1581,

10/80

x90c

윈도우즈 XP SP1 WFP (Windows File Protection) 끄기

http://www.hackerschool.org/HS_Boards/zboard.php?id=Free_Lectures&no=496 [복사]

==================================================
윈도우즈 XP SP1 WFP (Windows File Protection) 끄기

==================================================

=---=--=--=--=--=--=--=--=--==---=--=--=--=--=--=
작성자 : x90c < geinblues [at] gmail.com >
작성일 : 2006년 3월 5일 (일)
홈페이지 : http://www.x90c.org
=---=--=--=--=--=--=--=--=--==---=--=--=--=--=--=

윈도우즈 2000, XP(SP1, SP2) 는 중요 시스템파일을 보호하기위한 WFP 기능을 제공한다.
이 기능은 아래 몇가지 디렉토리에 존재하는 시스템 파일들을 백업해두었다가
삭제/변조되었을때 그 파일을 백업해둔 파일을 복사해서 자동으로 복구하게된다.

이 기능의 존재를 확인하려면 탐색기를 열고 아래 디렉토리로 간다음 메모장을 지워보라.

c:\windows\system32\notepad.exe

5초안에 자동 복구되는것을 확인할수 있을것이다.

이 기능은 정확히 SFC(System File Checker)에 의해서 제공되는데, 수동으로 변경되어진
시스템파일들을 검사하고 복구하려면 아래 과정을 따라하면 된다.

시작->실행-> sfc /scannow

참고 : 단 복구를 위해서는 윈도우설치시디가 요구된다.

이 기능은 시스템보호측면에서는 훌륭한 도구이다.
그러나 시스템파일을 변경하여 시스템을 크랙하길 원하는 해커들에게는 하나의 방해물로밖에
보이질 않는다. 따라서 이 기능을 끄고 싶을것이다.

이 기능을 멈추게 하려면 몇가지 과정을 거쳐야하는데 초보에게는 약간 어려울수 있다.

한계 : 윈도우즈 XP SP2 는 이 기능을 끌수 없도록 고정시켜버렸다.

######################
1단계. sfc_os.dll 크랙
######################

준비물 : 헥사에디터(Hex Editor)

1. c:\windows\system32\sfc_os.dll 파일을 복사하여 사본을 만든다. ( 사본파일명 : sfc_os.dllx )
2. 헥사에디터를 작동시켜 sfc_os.dllx 를 연다. (헥사코드가 가득 화면에 표시될것이다)
3. 파일 오프셋 0x0000E3BB 로 이동하면 "8B C6" 두바이트를 볼수 있는데, 이것을 "90 90" 으로 변경한다.
4. 변경된 파일을 저장하고 헥사에디터를 종료한다.

이제 sfc_os.dllx 는 복구기능을 사용하지 않도록 변경된 시스템파일이다. 이것을 실제 sfc_os.dll 로
덮어쓰기해야 실제 적용이 된다. 그렇지만 현재 윈도우가 작동중인 상태에서는 이 파일이 사용중이므로
변경할수가 없다. 따라서 윈도우 복구콘솔로 나간다음 이 파일을 덮어쓰기해야만 한다.

##############################
2단계. 윈도우 XP 복구콘솔 설치
##############################

1. 윈도우즈 XP 설치시디를 시디롬에 넣는다.
2. 시작->실행-> d:\i386\winnt32.exe /cmdcons
3. 복구콘솔 설치확인 창이 뜨면 "예" 버턴을 누른다.

설치가 완료되면, 재부팅하라.

##########################
3단계. sfc_os.dll 덮어쓰기
##########################

'1단계' 에서 크랙한 sfc_os.dllx 파일을 sfc_os.dll 파일로 덮어쓰기 할차례다.
복구콘솔이 설치된후 재부팅시에 F8 키를 누르고 마지막에 있는 OS 선택메뉴로 나가면

"2. 복구콘솔"

을 만날수 있다. 이것을 선택하여 부팅하면 Administrator 계정의 암호를 묻는다.
(엔터를 눌러라; 기본으로 비밀번호는 비어있다)

C:\> 가 보이면..

아래 명령들을 입력한후 시스템파워버턴을 꾹 눌러 재부팅을 하여 윈도우즈로 부팅하라.
(아래 선두 두라인은 원본 dll 파일을 백업하는것이고, 그 아래두라인은 크랙파일을 원본파일명으로 덮어쓰기하는것이다 )

copy c:\windows\system32\sfc_os.dll c:\windows\system32\sfc_os.dll /y
copy c:\windows\system32\dllcache\sfc_os.dll c:\windows\system32\dllcache\sfc_os.dll /y

copy c:\windows\system32\sfc_os.dllx c:\windows\system32\sfc_os.dll /y
copy c:\windows\system32\sfc_os.dllx c:\windows\system32\dllcache\sfc_os.dll /y

#######################################
4단계. 마지막 과정 : 레지스트리 값 변경
#######################################

이제 복잡한 모든 과정들이 끝났다. 마지막으로 이 기능을 사용하지 않는다는것을 시스템에 알리기위해서
레지스터리 값을 하나 변경해보자.

1. 시작->실행->regedit
2. 레지스트리 편집기창에서 아래위치로 이동해 SFCDisable 항목의 값을 ffffff9d (16진수)로 변경한다.

HKEY_LOCAL_MACHINE->Software->Microsoft->Windows NT->CurrentVersion\Winlogon

재부팅후 이 기능이 정상적으로 꺼졌음을 확인하려면 notepad.exe 를 다시 삭제해보라.
(다시 복구가 되지 않는다면 이 문서를 제대로 읽었다고 생각할수 있다)

Yo ~ :p

c:\windows\system32\*.dll
c:\windows\system32\drivers\*.sys

이제 위의 파일들을 마음대로 크랙할수 있는 환경이 구성되었다.

Hit : 11804 Date : 2006/03/05 11:18