недокументированый вывод из строя Windows File Protection..


   Этот  метод  полностью  выводит  из строя Windows File Protection (aka
System File Checker)

   Как  это  сделать:  надо просто изменить параметр SFCDisable (смотрите
Windows File Protection статью) на 0xffffff9d.

   Многие  долго  спорили  как отключить защиту в 2000 винде и нашли один
способ. Все очень просто если продизасмить sfc.dll то в ней можно увидеть
такой код которой проверяет параметр SFCDisable в WinLogon ключе:

76986A89                 push    1
76986A8B                 cmp     eax, ebx
76986A8D                 pop     esi
76986A8E                 jz      loc_76986B97
76986A94                 cmp     eax, esi
76986A96                 jz      loc_76986B7A
76986A9C                 cmp     eax, 2
76986A9F                 jz      loc_76986B69
76986AA5                 cmp     eax, 3
76986AA8                 jz      short loc_76986AE0
76986AAA                 cmp     eax, 4
76986AAD                 jz      short loc_76986ACF
76986AAF                 cmp     eax, 0FFFFFF9Dh
76986AB2                 push    ebx
76986AB3                 jz      loc_76986B86
76986AB9                 push    offset byte_76981898
76986ABE                 push    edi
76986ABF                 call    sub_7698877D
76986AC4                 mov     dword_769901D4, ebx
76986ACA                 jmp     loc_76986B97


   Теперь в статье (Windows File Protection) вы можите посмотреть 1,2,3,4
параметры  SFCDisable.  А  вот с параметром 0ffffff9dh не все ясно, может
это  полное  отключение?  (SFC).  Так  оно и есть этот параметр отключает
Windows  File  Protection(WFP)  aka System File Checker (SFC). Все просто
и  легко.  Данный  трюк  был  проверен  и  100  %  работает,  после смены
параметров  SFCDisable  в win2000 с бывшими защищенными файлам можно было
заражать удалять и.тд.


 www.matrixvx.org

  ULTRAZ[MATRiX]
What`s my age again?