Сейчас на форуме: YDS, _MBK_, user99, ManHunter (+6 невидимых)

 eXeL@B —› Основной форум —› Защита файлов Windows
Посл.ответ Сообщение


Ранг: 251.8 (наставник), 17thx
Активность: 0.120
Статус: Участник
Seeker

 Создано: 11 декабря 2005 01:38
· Личное сообщение · #1

Как виндовс проверяет, что системные файлы были изменены? Если это контрольные суммы, то как они вычисляются и где хранятся? Или как-то по другому?

-----
DREAMS CALL US

Ранг: 495.3 (мудрец)
Активность: 0.30
Статус: Участник

 Создано: 11 декабря 2005 02:13
· Личное сообщение · #2

Вообще-то есть стандартная checksum в PE-формате. Должно быть оно.
Или ты её смотрел?
(допустим в hiew'e)

-----
Всем привет, я вернулся


Ранг: 1288.1 (!!!!), 273thx
Активность: 1.290
Статус: Участник

 Создано: 11 декабря 2005 02:20
· Личное сообщение · #3

Bitfry пишет:
Вообще-то есть стандартная checksum в PE-формате. Должно быть оно.
Лучше почитать топики на васме (если они сохранились)...



Ранг: 172.2 (ветеран)
Активность: 0.070
Статус: Участник

 Создано: 11 декабря 2005 02:21
· Личное сообщение · #4

имхо по сверке с контрольными суммами "4истых" системных файлов в "System Volume Information", либо в системном блэклисте

-----
HOW MUCH BLOOD WOULD YOU SHED TO STAY ALIVE

Ранг: 17.8 (новичок)
Активность: 0.010
Статус: Участник

 Создано: 11 декабря 2005 03:20 · Поправил: f0ma
· Личное сообщение · #5

Эта прелесть через цифровые подписи работает
Подробно о Windows File Protection http://ziet.zhitomir.ua:8890/izone/izone004/pub/nadezwindows2000.htm



Ранг: 4.0 (гость)
Активность: 0.010
Статус: Участник

 Создано: 11 декабря 2005 17:59
· Личное сообщение · #6

Защита файлов операционной системы обеспечивается двумя методами.
Во-первых, механизм WFP работает в фоновом режиме и активируется в
случае получения уведомления об изменении файла в защищенной папке.

После получения уведомления WFP идентифицирует измененный файл.
Если был изменен защищенный файл, по подписи из файла каталога
проверяется новая версия. Если версия является неправильной,
новый файл заменяется исходным из папки кэша или источника установки.
Поиск файла допустимой версии производится в следующем порядке.

1. Папка кэша (по умолчанию %systemroot%\system32\dllcache).
2. Путь к сетевому источнику установки, если он был использован для установки операционной системы.
3. Компакт-диск Windows, если он был использован для установки операционной системы.

Если файл удается найти в папке кэша или автоматически на источнике установки, он восстанавливается без уведомления пользователя. В противном случае появляется одно из приведенных ниже сообщений, где имя_файла — имя замененного файла, а продукт — установленная на компьютере операционная система Windows.

Отключение WFP
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
SFCDisable(DWORD)-4294967197




Ранг: 230.5 (наставник)
Активность: 0.180
Статус: Участник
Norg

 Создано: 11 декабря 2005 20:53
· Личное сообщение · #7

Не советую отключать,то засраный виндовс накроется .Чтобы восстановить этот засраный виндовс в командной строке пишем sfc /enable /scannow и вставляем диск с виндой.Он восстановит оригинальные системные файлы.

-----
M&#225 enginn renna undan &#254v&#237 sem honum er skapa&#240
 eXeL@B —› Основной форум —› Защита файлов Windows
:: Ваш ответ
Жирный  Курсив  Подчеркнутый  Перечеркнутый  {mpf5}  Код  Вставить ссылку 
:s1: :s2: :s3: :s4: :s5: :s6: :s7: :s8: :s9: :s10: :s11: :s12: :s13: :s14: :s15: :s16:


Максимальный размер аттача: 500KB.
Ваш логин: german1505 » Выход » ЛС
   Для печати Для печати