137 - Modificar dll_s de Windows XP

En un truco anterior (Nº116. Eliminar servicios de Xp del registro) presentaba como desactivar la proteccion de archivos de Windows XP,desgraciadamente no funciona...ya que microsoft modifico un salto en la sfc_os.dll (sfc.dll en Win2k),y hay que modificarla lo que explico abajo.

nota: el trabajo no es mio ,sino que lo he corregido,ya que todavia no se suficientemente usar el desasemblador para encontrar el salto (ya vendra).

para poder deshabilitar el "Windows File Protection" (WFP),se tendra que abrir el archivo sfc_os.dll DEL CUAL PRIMERO SE TENDRA QUE HACER UNA COPIA DE SEGURIDAD
(esta ubicado en c:\windows\system32\) con un editor hexadecimal.Por ejemplo el Hexedit que es freeware.Abre el sfc_os.dll con el editor ybusca la cadena con el valor 8Bc6 que es el que nos interesa.curiosamente el valor offset (parte izquierda del editor) es distinto en muchos casos,he hecho busqueda por internet y los valores offset no me servian.lo que si la cadena siguiente es siempre la misma:

D1 C376 83F8 9D75 078B C6A3 58D1 C376 3B

por lo cual iremos rastreando la cadena 8bc6 por busqueda sucesiva hasta que encontremos la correcta indicada mas arriba.a mi me ha salido en el offset 0000E3B0.
luego se remplaza los valores 8b y c6 por 90 y 90.

luego guardamos el sfc_os.dll ahora modificado con otro nombre (por ej. sfc_osmod.dll) ojo,no incluir espacios en el nombre,ya que tendremos que remplazarlo desde la consola de recuperacion,como todo archivo de sistema protegido por el WFP,ya que desde el sistema no nos deja modificarlos,(esto hasta que se termine lo que estamos haciendo).

si no teneis instalada la consola recuerdo que se hace introduciendo el cd de instalación de xp y ejecutando (inicio/ejecutar): "X:\I386\winnt32.exe /cmdcons" (x siendo la unidad de cd)

reiniciar el sistema y pulsar F8 antes de la carga del sistema y seleccionar "modo seguro"
y luego "consola de recuperacion ....".ojo al cargar la consola darle a "enter" cuando se pida ya que sino la distribución de teclado sera distinta ,y elegir "español traditional".

por fin pasar de c:\windows a system32 con "cd system32"

teclear "copy sfc_osmod.dll sfc_os.dll" con lo cual remplazaremos la dll original por la que hemos modificado.

"exit" y volvamos nuestro XP "hackeado"

CONSECUENCIAS: se puede borrar y modificar lo que querramos en el sistema : entradas de registro archivos de sistema,carpetas de sistema...sin que sean ya remplazadas.asi que esto se parecera un poco mas a Linux...salvando la distancia...jejeje.
pero es facíl de cargarse todo si no sabeis lo que haceis.
tambien se tendra que restablescer cada vez que se instala un programa ya que algunos modifican las dll_s de sistema y el WFP las restablece luego,esto sin lo cual nos dejaria de funcionar el sistema o algunos programas correctamente (por eso se creo el WFP,y tambien nos fastidia).

Truco enviado por

Regresar