1580, 10/79 회원가입  로그인  
   x90c
   윈도우즈 XP SP1 WFP (Windows File Protection) 끄기

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=496 [복사]


==================================================
윈도우즈 XP SP1 WFP (Windows File Protection) 끄기

==================================================

=---=--=--=--=--=--=--=--=--==---=--=--=--=--=--=
작성자 : x90c < geinblues [at] gmail.com >
작성일 : 2006년 3월 5일 (일)
홈페이지 : http://www.x90c.org
=---=--=--=--=--=--=--=--=--==---=--=--=--=--=--=



윈도우즈 2000, XP(SP1, SP2) 는 중요 시스템파일을 보호하기위한 WFP 기능을 제공한다.
이 기능은 아래 몇가지 디렉토리에 존재하는 시스템 파일들을 백업해두었다가
삭제/변조되었을때 그 파일을 백업해둔 파일을 복사해서 자동으로 복구하게된다.

이 기능의 존재를 확인하려면 탐색기를 열고 아래 디렉토리로 간다음 메모장을 지워보라.

c:\windows\system32\notepad.exe

5초안에 자동 복구되는것을 확인할수 있을것이다.

이 기능은 정확히 SFC(System File Checker)에 의해서 제공되는데, 수동으로 변경되어진
시스템파일들을 검사하고 복구하려면 아래 과정을 따라하면 된다.

시작->실행-> sfc /scannow

참고 : 단 복구를 위해서는 윈도우설치시디가 요구된다.


이 기능은 시스템보호측면에서는 훌륭한 도구이다.
그러나 시스템파일을 변경하여 시스템을 크랙하길 원하는 해커들에게는 하나의 방해물로밖에
보이질 않는다. 따라서 이 기능을 끄고 싶을것이다.

이 기능을 멈추게 하려면 몇가지 과정을 거쳐야하는데 초보에게는 약간 어려울수 있다.

한계 : 윈도우즈 XP SP2 는 이 기능을 끌수 없도록 고정시켜버렸다.



######################
1단계. sfc_os.dll 크랙
######################

준비물 : 헥사에디터(Hex Editor)


1. c:\windows\system32\sfc_os.dll 파일을 복사하여 사본을 만든다. ( 사본파일명 : sfc_os.dllx )
2. 헥사에디터를 작동시켜 sfc_os.dllx 를 연다. (헥사코드가 가득 화면에 표시될것이다)
3. 파일 오프셋 0x0000E3BB 로 이동하면 "8B C6" 두바이트를 볼수 있는데, 이것을 "90 90" 으로 변경한다.
4. 변경된 파일을 저장하고 헥사에디터를 종료한다.

이제 sfc_os.dllx 는 복구기능을 사용하지 않도록 변경된 시스템파일이다. 이것을 실제 sfc_os.dll 로
덮어쓰기해야 실제 적용이 된다. 그렇지만 현재 윈도우가 작동중인 상태에서는 이 파일이 사용중이므로
변경할수가 없다. 따라서 윈도우 복구콘솔로 나간다음 이 파일을 덮어쓰기해야만 한다.




##############################
2단계. 윈도우 XP 복구콘솔 설치
##############################

1. 윈도우즈 XP 설치시디를 시디롬에 넣는다.
2. 시작->실행-> d:\i386\winnt32.exe /cmdcons
3. 복구콘솔 설치확인 창이 뜨면 "예" 버턴을 누른다.

설치가 완료되면, 재부팅하라.




##########################
3단계. sfc_os.dll 덮어쓰기
##########################

'1단계' 에서 크랙한 sfc_os.dllx 파일을 sfc_os.dll 파일로 덮어쓰기 할차례다.
복구콘솔이 설치된후 재부팅시에 F8 키를 누르고 마지막에 있는 OS 선택메뉴로 나가면

"2. 복구콘솔"

을 만날수 있다. 이것을 선택하여 부팅하면 Administrator 계정의 암호를 묻는다.
(엔터를 눌러라; 기본으로 비밀번호는 비어있다)

C:\> 가 보이면..

아래 명령들을 입력한후 시스템파워버턴을 꾹 눌러 재부팅을 하여 윈도우즈로 부팅하라.
(아래 선두 두라인은 원본 dll 파일을 백업하는것이고, 그 아래두라인은 크랙파일을 원본파일명으로 덮어쓰기하는것이다 )

copy c:\windows\system32\sfc_os.dll c:\windows\system32\sfc_os.dll /y
copy c:\windows\system32\dllcache\sfc_os.dll c:\windows\system32\dllcache\sfc_os.dll /y

copy c:\windows\system32\sfc_os.dllx c:\windows\system32\sfc_os.dll /y
copy c:\windows\system32\sfc_os.dllx c:\windows\system32\dllcache\sfc_os.dll /y




#######################################
4단계. 마지막 과정 : 레지스트리 값 변경
#######################################


이제 복잡한 모든 과정들이 끝났다. 마지막으로 이 기능을 사용하지 않는다는것을 시스템에 알리기위해서
레지스터리 값을 하나 변경해보자.

1. 시작->실행->regedit
2. 레지스트리 편집기창에서 아래위치로 이동해 SFCDisable 항목의 값을 ffffff9d (16진수)로 변경한다.

HKEY_LOCAL_MACHINE->Software->Microsoft->Windows NT->CurrentVersion\Winlogon




재부팅후 이 기능이 정상적으로 꺼졌음을 확인하려면 notepad.exe 를 다시 삭제해보라.
(다시 복구가 되지 않는다면 이 문서를 제대로 읽었다고 생각할수 있다)


Yo ~ :p

c:\windows\system32\*.dll
c:\windows\system32\drivers\*.sys


이제 위의 파일들을 마음대로 크랙할수 있는 환경이 구성되었다.











  Hit : 11264     Date : 2006/03/05 11:18



    
kim0237 윽... 어렵다;;; ㅜ.ㅜ 2006/06/19  
1400   리눅스 명령어 한꺼번에(소유님꺼)[11]     ssakura
07/07 11651
1399   2번째C강좌~![9]     괴도js
07/03 11642
1398   [동강]백트랙을 이용한 재밌는 놀이들![4]     cdpython
09/29 11577
1397   [자작]포렌식을위한NTFS구조[2]     havu
01/11 11574
1396   D.Dolphin님 질문내용] LAN과 WAN의 차이점과 VAN의 정의[5]     푸른하늘
09/11 11543
1395   [자작]프로세스모니터Operation필터     havu
01/10 11539
1394   GetProcAddress 로 알아보는 키워드     HongMK900
08/13 11525
1393   원격종료....[39]     bsjzzz
01/02 11524
1392   * 해킹영화 볼만한거 *[5]     HackerMapia
02/20 11497
1391   [펌] 알고있으면 유용한 도스 명령어들.[2]     dzhfldk
08/22 11437
1390   Xmanager로 리눅스 이용하기(멍멍님 만화강좌 사용)[15]     DarkSlayer
09/21 11395
1389   리눅스 시스템 정보 알아내기[3]     bitcom01
08/11 11392
1388   C언어 함수 요약[5]     qkreoghks00
11/15 11389
1387   cmd [명령프롬프트] 로 해커스쿨접속방법[30]     HackerMapia
01/12 11378
1386   [Project] 전기,전자 상식 및 샤프심으로 전구만들기. - 1[11]     아이프리드
02/03 11342
1385   bof & fsb 에 유용한 펄 스크립트[5]     awsedr45
03/11 11285
1384   [펌]TCP SYN_Flooding 공격의 원인과 해결책[1]     Chris Ruiel
10/06 11271
1383   [컴퓨터 짱되는 100가지 팁] 네이버에서 퍼옴!![2]     turtle0216
04/12 11266
1382   리눅스 기본 명령[1]     jeongseok0
04/22 11265
  윈도우즈 XP SP1 WFP (Windows File Protection) 끄기[1]     x90c
03/05 11263
[1][2][3][4][5][6][7][8][9] 10 ..[79]

Copyright 1999-2023 Zeroboard / skin by Hackerschool.org / Secure Patch by Hackerschool.org & Wowhacker.com