完整逆向Sysnap同学的注册表还原工具

[harite]

原始出处：http://hi.baidu.com/sudami/blog/item/
d07e94139e4ccb0a5aaf539e.html
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
文章作者：sudami

在debugman上恰巧看到sysnap同学发的一个还原注册表的demo([工具]注册表保护),既然涉及到磁盘解析之类的,我顿时来了兴趣,于是
简单看了下, IDA+WINDBG.如下:

Snap2.gif (18.07 KB)

2009-4-2 20:37
Snap1.gif (13.19 KB)

2009-4-2 20:37

总体来说,有点儿大题小做~
-----------------------------------------------------------------------------------------------------------------
逆向Sysnap同学的注册表还原工具所带驱动.完成为C源码,编译后可正常替换原驱动,且新驱动和源驱动代码相似度为98%. 其中设计了一个简单的
单向链表,来存储受保护文件,可动态扩充

code逆的很烂,就不放了(若相关大牛做过注册表还原,可以交流代码,相互提高) 不过这个驱动的idb,是我逆向有史以来,注释最仔细的,几乎每个
细节都注释了,所以放一个IDB在这里,供需要学习注册表还原的同学参考.

若您想进一步了解磁盘还原知识, 可以逆下国内外一些常见的还原软件(ShadowUser / 雨过天晴 / ...)

[ 本帖最后由 sudami 于 2009-4-2 20:42 编辑 ]
附件
sudami.rar (117.36 KB)
2009-4-2 20:37, 下载次数: 25