d.eetl 于天阳

其实我不知道各位专家是太专业了还是根本没发现..其实Windows的文件保护机制在设计上有很大的缺陷..I/O监控是一个很土的办法的是Microsoft一直应用着.. 哎看着各位一会用这个API绕过这个一会又用那个API 绕过...什么注册表,什么系统服务
很早以前有研究过这方面的技术 今天闲的没事干 透露下哈`..

以下描述几点:
1. I/O监控是个很土的办法
2. 从执行效率来讲内存操作的效率远远高于I/O操作N倍

OK 从我上述2点我们可以实现以下逻辑..

I/O操作需要1毫秒
内存操作0.001毫秒一次 (我只是说的大概..并不是准确数字..)

说到这 你是不是大概有点想法了?

对..没错....将频繁的I/O操作压入指令栈..虽然在第一次-第2次之间会触发windows文件保护机制系统并恢复相应系统文件但是之后....呵呵...在系统恢复的同时我又把那文件替换掉了..也就是说在此时的替换是人不知鬼不觉.虽然在一开始会触发windows文件保护机智但是...并不是一点意义都没有..因为如果没有任何终端在当时正在桌面模式那么.系统不会有任何提示....然而你想要的效果也达到了..
此种方法对于windows文件保护机制并没有做任何破坏.并不像刚开始讲的那几中比较有技术的方法..

其实此问题一直存在很多年..一直没有人提..

哎没办法发个例子出来吧..汗

del %systemroot%system32append.exe
copy c:aaa.exe %systemroot%system32append.exe
%systemroot%system32append.exe

试试..
被替换的那程序整成进程独占..防止被替换..那么..程序就替换不回来了....