百度空间 | 百度首页 
 
查看文章
  
[note]完整逆向Sysnap同学的注册表还原工具
2009年03月30日 星期一 20:18

在debugman上恰巧看到sysnap同学发的一个还原注册表的demo([工具]注册表保护),既然涉及到磁盘解析之类的,我顿时来了兴趣,于是简单看了下, IDA+WINDBG.如下:

总体来说,有点儿大题小做~

-----------------------------------------------------------------------------------------------------------------
逆向Sysnap同学的注册表还原工具所带驱动.完成为C源码,编译后可正常替换原驱动,且新驱动和源驱动代码相似度为98%. 其中设计了一个简单的单向链表,来存储受保护文件,可动态扩充

code逆的很烂,就不放了(若相关大牛做过注册表还原,可以交流代码,相互提高) 不过这个驱动的idb,是我逆向有史以来,注释最仔细的,几乎每个细节都注释了,所以放一个IDB在这里,供需要学习注册表还原的同学参考.

若您想进一步了解磁盘还原知识, 可以逆下国内外一些常见的还原软件(ShadowUser / 雨过天晴 / ...)

sudami.rar (117.36 KB)


类别:Note | 浏览() | 评论 (31)
 
最近读者:
 
网友评论:
1
2009年03月30日 星期一 20:19 | 回复
    太强大了...大米的逆向能力不是一般强啊
 
2
2009年03月30日 星期一 20:21 | 回复
 
3
2009年03月30日 星期一 20:37 | 回复
哪里,你的驱动没加花加密,是个驱动初学者,也能简单逆向掉的啊~~
 
4
2009年03月30日 星期一 20:59 | 回复
回复sudami:虽然无壳无花比较适合F5,但是没有相关知识也看不懂啊...比如我这个初学者~
 
5
2009年03月30日 星期一 21:04 | 回复
回复_achillis:
这个这个~~ 机器狗是07年的了,那时的技术就够了. 所以知识储备到07年就够了. 也不是很难, 其实就是数据结构嘛...
 
6
2009年03月30日 星期一 21:17 | 回复
呵呵...其实也不用IDA..用ARK扫下也能猜出来..
 
7
2009年03月30日 星期一 21:38 | 回复
不错,符号很全~~
 
8
2009年03月31日 星期二 10:20 | 回复
够刁
 
9
2009年03月31日 星期二 15:50 | 回复
是控制码FSCTL_GET_RETRIEVAL_POINTERS
 
10
2009年03月31日 星期二 15:56 | 回复
呵呵,一会儿我放下逆的源码, Sysnap同学等会儿看看是否和你写的一模一样吧~
 
11
2009年04月01日 星期三 05:15 | 回复
等原码的报道
 
12
2009年04月01日 星期三 05:48 | 回复
注册个ID再来报道一下
 
13
2009年04月01日 星期三 10:00 | 回复
你把磁盘还原那篇给隐藏了
 
14
2009年04月01日 星期三 11:34 | 回复
回复sudami:这不太好吧。。。
 
15
2009年04月01日 星期三 12:17 | 回复
回复linx2008:什么磁盘还原啊?

回复_Azy:那就只给原作者Sysnap看咯

还得等会儿~~
 
16
2009年04月01日 星期三 13:21 | 回复
我等的下巴掉了 结果没了
 
17
2009年04月01日 星期三 19:22 | 回复
大米兄越来越强悍了。。。膜拜啊膜拜~
 
18
2009年04月01日 星期三 20:56 | 回复
其实思路就已经是代码了...呵呵, 相信大米的能力...
 
20
2009年04月02日 星期四 20:52 | 回复
嗯,逆向完的C代码已经发给原作者. 呵呵,弄其他的去了~~
 
21
2009年04月02日 星期四 21:59 | 回复
大米的注释写的相当赞啊,学习学习~~sysnap的静态存放数据应该是为了避免内存申请、释放过频导致产生内存碎片的.毕竟读写操作很频繁的
 
22
2009年04月02日 星期四 22:07 | 回复
这个没有影响啊~~~
 
23
2009年04月02日 星期四 22:11 | 回复
也许是吧~我猜的,哈。不知道那还原软件的算法是怎么样的,期待你逆出来咯
 
24
2009年04月02日 星期四 23:34 | 回复
雨过天晴...猜测数据结构就够喝一壶~

ShadowUser比较好~~
 
25
2009年04月02日 星期四 23:39 | 回复
曾经想逆网维,喝了N壶后终于暂时放弃-_-b
 
26
2009年04月03日 星期五 02:08 | 回复
要拒绝逆向,直接黑取~~
 
27
2009年04月03日 星期五 08:22 | 回复
回复killvxk:我可没你那本事.哈哈
 
28
2009年04月03日 星期五 11:25 | 回复
回复weolar:我喝了N壶之后明白,要么买代码,要么有群众基础的逆向~~
 
29
2009年04月03日 星期五 12:00 | 回复
有idb不错了
 
30
2009年04月03日 星期五 12:46 | 回复
谁逆向过 "雨过天晴",共享一下IDB 吧~~~
 
31
2009年04月05日 星期日 11:47 | 回复
我还是处于状态
这年头课改负担越改越重啊...
高中已经11门主课了...
 
32
2009年04月25日 星期六 14:17 | 回复
PowerShadow不错,值得研究. 貌似它的那个28KB的SnpShot.sys 不是关键部分,就一个过滤IRP, 应该还有关键部分psldr啊, 有时间调试一下~~
 
发表评论:
姓 名:
网址或邮箱: (选填)
内 容:
验证码: 请点击后输入四位验证码,字母不区分大小写
      

     

©2009 Baidu