Tcp/ip半开连接数破解补丁的分类与区别


    网上存在形形色色的Tcp半开连接数破解补丁,按修改对象的不同,可以分为两大类:文件补丁与内存补丁。
   
XP对驱动程序没有数字签名检查的问题,所以修改tcpip.sys比较简单,修改限制数值,然后重新checksum一下就没问题了。

    对于Vista/Windows 7就有点麻烦了。从Vista SP1开始,NT6对驱动程序实行数字签名检查,如果tcpip.sys文件被修改过,操作系统会蓝屏提示tcpip.sys无法通过数字签名检查,不能正常启动操作系统。解决方法有两个:开机时按F8选择取消数字签名强制,或为tcpip.sys加测试签名。
   
内存补丁,顾名思义,是修改内存中的数据。它并不直接对文件操作,所以不存在破坏tcpip.sys的问题。内存补丁还有一个优点是控制灵活,修改值立即生效,不需要重启系统。由于用户模式的程序不能修改内核内存区的数据,因此内存补丁必须加载一个附加的内核模式驱动程序实现修改目标。NT6 64位对驱动程序的加载检查更严格,所以内存补丁自身的驱动程序加载也要受到影响:如果补丁自身没有带有效的数字签名,操作系统将不加载补丁。目前还没有看到有人为补丁的驱动程序买数字签名。

    普通的文件补丁,代表作有:迅雷与比特精灵附带补丁,VistaTcpipUacPatch等,众多补丁属于这一类。
    修复测试签名的文件补丁,代表作有:Half-open_limit_fix,Universal Tcpip.sys Patch。
    内存补丁,代表作有:极限,TCP-Z。

    TCP-Z是所有补丁中支持操作系统数量最多的补丁,TCP-Z GUI程序提供的连接数历史记录图表也是众多补丁中独一无二的,可以作为是否需要破解、破解是否成功的参考数据。
 
32bits & 64bits, NT5(Windows XP)











 
文件补丁,修改Tcpip.sys

内存补丁,修改内存

特殊设置

X

X



 
32bits, NT6(Windows Vista / Windows 7)



















 
文件补丁,修改Tcpip.sys

(不修复数字签名)

文件补丁,修改Tcpip.sys

(修复为测试签名)

内存补丁,修改内存

开机菜单按F8键

需要,

可以安装ReadyDriver Plus实现自动按F8

X

X

测试模式

需要,同上

需要,bcdedit设置

X



 
64bits, NT6(Windows Vista / Windows 7)



















 
文件补丁,修改Tcpip.sys

(不修复数字签名)

文件补丁,修改Tcpip.sys

(修复为测试签名)

内存补丁,修改内存

开机菜单按F8键

需要,

可以安装ReadyDriver Plus实现自动按F8

X

X

测试模式

需要,同上

需要,bcdedit设置

需要/不需要,视补丁而定。

目前看到的需要,bcdedit设置



注:X代表不需要进行该项目设置。


允许测试签名模式设置命令为如下。

开:  bcdedit.exe -set TESTSIGNING ON

关:  bcdedit.exe -set TESTSIGNING OFF


发帖者 deepxw 时间: 21:49   |   2 评论  

关于完美的TCPIP连接数补丁

有网友提到某fix补丁是完美补丁,因为它不需要开启测试模式,而TCP-Z需要。

其实fix一样要开测试模式,并且是32位、64位都要开测试模式。
而TCP-Z仅在64位Vista上需要开启测试模式,32位Vista是不需要的。

TCP-Z是明讲提醒用户,fix是程序默认直接修改而不通知用户。

使用fix修改限制数后,你的系统已经进入测试模式,只不过程序静默修改过user32.dll.mui去除“测试模式”4个字,所以用户感觉不到。

要验证很简单,使用修改文件tcpip.sys,关闭测试模式就立见蓝屏!
右键点命令提示符,选择以管理员身份运行,输入:
bcdedit.exe -set TESTSIGNING OFF
然后重启电脑,你会看到经典的画面。。。。。。

蓝屏无法进入系统不要紧:重启电脑,在出现操作系统选择菜单时,按F8,选择禁用数字签名强制,就可以正常进入系统了。

其实fix程序还是有点提及,因为是英文,所以用户没有注意而已。

修改内存类的补丁在Vista 64关闭测试签名模式后,不会发生蓝屏,只是补丁无法加载运行。

目前TCP-Z的驱动程序还是没有拿到有效的数字签名。
下一版本,我该继续提醒用户,还是学习别人静默修改进入测试模式呢?

发帖者 deepxw 时间: 00:26   |   1 评论  

迅雷锁定 tcpip.sys 文件

经过反汇编迅雷的主程序Thunder5.exe,分析得出的结论是:
迅雷的Tcpip.sys检测模块存在Bug,当它无法识别当前系统Tcpip.sys的连接数限制值时,跳过CloseHandle,因此造成已经打开的Tcpip.sys句柄没有正常关闭。

低级错误,程序流程不合理。


在Windows XP上做替换Tcpip.sys文件的实验的结果:
1, 替换c:\windows\system32\drivers\tcpip.sys为SP2版本,迅雷能正常识别连接数限制值。查看系统打开的所有句柄,没有发现tcpip.sys。
2, 替换tcpip.sys为SP3版本时,再启动迅雷,迅雷无法识别正确的限制值,显示为0。此时查看系统当前打开的句柄,可以看到tcpip.sys文件一直处于打开状态。只有关闭迅雷程序时,tcpip.sys才被关闭释放。


已经报告给迅雷,不知他们会不会处理。

发帖者 deepxw 时间: 21:50   |   2 评论  

Windows 2003 TCP半开连接测试图

"软件在Windows 2003/2008也会显示一个连接数限制值,但这只是Windows平台Tcpip.sys统一架构的遗留产物"

上述表述是说10那个半开的限制对2003/2008没用么,请问该结论有无相关依据,谢谢。



可以自己做个测试:

用一个扫描器,扫描一个不存在的IP段,看半开连接数的峰值。

Tcpip.sys会调用MmIsThisAnNtAsSystem这个函数检测当前系统是不是Server系列,然后为Server与Workstation分别分配不同的限制值。

发帖者 deepxw 时间: 13:36   |   0 评论  

Next home
 
Copyright 2009 deepxw | 闲人小作