储巢HIVE及实现注册表隐藏

最新推荐文章于 2021-07-05 17:19:40 发布
最新推荐文章于 2021-07-05 17:19:40 发布
阅读量3.1k 收藏 5
点赞数
分类专栏: 驱动/内核/HOOK/ROOKIT 文章标签: struct security null descriptor 配置管理 integer
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/instruder/article/details/5667298
版权
本文深入探讨了Windows注册表HIVE的内部结构,包括HBASE_BLOCK、HBIN、CM_KEY_NODE等关键数据结构。还介绍了如何通过隐藏注册表键的细胞索引来实现注册表项的隐藏,涉及GetCellRoutine的钩子方法。文章适合熟悉操作系统和注册表原理的读者。
摘要由CSDN通过智能技术生成

注册表是一组称为储巢的单独文件组成的.配置管理器从逻辑上将一个储巢分成一些称为块的分配单元.类似于文件系统中一个磁盘分成簇一样.定义是将注册表快的大小为4096字节.

储巢总是按照块的粒度来增加新的数据的.就算不够4096个字节也是一个增加块.

这个是储巢的结构定义:

typedef struct _HBASE_BLOCK

  {

  ULONG Signature; /* 签名ASCII-"regf" = 0x66676572 (小端序)*/

  ULONG Sequence1;

  ULONG Sequence2;

  LARGE_INTEGER TimeStamp; /* 最后一次写操作的时间戳 */

  ULONG Major; /* 主版本号 */

  ULONG Minor; /* 次版本号 */

  ULONG Type;

  ULONG Format;

  ULONG RootCell; /* 第一个键记录的偏移 */

  ULONG Length; /* 数据块长度 */

  ULONG Cluster;

  UCHAR name[64]; /* 储巢文件名 */

  ULONG Reserved1[99];

  ULONG CheckSum; /* 校验和 */

  ULONG Reserved2[894];

  ULONG BootType;

  ULONG BootRecover;

} HBASE_BLOCK, *PHBASE_BLOCK;

 

Windows将一个储巢所存储的注册表数据组织在一种称为巢室的容器中.一个巢室可以容纳一个键,一个值,一个安全描述符,一列子键,在巢室数据开始处的一个域描述了该巢室数据的类型.当一个巢室加入到一储巢中,而且该储巢必须进行扩展才能包含该巢室的时候,系统创建一个称为巢箱的分配单元.一个巢箱式新巢室正好扩展到下一个块的边界的大小.系统将巢室尾部和巢箱的尾部之间的任何空间都看出是空闲的空间。可以在分配给其他的巢室,

下面是巢箱的数据结构。

  typedef struct _HBIN

  {

  ULONG Signature; /* 签名 ASCII-"hbin" = 0x6E696268 (小端序) */

  ULONG FileOffset; /* 本巢箱相对第一个巢箱起始的偏移 */

  ULONG Size; /* 本巢箱的大小 */

  ULONG Reserved1[2];

  LARGE_INTEGER TimeStamp;

  ULONG Spare;

  } HBIN, *PHBIN;

巢室的数据类型:

键巢室:typedef struct _CM_KEY_NODE

  {

  USHORT Signature; /*

最低0.47元/天 解锁文章
instruder
关注
专栏目录
HIVE注册表实现
大海的故乡
12-25 1483
功夫不负有心人,经过几天的努力,Hive注册表终于可以实现了。当用颤抖的手指点开菜单发现设置可以保存后,心中一阵狂喜。这段时间在网上也参考了不少别人的心得,自己成功了,不敢独享,特来与大家share一下!好了,废话说完了,下面说正事。先说下我对Hive注册表的浅显理解。Hive主要功能是实现注册表的掉电保存,它是如何实现的呢?首先把注册表分为两部分:boot.hv第一部分、system.h
注册表HIVE操作
06-25
hive操作注册表,比较底层,里面是详细的代码,欢迎大家下载
windows内核开发学习笔记四十四:注册表存储结构-储巢
jyl_sh的专栏
07-05 642
上一篇文章学习了注册表的逻辑结构,接下来我这篇文章来学习注册表的存储结构。注册表实际存储是由一组储巢构成,每个储巢包含了一个由键和值构成的层次结构。下面表是windows的各个储巢注册表路径和文件路径。一个系统的储巢列表存放在HKLM\SYSTEM\CurrentControlSet\Control\hivelist键下。当系统初始化时,HKLM\SYSTEM总是被先加载进来,然后配置管理器找到hivelist键,继续加载其他的储巢,并创建注册表的根键,将这些储巢连接起来,就建立起了完整的...
Hive安装与配置详解
weixin_30767921的博客
01-04 299
既然是详解,那么我们就不能只知道怎么安装hive了,下面从hive的基本说起,如果你了解了,那么请直接移步安装与配置 hive是什么 hive安装和配置 hive的测试 hive   这里简单说明一下,好对大家配置hive有点帮助。hive是建立在hadoop上的,当然,你如果只搭建hive也没用什么错。说简单一点,hadoop中的mapreduce调用如果面向DBA的时候,那么问题...
HIVE注册表恢复出厂设置
Carlward 的专栏
06-17 2112
转自:http://hi.baidu.com/ch%5Fff/blog/item/20bd70d90486473232fa1c1d.html  本文转载自http://chenyq2008.spaces.live.com/blog/Hive组件具有保存注册表功能。 就是使用了hive注册表修改后可以保存。 有时候也碰上想恢复注册表的情形。 我在调试一个没有lcd的设备,
C++解析windows注册表hive文件
07-08
而“Hive”是注册表的物理存储单元,主要有几个核心的Hive文件,如HKEY_LOCAL_MACHINE (HKLM) 和 HKEY_CURRENT_USER (HKCU)。本篇将探讨如何使用C++编程语言直接解析Windows注册表Hive文件,而不依赖于系统提供的...
出厂设置的恢复—HIVE注册表
01-19
Hive组件具有保存注册表功能,使用了hive注册表修改后可以保存。  相信大家对Windows系统的注册表(regiSTry)一定都不陌生了,我们可以用系统提供的注册表编辑器(regedit)来访问和修改注册表中的数据。在...
HIVE操作注册表.rar
09-18
"HIVE操作注册表.rar"这个压缩包可能包含了与在Hive环境中操作或管理Windows注册表相关的资料。注册表是Windows操作系统中的一个重要数据库,存储了系统和应用程序的配置信息。在Hive中操作注册表可能涉及到数据导入...
转:Windows注册表HIVE文件格式解析
tompaz的专栏
04-25 1967
<br />Windows注册表HIVE文件格式解析<br /> 文章作者:fahrenheit <br /> 引言 <br /><br />   相信大家对Windows系统的注册表(registry)一定都不陌生了,我们可以用系统提供的注册表编辑器(regedit)来访问和修改注册表中的数据。直观的讲,注册表呈现出来的是图1所示的形式,它由根键(rootkey)、子键(subkey)、键值(value)和数据(data)组成。数据之间有类型的分别,常见的有:REG_SZ、字符串型,REG_BINA
Windows注册表Hive文件格式解析
zacklin的专栏
06-21 2138
相信大家对Windows系统的注册表一定都不陌生了,我们可以用系统提供的注册表编辑器regedit来访问和修改注册表中的数据。它由根键 (rootkey)、子键(subkey)、键值(value)和数据 (data)组成。数据类型如下:        注册表相当于Windows系统中所有32位硬件/驱动和32位应用程序的数据文件,是一个系统信息的数据库。既然是数据文件,那在磁盘上就一定有
谈谈注册表项信息隐藏
大爷饭
06-30 1072
理论:注册表是Windows系统存储关于计算机配置信息的数据库,包括了系统运行时需要调用的运行方式的设置,是系统的核心。操作系统是用特殊的文件(Hive文件)来存储注册表的内容,并提供给用户相关的编程接口(APIs)来进行注册表的操作,例如Advapi32.dll中的Registry Functions(如:RegEnumKey)。在Windows操作系统中,函数的调用有着极其规范的层次结构,如下
Python之渗透测试笔记(三)——Scapy模块
weixin_44889655的博客
04-07 1389
Python之渗透测试笔记(二) Scapy模块 简介 scapy可以实现对网络数据包的发送、监听和解析等。 基本用法 在kali启动Scapy:scapy Scapy的基本操作 在Scapy中,每一个协议就是一个类,只需要实例化一个协议类,就可以创建一个该协议的数据包。 创建一个IP类型的数据包(IP数据包最重要的就是源地址和目标地址,这两个属性可以使用sec和dst来设置): &...
修改注册表实现HIVE
menglongcaiying的专栏
04-13 3250
基础知识:  Hive的机制就是把注册表放在磁盘里的保存,这样就可以做到掉电不丢失数据. 磁盘可以是SD卡或flash等设备. 但是这样我们会马上想到一个问题,加载这些磁盘的驱动也是要读注册表的,好像遇到了鸡生蛋,蛋生鸡的问题. 微软解决这个问题的方法是把注册表分为两部分,第一个叫做boot.hv注册表. 里面放加载保存到磁盘上那部分注册表之前要引导的一些设置,比如磁盘的驱动信息.  1.
ReactOS-Freeldr注册表HIVE文件格式
cradiator的专栏
06-14 1277
ReactOS的注册表信息存储在ReactOS/System32/CONFIG/SYSTEM文件中。注册表文件使用的一种特殊的格式——HIVEHIVE文件主要由BASE_BLOCK/BIN/CELL三部分组成的。BASE_BLOCK是文件头,大小为4KB,里面存储了整个文件的一些全局信息。BIN是以4KB对其的一段空间,里面管理了若干个CELL。CELL是一段用户自定义大小的空间,注册表的键
深入解析Windows操作系统(笔记4)
flukeshen的博客
01-06 530
  注册表是一个数据库,其结构类似于磁盘卷的结构。注册表6个根键中其实有3个根键是REG_LINK类型的符号链接。   HKEY_CURRENT_USER,包含当前本地登陆用户的参数和软件配置有关的数据,文件位于\Document and Setting\用户名\Ntuser.dat中。这是一个链接,指向HKEY_USERS下该用户的子键。   HKEY_USERS,为系统中每个加载的用户轮廓和用...
读取注册表hive文件
12-30 1423
今天看到一篇文章说读取hive文件,结构在windows7上试,发现不行。搞了半天才知道,人家分析的也不是system32\config下的原始 HIVE文件。至少在windows7下,hive额外年间是不可读的,居所内核独占。那如何过去hive文件。gg了下还真有,reg命令就有save功能把数据以二进制的格式打开,扩展名为.dat文件。reg save hklm\software ./softw
Windows CE嵌入式系统注册表研究与HIVE实现
实现HIVE注册表的方法包括创建、读取、更新和删除键值,这通常通过API函数完成,如RegCreateKey、RegSetValueEx等。 修改注册表是系统维护和软件配置的重要环节。文中详细介绍了如何成功修改Windows CE的注册表,这...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值