这里要用到一个未公开的API——SfcFileException,其声明如下:
代码:
DWORD WINAPI SfcFileException(DWORD dwUnknown0, PWCHAR pwszFile, DWORD dwUnknown1);
参数说明: dwUnknown0 未知,设为0
pwszFile 文件名
dwUnknown1 未知,设为-1
从
参数可以看出SfcFileException只能对单个文件禁止Windows文件保护,注意pwszFile参数是UNICODE字符。函数成功返回
0,失败返回1(一般是文件不受Windows文件保护保护)。在Windows XP里SfcFileException位于SFC_OS.DLL中,
没有被导出函数名,只导出了序号,序号为5。下面看代码:
代码:
.586
.model flat,stdcall
option casemap:none
include \masm32\include\windows.inc
include \masm32\include\kernel32.inc
include \masm32\include\user32.inc
includelib \masm32\lib\kernel32.lib
includelib \masm32\lib\user32.lib
include \masm32\macros\macros.asm
include \masm32\macros\ucmacros.asm
ProtoDef typedef proto :dword,:dword,:dword
lpProc typedef ptr ProtoDef
.data
WSTR szFile,"C:\Windows\Explorer.exe"
.data?
SfcFileException lpProc ?
.code
Main proc
invoke LoadLibrary,SADD('SFC_OS.DLL')
invoke GetProcAddress,eax,5
mov SfcFileException,eax
invoke SfcFileException,0,offset szFile,-1
.if eax
invoke MessageBox,NULL,SADD('Err'),SADD('Err'),MB_OK
.else
invoke MessageBox,NULL,SADD('OK'),SADD('OK'),MB_OK
.endif
ret
Main endp
end Main
代码很简单,就不多说。
参考文献:
《Hacking Windows File Protection》——http://www.bitsum.com/aboutwfp.asp
里面有些不错的东西,建议看一下,英文的。
注意:程序需要开启调试权限!