4#2L8g2)9J5k6h3y4G2L8g2)9J5c8X3q4T1L8%4g2@1N6$3k6H3i4K6u0W2j5i4y4H3 找找资料~~ 2007-6-6 15:55 0
StarsunYzL 雪币： 424 活跃值： (2504) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 443 粉丝 1 关注私信	StarsunYzL 12 楼似乎不用~~~ 2007-6-6 15:55 0
StarsunYzL 雪币： 424 活跃值： (2504) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 443 粉丝 1 关注私信	StarsunYzL 13 楼偶对C不熟，爱莫能助.... 2007-6-6 15:56 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 14 楼学习一下！！！ 2007-6-6 22:56 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 15 楼进程需要提高到DEBUG权限吗?我测试不通过,总是返回IO_PEND 2007-6-7 00:28 0
qandzjl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	qandzjl 16 楼支持WIN32汇编 2007-6-7 08:22 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 17 楼 #include <windows.h> #pragma comment(lib,"user32") typedef DWORD WINAPI SfcFileException(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1); int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR pszCmdLine, int cmdShow) { DWORD result = 0; WCHAR szW[100] = L"C:\\Windows\\Explorer.exe"; HMODULE hLib = LoadLibrary("SFC_OS.DLL"); SfcFileException *se = GetProcAddress(hLib,5); result = se(0,szW,-1); if (result) MessageBox(NULL,"err","err",MB_OK); else MessageBox(NULL,"success","success",MB_OK); FreeLibrary(hLib); return 1; } xp sp2中这个可以 2007-6-7 17:13 0
小豆豆雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	小豆豆 1 18 楼这个方法好像好早在29a7号的的电子杂志里就有了....Ratter大大的~ 2007-6-7 22:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

StarsunYzL

发帖

443

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
猪头三雪币： 158 活跃值： (273) 能力值： ( LV10，RANK：170 ) 在线值：发帖 23 回帖 100 粉丝 3 关注私信	猪头三 3 2 楼不错，收藏了 2007-6-5 20:55 0
三根火柴雪币： 268 活跃值： (55) 能力值： ( LV10，RANK：170 ) 在线值：发帖 32 回帖 255 粉丝 0 关注私信	三根火柴 4 3 楼不错,收下了,学习ing ..... 2007-6-5 21:28 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 4 楼 2k下sfc.dll也一样吗? 我在XP和2K下测试了，都返回IO_PEND错误~~~,用管理员帐户测试的,怎么搞?? 2007-6-5 21:58 0
不懂算法雪币： 205 活跃值： (97) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 329 粉丝 6 关注私信	不懂算法 2 5 楼需要提升到debug权限 2007-6-6 01:12 0
不懂算法雪币： 205 活跃值： (97) 能力值： ( LV6，RANK：90 ) 在线值：发帖 16 回帖 329 粉丝 6 关注私信	不懂算法 2 6 楼或者在nt服务里面执行这些代码 2007-6-6 01:12 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 7 楼这个还需要DEBUG权限啊,那和以前哪个老办法也没差~~~~ 2007-6-6 10:20 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 8 楼这个改c怎么改？我改的这个好像UNICODE有问题，我太搞得清楚，那位大虾看看 #include <windows.h> #pragma comment(lib,"user32") typedef DWORD WINAPI SfcFileException(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1); int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR pszCmdLine, int cmdShow) { DWORD result = 0; HMODULE hLib = LoadLibrary("SFC_OS.DLL"); SfcFileException *se = GetProcAddress(hLib,5); result = se(0,L"C:\\Windows\\Explorer.exe",-1); if (result) MessageBox(NULL,"err","err",MB_OK); else MessageBox(NULL,"success","success",MB_OK); FreeLibrary(hLib); return 1; } 2007-6-6 13:36 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 9 楼为什么我这样定义函数指针出错？ typedef DWORD WINAPI (*PSfcFileException)(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1); 。。。 PSfcFileException se = ... 2007-6-6 14:13 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 10 楼 typedef那一行提示：语法错误 : “(” 2007-6-6 14:16 0
StarsunYzL 雪币： 424 活跃值： (2504) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 443 粉丝 1 关注私信	StarsunYzL 11 楼 XP SP2测试通过，2K我没测试，你可以在《Hacking Windows File Protection》——cc1K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6%4N6#2)9J5k6h3u0A6N6s2y4#2L8g2)9J5k6h3y4G2L8g2)9J5c8X3q4T1L8%4g2@1N6$3k6H3i4K6u0W2j5i4y4H3 找找资料~~ 2007-6-6 15:55 0
StarsunYzL 雪币： 424 活跃值： (2504) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 443 粉丝 1 关注私信	StarsunYzL 12 楼似乎不用~~~ 2007-6-6 15:55 0
StarsunYzL 雪币： 424 活跃值： (2504) 能力值： ( LV3，RANK：30 ) 在线值：发帖 29 回帖 443 粉丝 1 关注私信	StarsunYzL 13 楼偶对C不熟，爱莫能助.... 2007-6-6 15:56 0
elance 雪币： 716 活跃值： (162) 能力值： ( LV9，RANK：250 ) 在线值：发帖 13 回帖 570 粉丝 0 关注私信	elance 6 14 楼学习一下！！！ 2007-6-6 22:56 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 15 楼进程需要提高到DEBUG权限吗?我测试不通过,总是返回IO_PEND 2007-6-7 00:28 0
qandzjl 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 40 粉丝 0 关注私信	qandzjl 16 楼支持WIN32汇编 2007-6-7 08:22 0
Aker 雪币： 2134 活跃值： (14) 能力值： (RANK：170 ) 在线值：发帖 50 回帖 773 粉丝 4 关注私信	Aker 4 17 楼 #include <windows.h> #pragma comment(lib,"user32") typedef DWORD WINAPI SfcFileException(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1); int WINAPI WinMain(HINSTANCE hInstance, HINSTANCE hPrevInstance, LPSTR pszCmdLine, int cmdShow) { DWORD result = 0; WCHAR szW[100] = L"C:\\Windows\\Explorer.exe"; HMODULE hLib = LoadLibrary("SFC_OS.DLL"); SfcFileException *se = GetProcAddress(hLib,5); result = se(0,szW,-1); if (result) MessageBox(NULL,"err","err",MB_OK); else MessageBox(NULL,"success","success",MB_OK); FreeLibrary(hLib); return 1; } xp sp2中这个可以 2007-6-7 17:13 0
小豆豆雪币： 207 活跃值： (10) 能力值： ( LV4，RANK：50 ) 在线值：发帖 3 回帖 15 粉丝 0 关注私信	小豆豆 1 18 楼这个方法好像好早在29a7号的的电子杂志里就有了....Ratter大大的~ 2007-6-7 22:39 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复