【3.A.S.T】网络安全爱好者's Archiver

黑客学习

richy 发表于 2008-7-25 13:58

[讨论]系统根目录Windows文件隐藏属性无法修改

[讨论]系统根目录Windows文件隐藏属性无法修改
议题提交:evilow
信息来源:邪恶八进制信息安全团队

环境:WINDOWS  XP  + SP2
  今天突然发现C:\WINDOWS"不见了",也不知道是什么时候不见的(谁叫你马虎的...该打).想想只是前几天中了Win32/Parite.a病毒,但是据我所知,它没有修改文件属性的爱好!~打开文件夹选
项,将"隐藏受保护的操作系统文件(推荐)'选项的勾给去掉.重新进入C盘,呵呵,有了!(别急,要是这样简单我就不会求救了...)
  我想平时也能看见,就右击修改他的隐藏属性.呵~问题来了,隐藏选项变成灰色---不可选了!我汗啊~就试试一个DOS命令---attrib.键入attrib c:\windows -h /d /s  返回"未重设系统文件 - C:\WINDOWS".

打开系统盘看了看,果然没有改回来.汗啊~~~命令提示符也不行.心想一定是注册表的问题.关掉其他程序,打开Regsnap给系统来了个快照,修改C:\WINDOWS文件夹属性--将存档选上.再次快照,对比.发现如下信息:
/////////////////// Registry report
Summary info:
Deleted  keys: 0
Modified keys: 3
New keys    : 4


*** Modified keys
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed
  Old value: Type: REG_BINARY Length: 80 byte(s)
    5E FD 67 49 11 54 7D B2 73 1E 0D BF 82 98 9B FF  |  ^.gI.T}.s.......
    1D D9 EA 38 D1 34 EA DE 0C 83 6E A4 F9 F2 17 58  |  ...8.4....n....X
    71 6F 26 2E 1A BC 89 AD FE 19 92 22 FF 6A F9 CB  |  qo&........".j..
    36 87 1C B9 C0 08 E4 7C B4 8A 7A 55 45 64 A3 08  |  6......|..zUEd..
    45 22 65 54 FC 59 EC F5 8D CD A5 7A 6B A1 D1 EE  |  E"eT.Y.....zk...

  New value: Type: REG_BINARY Length: 80 byte(s)
    04 A5 ED B5 55 17 8C E9 CA 24 C5 E3 46 58 E6 10  |  ....U....$..FX..
    42 80 3C 55 2F 78 65 05 78 82 A9 24 69 68 B7 04  |  B.<U/xe.x..$ih..
    EE 10 5D C1 3E 24 35 1A 1A 50 2A 90 A7 80 26 FB  |  ..].>$5..P*...&.
    9A 29 7A 7D DA A9 2F C4 5B B0 55 E8 E8 DD EC 89  |  .)z}../.[.U.....
    BB 67 B0 0A 22 9A 6F EA 5A 5C 98 CA 35 3A 20 40  |  .g..".o.Z\..5: @

  HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017\SessionInformation\ProgramCount
  Old value: DWORD: 4 (0x4)
  New value: DWORD: 5 (0x5)
  HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017

\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx
  Old value: Type: REG_BINARY Length: 68 byte(s)
    00 00 00 00 0F 00 00 00 01 00 00 00 0E 00 00 00  |  ................
    0D 00 00 00 0C 00 00 00 0B 00 00 00 0A 00 00 00  |  ................
    02 00 00 00 05 00 00 00 09 00 00 00 08 00 00 00  |  ................

    06 00 00 00 07 00 00 00 04 00 00 00 03 00 00 00  |  ................
    FF FF FF FF                          |  ....        

  New value: Type: REG_BINARY Length: 68 byte(s)
    00 00 00 00 01 00 00 00 0F 00 00 00 0E 00 00 00  |  ................
    0D 00 00 00 0C 00 00 00 0B 00 00 00 0A 00 00 00  |  ................
    02 00 00 00 05 00 00 00 09 00 00 00 08 00 00 00  |  ................
    06 00 00 00 07 00 00 00 04 00 00 00 03 00 00 00  |  ................
    FF FF FF FF                          |  ....        

--------------
Total positions: 3

*** New keys
  HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017

\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-21790
  Value: String: "我的音乐"
  HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017

\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-21791
  Value: String: "我的视频"
  HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017

\Software\Vitas\RegSnap\MAIN\CMPMODE
  Value: DWORD: 0 (0)
  HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017\Software\Vitas\RegSnap\MAIN\OUTFMT
  Value: DWORD: 0 (0)
--------------
Total positions: 4

/////////////////// File list in C:\WINDOWS\*.*
Summary info:
Deleted  files: 0
Modified files: 0
New files    : 0


/////////////////// File list in C:\WINDOWS\system32\*.*
Summary info:
Deleted  files: 0
Modified files: 0
New files    : 0

我汗~~~够复杂(我怎么老是出汗~~)我想问题应该出现在Modified keys(修改的值)那里, 但是仔细研究了半天也不知道到底和哪个键值有关.哪位大哥给了提示.....偶在卿不在,卿在偶不在;问世间缘为何物,只叫你我难相逢^^^^^
[url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnadd.gif[/img][/url] [url=http://forum.eviloctal.com/javascript:;][img]http://forum.eviloctal.com/images/default/msnchat.gif[/img][/url] [url=http://wpa.qq.com/msgrd?V=1&Uin=200800510&Site=邪恶八进制信息安全团队技术讨论组&Menu=yes][img]http://forum.eviloctal.com/images/default/qq.gif[/img][/url] [url=http://edit.yahoo.com/config/send_webmesg?.target=liu_aiqing81&.src=pg][img]http://forum.eviloctal.com/images/default/yahoo.gif[/img][/url]
帖子21 精华[url=http://forum.eviloctal.com/digest.php?authorid=5642]0[/url] 积分21 阅读权限40 性别男 来自安徽[现在广州读书] 在线时间0 小时 注册时间2005-6-8 最后登录2006-4-2 [url=http://spaces.msn.com/members/evilow/]查看个人网站[/url]
[url=http://forum.eviloctal.com/space.php?action=viewpro&uid=5642]查看详细资料[/url]TOP [url=http://www.google.cn/search?q=DHC化妆品&client=pub-0204114945524753&forid=1&prog=aff&ie=UTF-8&oe=UTF-8&cof=GALT%3A#008000;GL%3A1;DIV%3A336699;VLC%3A663399;AH%3Acenter;BGC%3AFFFFFF;LBGC%3A336699;ALC%3A0000FF;LC%3A0000FF;T%3A000000;GFNT%3A0000FF;GIMP%3A0000FF;FORID%3A1&hl=zh-CN]让女孩一夜变的更有女人味[/url]

[url=http://forum.eviloctal.com/space-uid-1952.html]kevin1986[/url] [img]http://forum.eviloctal.com/images/avatars/noavatar.gif[/img]
荣誉会员
[img]http://forum.eviloctal.com/images/default/star_level2.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img][img]http://forum.eviloctal.com/images/default/star_level1.gif[/img]

页: [1]

Powered by Discuz! Archiver 7.2  © 2001-2009 Comsenz Inc.