高考问答穿越之田园农家txt:运行程序时,发现找不到“Xprotector.sys”服务?
来源:百度文库 编辑:高考问答 时间:2024/04/29 23:16:24
我XP专业版SP2的,运行一软件,就出现
“Xtyeme-Protector Error
Cannot open XPROTECTOR.SYS driver.Please ,make sure that you have administrator's permits the first time that you are going to run this program”
我的帐户在管理员中,不解,然后我换成系统内置的管理员帐户,结果一样,应该排出帐户问题,后又看系统事件日志,就发现说服务没启动,
是怎么回事,怎么解决呀?
“Xtyeme-Protector Error
Cannot open XPROTECTOR.SYS driver.Please ,make sure that you have administrator's permits the first time that you are going to run this program”
我的帐户在管理员中,不解,然后我换成系统内置的管理员帐户,结果一样,应该排出帐户问题,后又看系统事件日志,就发现说服务没启动,
是怎么回事,怎么解决呀?
老外的XPROTEXTOR加壳保护的软件.
这个脱和DBPE保护层次上差不多,但狠毒劲则比DBPE过之。我想DBPE为了兼容性一定也牺牲了不少加密性能吧。
总体上来说:
1,XPRO与DBPE一样,都是利用驱动程序来在WINNT系统上获得R0级权限。
2,XPRO截获所有异常,而DBPE只改INI3 AND INT2A。
3,XPRO在驱动内还采用了机器指令缓存的方法来ANTI-DEBUG。这一点是很重要的,如果不克服这个跟入驱动你就会发现:JMP EIP。这样的东西。
4,XPRO驱动程序设置为:SERVICE_AUTO_START 0x00000002
DBPE驱动程序为: SERVICE_DEMAND_START 0x00000003
这一点可以在注册表内的:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\xprotector\下看到
也就是说:XPRO的驱动程序是随系操作系统启动而启动的而DBPE的驱动则是程序控制启动。就是说,XPRO的驱动程序xprotector.sys在加壳程序运行结束后还是可以在\??\??\windows\system32\driver\这个文件夹中找到的,这一点上,XPRO就给了我们可以方便修改xprotector.sys的机会以对付ANTI-DEBUG代码和驱动内的花指令。