标题:
[讨论]系统根目录Windows文件隐藏属性无法修改
[打印本页]
作者:
richy
时间:
2008-7-25 13:58
标题:
[讨论]系统根目录Windows文件隐藏属性无法修改
[讨论]系统根目录Windows文件隐藏属性无法修改
议题提交:evilow
信息来源:邪恶八进制信息安全团队
环境:WINDOWS XP + SP2
今天突然发现C:\WINDOWS"不见了",也不知道是什么时候不见的(谁叫你马虎的...该打).想想只是前几天中了Win32/Parite.a病毒,但是据我所知,它没有修改文件属性的爱好!~打开文件夹选
项,将"隐藏受保护的操作系统文件(推荐)'选项的勾给去掉.重新进入C盘,呵呵,有了!(别急,要是这样简单我就不会求救了...)
我想平时也能看见,就右击修改他的隐藏属性.呵~问题来了,隐藏选项变成灰色---不可选了!我汗啊~就试试一个DOS命令---attrib.键入attrib c:\windows -h /d /s 返回"未重设系统文件 - C:\WINDOWS".
打开系统盘看了看,果然没有改回来.汗啊~~~命令提示符也不行.心想一定是注册表的问题.关掉其他程序,打开Regsnap给系统来了个快照,修改C:\WINDOWS文件夹属性--将存档选上.再次快照,对比.发现如下信息:
/////////////////// Registry report
Summary info:
Deleted keys: 0
Modified keys: 3
New keys : 4
*** Modified keys
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed
Old value: Type: REG_BINARY Length: 80 byte(s)
5E FD 67 49 11 54 7D B2 73 1E 0D BF 82 98 9B FF | ^.gI.T}.s.......
1D D9 EA 38 D1 34 EA DE 0C 83 6E A4 F9 F2 17 58 | ...8.4....n....X
71 6F 26 2E 1A BC 89 AD FE 19 92 22 FF 6A F9 CB | qo&........".j..
36 87 1C B9 C0 08 E4 7C B4 8A 7A 55 45 64 A3 08 | 6......|..zUEd..
45 22 65 54 FC 59 EC F5 8D CD A5 7A 6B A1 D1 EE | E"eT.Y.....zk...
New value: Type: REG_BINARY Length: 80 byte(s)
04 A5 ED B5 55 17 8C E9 CA 24 C5 E3 46 58 E6 10 | ....U....$..FX..
42 80 3C 55 2F 78 65 05 78 82 A9 24 69 68 B7 04 | B.<U/xe.x..$ih..
EE 10 5D C1 3E 24 35 1A 1A 50 2A 90 A7 80 26 FB | ..].>$5..P*...&.
9A 29 7A 7D DA A9 2F C4 5B B0 55 E8 E8 DD EC 89 | .)z}../.[.U.....
BB 67 B0 0A 22 9A 6F EA 5A 5C 98 CA 35 3A 20 40 | .g..".o.Z\..5: @
HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017\SessionInformation\ProgramCount
Old value: DWORD: 4 (0x4)
New value: DWORD: 5 (0x5)
HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017
\Software\Microsoft\Windows\ShellNoRoam\BagMRU\MRUListEx
Old value: Type: REG_BINARY Length: 68 byte(s)
00 00 00 00 0F 00 00 00 01 00 00 00 0E 00 00 00 | ................
0D 00 00 00 0C 00 00 00 0B 00 00 00 0A 00 00 00 | ................
02 00 00 00 05 00 00 00 09 00 00 00 08 00 00 00 | ................
06 00 00 00 07 00 00 00 04 00 00 00 03 00 00 00 | ................
FF FF FF FF | ....
New value: Type: REG_BINARY Length: 68 byte(s)
00 00 00 00 01 00 00 00 0F 00 00 00 0E 00 00 00 | ................
0D 00 00 00 0C 00 00 00 0B 00 00 00 0A 00 00 00 | ................
02 00 00 00 05 00 00 00 09 00 00 00 08 00 00 00 | ................
06 00 00 00 07 00 00 00 04 00 00 00 03 00 00 00 | ................
FF FF FF FF | ....
--------------
Total positions: 3
*** New keys
HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017
\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-21790
Value: String: "我的音乐"
HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017
\Software\Microsoft\Windows\ShellNoRoam\MUICache\@shell32.dll,-21791
Value: String: "我的视频"
HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017
\Software\Vitas\RegSnap\MAIN\CMPMODE
Value: DWORD: 0 (0)
HKEY_USERS\S-1-5-21-1343024091-287218729-725345543-1017\Software\Vitas\RegSnap\MAIN\OUTFMT
Value: DWORD: 0 (0)
--------------
Total positions: 4
/////////////////// File list in C:\WINDOWS\*.*
Summary info:
Deleted files: 0
Modified files: 0
New files : 0
/////////////////// File list in C:\WINDOWS\system32\*.*
Summary info:
Deleted files: 0
Modified files: 0
New files : 0
我汗~~~够复杂(我怎么老是出汗~~)我想问题应该出现在Modified keys(修改的值)那里, 但是仔细研究了半天也不知道到底和哪个键值有关.哪位大哥给了提示.....偶在卿不在,卿在偶不在;问世间缘为何物,只叫你我难相逢^^^^^
帖子21 精华
0
积分21 阅读权限40 性别男 来自安徽[现在广州读书] 在线时间0 小时 注册时间2005-6-8 最后登录2006-4-2
查看个人网站
查看详细资料
TOP
让女孩一夜变的更有女人味
kevin1986
荣誉会员
欢迎光临 【3.A.S.T】网络安全爱好者 (http://3ast.com./)
Powered by Discuz! 7.2