[XPROTECTOR / XPROTECTOR][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\Xprotector.sys><N/A>
网上该文件的相关信息:
一、老外的XPROTEXTOR加壳保护的软件。
这个和DBPE保护层次上差不多,但狠毒劲则比DBPE过之。
总体上来说:
1、XPRO与DBPE一样,都是利用驱动程序来在WINNT系统上获得R0级权限。
2、XPRO截获所有异常,而DBPE只改INI3 AND INT2A。
3、XPRO在驱动内还采用了机器指令缓存的方法来ANTI-DEBUG。这一点是很重要的,如果不克服这个跟入驱动你就会发现:JMP EIP。这样的东西。
4、XPRO驱动程序设置为:SERVICE_AUTO_START 0x00000002
DBPE驱动程序为: SERVICE_DEMAND_START 0x00000003
这一点可以在注册表内的:HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\xprotector\下看到
也就是说:XPRO的驱动程序是随系操作系统启动而启动的而DBPE的驱动则是程序控制启动。就是说,XPRO的驱动程序xprotector.sys在加壳程序运行结束后还是可以在\??\??\windows\system32\driver\这个文件夹中找到的,这一点上,XPRO就给了我们可以方便修改xprotector.sys的机会以对付ANTI-DEBUG代码和驱动内的花指令。
二、可能是安装智能ABC后5.22版后,它在系统上加载的一个驱动(Xprotector壳获取Ring0级权限的驱动,用于加壳软件的保护?)。一般来说没有什么危害,当然也可以把这个驱动卸载(我的电脑-属性-硬件-设备管理器-查看-显示隐藏的设备-非即插即用驱动程序-找到Xprotector,右键选择卸载,重启计算机即可,到C:\WINDOWS\system32\drivers文件夹下删除Xprotector.sys,并删除其在注册表中遗留的信息。
三、xprotector.sys一个硬件壳的驱动
>> 除非说明均为原创,如转载请注明来源于http://www.stormcn.cn/post/121.html
