最近论坛里流行着写特洛伊DLL文件,而写出来的dll文件在给别人使用的时候总是发现在Windows NT 4.0下可以,但是在Windows 2000下却无法成功,这一切的原因是因为Windows 2000操作系统有一个新特性:Windows文件保护(WFP)。
从一个管理员的角度来考虑,WFP可以让你避免你的一些误操作,如果某个应用程序没有代码签名(代码签名是一种数字签名加密技术,它核实系统文件的来源),那么Windows文件保护将不会让它通过。这样给自己减少了很多麻烦,也给写特洛伊的人增加了一些麻烦。
我们先来看看Windows文件保护是如何工作的:
通过两种机制,Windows文件保护特性可以检测并纠正应用程序安装过程中某些文件被未被授权文件替换的情况。第一种机制是,在某个重要系统文件被修改、删除的时候,Windows文件保护会得到通知。然后Windows文件保护找到目标文件以及这个文件是否是被保护的。如果目标文件确实是被保护的,那么Windows文件保护将在一个编目文件 里检查文件的签名。如果签名是假的,那么这个文件将被Dllcache文件夹里的对应文件替换,或被新应用程序的安装程序用新的文件替换。
另一个机制是系统文件检查器 (Sfc.exe) 工具。在图形用户界面安装的最后阶段,系统文件检查器工具会扫描所有被保护的文件,为安装程序修改文件做好准备。它还检查所有用来跟踪正确文件版本的编目文件。如果发生丢失或损坏的情况,Windows文件保护将对受影响的编目文件重新命名,并从DLLcache文件夹下恢复这个文件的缓存版本。如果不能获得这个文件的缓存版本,Win dows文件保护将会要求插入适当的磁盘或光盘来获得编目文件的一个新的拷贝。
这个工具还可以用来:
・扫描所有被保护的文件,以验证它们的版本。
・检查和重新填充%Systemroot%System32Dllcache文件夹。
・修复被损坏或无法再使用的Dllcache文件夹内容。
・设置文件缓存大小(分配给Dllcache文件夹的空间)。
有关Dllcache的细节
为所有类型的文件都保存一个缓存版本的需要可能会和磁盘空间方面的考虑发生冲突。但是,如果你决定为所有类型的文件都保存一个缓存版本的话,那么请在注册表里把SFCQuota的值设置为0xFFFFFFFF,这样就可以缓存所有被保护的系统文件(大约2700个文件)。然而更好的情况是,如果你安装了Windows 2000并且有足够的磁盘空间,那么Windows 2000将会自动缓存所有被保护的系统文件。
Windows文件保护对Dllcache文件的操作:
如果Windows文件保护检测到一个侵入文件,而受影响的文件不是Dllcache文件,并且被操作系统使用的相关文件的版本为正确版本,则Windows文件保护将这个版本拷贝到Dllcache文件夹。
如果正在被操作系统使用的受影响文件的版本不是正确版本,或者文件没有缓存到Dllcache文件夹,那么Windows文件保护特性会试图找到这个文件的安装路径。如果介质没有找到,则Windows文件保护会显示一个对话框,让你插入适当的介质,以替换文件或者Dllcache文件版本。
参考资料:微软网站
|
版主
论坛用户
论坛用户
论坛用户
论坛用户
论坛用户
论坛: 黑客进阶 标题: 谈Windows2000文件保护