xfocus logo xfocus title
首页 焦点原创 安全文摘 安全工具 安全漏洞 焦点项目 焦点论坛 关于我们
添加工具Xcon English Version

SysFile_V1.1.rar


提交时间:2008-09-26 更新时间:2009-08-07
提交用户:sysnap
工具分类:扫 描 器
运行平台:Windows
工具大小:29163 Bytes
文件MD5 :0e3cb8b89653e5159fd417dbf1e53284
工具来源:http://hi.baidu.com/sysnap

SysFile主要功能是文件和注册表...文件列举是一个dir命令..支持FAT32和NTFS//..没有驱动..但发现隐藏文件的能力比较强...因为是基于扇区的读写..

   注册表列举也是没有驱动..但可以发现隐藏注册表键和键值...因为SysFile是基于HIVE文件解析的..

   今天对SysFile加了几个命令...操作HIVE的...因为hived之类的命令里用到了RegSaveKey把目标键转换为HIVE文件来解析...但有可能RegSaveKey失败..所以增添的命令是直接读取系统的HIVE文件...
主要的HIVE有

    HKEY_LOCAL_MACHINE\SECURITY------>>%systemroot%\system32\config\SECURITY
    HKEY_LOCAL_MACHINE\SOFTWARE------>>%systemroot%\system32\config\SOFTWARE
    HKEY_LOCAL_MACHINE\SYSTEM-------->>%systemroot%\system32\config\SYSTEM
    HKEY_LOCAL_MACHINE\SAM----------->>%systemroot%\system32\config\SAM
    还有其他一些..自己需要找去找...

    新增加的命令有
    1CopyFile
    因为系统HIVE很难打开和复制..所以提供了一个命令CopyFile来强制复制文件..格式是
    CopyFile FileToCopyPath|FileToWritePath
    比如 CopyFile C:\WINDOWS\system32\config\system|C:\2.hiv
   把C:\WINDOWS\system32\config\system复制到C:\2.hiv..注意中间的|不能有空格

    2MountHive
    挂接一个HIVE文件
    格式 MountHive HivePath
   比如 MountHive C:\system.hiv

    3DirHive
    这个命令需要先运行命令MountHive成功后才能使用,功能比较像DIR文件
    格式 DirHive RegistePath
    比如 DirHive HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\
    注意HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\需要一个'\'
    还有HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\是在你MountHive的HIVE文件中

    4UnMountHive
    格式 UnMountHive
    卸载挂接的HIVE文件

    一个例子
输入命令 :
Input > copyfile C:\WINDOWS\system32\config\system|c:\system.hiv
copy file sucessfull!
Input > mounthive c:\system.hiv
Mount Hive ok,you can dir now!
Input > dirhive HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\

   之前命令命令详解
  
   1 dir 改命令获取目录下的所有文件和文件夹...只支持FAT32和NTFS..不排除BUG

   2 inject 该命令扫描目标路径下的可疑文件感染...在写这个时我放弃了许多功能,但可以试看..exe文件效果比较准确

   3 ads 该命令扫描文件流,用到的是API..并不能查到所有的ADS...有时间再加强

   4 trust 该命令扫描非MS的数字签名文件

   5 hived 解析比如像HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的子键

   6 hivea 解析比如像HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的子键包括键的值

   7 hiveprasea 比如格式是 hiveprasea C:\my.hiv 解析my.hiv...因为我在hived时用到的是一个常规API来转为HIVE文件..有可能转储失败

   8 hiveprased 跟上面一样..只是解析结果包括键的值
    比如 dir C:\    ads C:\windows\
    对于hive 比如 hived HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
由于内容比较多...会把内容写到c:\\Hive.txt中/......
比较乱和比较杂...输出信息也没怎么处理.....而且BUG多多....没怎么修改...欢迎指出错误http://hi.baidu.com/sysnap

注:本文件为网友上传,XFOCUS 未对其进行安全检查。XFOCUS 不对下载、查看、执行其该文件及其包含内容所可能导致的后果做任何暗示和保证。

>> 下载 <<