本地用户组要改文件
分析lusrmgr.msc
发现其本地用户和组(本地)的clsid是{5D6179C8-17EC-11D1-9AA9-00C04FD8FE93}
然后找到对应的dll文件:localsec.dll
用w32dasm打开,找到相应代码:
一共有两处:
1.
:728A9A67 E805020100 call 728B9C71
;调用GetVersionEx()检测版本
:728A9A6C 8BF0 mov esi, eax
:728A9A6E 85F6 test esi, esi
:728A9A70 0F8CFE000000 jl 728A9B74
:728A9A76 F645ED02 test [ebp-13], 02
;检测是否XP HOME
:728A9A7A 0F84F4000000 je 728A9B74
;判断跳转
:728A9A80 33F6 xor esi, esi
:728A9A82 46 inc esi
将:728A9A7A 0F84F4000000-> 0F85F4000000(文件offset 8e7bh处改为85h)
2.
同样是一个差不多的检测
:728ADF33 E839BD0000 call 728B9C71
;调用GetVersionEx()检测版本
:728ADF38 8BF8 mov edi, eax
:728ADF3A 3BFE cmp edi, esi
:728ADF3C 0F8CC1010000 jl 728AE103
:728ADF42 F645ED02 test [ebp-13], 02
;检测是否XP HOME
:728ADF46 741D je 728ADF65
:728ADF48 56 push esi
将:728ADF46 741D 改为751D (文件offset d346h处改为75h)
保存,然后写了一个cmd去替换系统文件
copy localsec.dll c:windowssystem32
copy localsec.dll c:windowssystem32dllcache
出现系统文件保护警告,取消之
运行lusrmgr.msc,OK,一切正常
如图:
[1]
本文由网上采集发布,不代表我们立场,转载联系作者并注明出处:http://zxxdn.com/jc/0911/1931.html
