旧闻:windows关于产品类型注册表写入的防止机制

最新推荐文章于 2021-11-28 20:51:38 发布
最新推荐文章于 2021-11-28 20:51:38 发布
阅读量867 收藏
点赞数
分类专栏: 内核研究 文章标签: 产品 windows 微软
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/shevacoming/article/details/7640349
版权

随便看看,这部分微软抹去了符号。

 

产品类型的注册表在SystemControl->ProductSuite->ProductOptions


1.系统初始化时已经读取了这个值,详见ROS。

CmControlVector是一系列要在系统初始化前期从hive中读取来的值,其中就有

 

{

       L"ProductOptions",

       L"ProductSuite",

       CmSuiteBuffer,

       &CmSuiteBufferLength,

       &CmSuiteBufferType

},

这个函数调用是

CmGetSystemControlValues(LoaderBlock->RegistryBase,CmControlVector);

 

2. ExInitSystemPhase0的时候会对CmSuiteBuffer进行判断



3.Nt启动时的ExInitSystemPhase2,就一个功能,就是调用ExpWatchProductTypeInitialization()

 

这个函数中初始化了一些需要保护的注册表信息

 

其中产品类型信息保存在了ProductSuiteKey和ExpProductTypeValueInfo中。

 

初始化了SharedUserData->SuiteMask



注册一个注册表修改通知


4.这个通知消息中

 

会尝试回写注册表,打不开注册表的话先报一个错误





尝试回会写注册表


Shevacoming
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
前端不为人知的一面:前端冷知识集锦
03-04
像console.log()可以向控制台输出图片等炫酷的玩意已经不是什么新闻了,像用||操作符给变量赋默认值也是人尽皆知的旧闻了,今天看到Quora上一个帖子,瞬间又GET了好多前端技能,一些属于技巧,一些则是闻所未闻的冷...
windows注册表文件关联机制
热门推荐
erikaIT的博客
05-11 1万+
windows通过注册表项来关联特殊后缀的文件以及启动他们的程序。有几个地方会有关联信息: 1、HKEY_LOCAL_MACHINE\Software\Classes:该注册表项包括适用所有用户的默认文件关联设置 2、HKEY_CURRENT_USER\Software\Classes:该注册表项包含只适用当前用户的文件关联设置(它会覆盖HKEY_LOCAL_MACHINE项中的设置) 3、
百家号 不被推荐,原因:将旧闻冒充新闻发布,请修改后重新发布
松门一枝花
11-28 3234
1.情景展示 在百家号进行创作的作者,发布文章时,难免会遇到审核不通过,下面说一下其中一种情况: 不被推荐,原因:将旧闻冒充新闻发布,请修改后重新发布. 2.解决方案 出现这种情况,原因:其它平台已存在该文章。 我的情况是这样的: 在今日头条进行的首发,然后迁移到了百家号上,结果就是审核不通过。 所以,为了避免这种情况的发生,我们只能在后续发文的时候,在百家号进行首发才行。 ...
旧闻微软Vista副帅跳槽Amazon
书 人 事
10-08 1744
注意:这是一则旧新闻了,但是我发现CSDN上居然没有,所以贴一下。据《西雅图时报(Seattle Times)》9月6日报道,效力微软19年的Windows核心操作系统部高级副总裁Brian Valentine宣布将跳槽Amazon公司。Valentine此前曾经负责包括Vista在内的三个Windows操作系统版本,直接向Jim Allchin报告,他以善于提升士气而著称。分析人士认为,Vale
李心传《旧闻证误》版本述略 (2013年)
05-28
南宋著名史学家李心传的《IB闻证误》自成书以后,经历多次刊刻,形成了多种版本。现根据历史文献记载及所见现存本,考辨其版本源流。
旧闻故事「Fake News to An Old Wives Tale」-crx插件
03-14
Fnaowt用“旧妻子故事”和“老妻子”代替“假新闻” 此扩展名将“假新闻”替换为“旧妻子的故事”,将“假消息”替换为“旧妻子的故事”。 由喜剧演员梅根·西蒙(Megan Simon)... 支持语言:English (United States)
律所首席创新官:目标、角色和漏洞-研究论文
06-09
对创新的需求是旧闻; 现在,客户更进一步——要求律师事务所在推介提案 (RFP) 中展示他们如何创新,或者他们将如何创新或创新。 即使是那些不使用“i-word”这个词的客户也会以其他形式要求它,包括要求更便宜、更...
dump x64 seh
Returns' Station
08-03 6772
自己认识x64 seh结构时的小工具,可能有bug #define UNW_FLAG_NHANDLER 0x0 #define UNW_FLAG_EHANDLER 0x1 #define UNW_FLAG_UHANDLER 0x2 #define UNW_FLAG_CHAININFO 0x4 typedef enum _UNWIND_OP_CODES { UWOP_PUSH_NON
围观网络之一 —— 初步看看应用层:Winsock & AFD
Returns' Station
05-11 5037
无聊看看网络驱动,资料来源于 NT4 ROS 毛德操 以及网络上搜到的乱七八糟。。。没玩过win7不涉及WFP.. 数据结构名称都来自NT4和DDK,流程主要参考NT4,只是围观一下设计思路,顺便记录点要点,与现在的xp版本肯定有不少细节上的出入~  ROS的网络部分只是实现到将就能用的程度,很多不健全,各种BUKOP,比如UDP丢包率很大。。 应用程序调用winsock函数实现于Msa
拦截LPC监控服务加载和启动
Returns' Station
06-06 4896
SSDT上hook NtSetSystemInformation NtLoadDriver,可以拦截应用层装载驱动的操作.如果怕不保险,还可以PsSetLoadImageNotifyRoutine或者hook NtCreateSection。但是常规通过服务API加载驱动时却不能找到加载驱动的源程序,PsGetCurrentProcess程序已经是services.exe了.
系统服务调用与异常分发
Returns' Station
05-18 4816
系统服务的调用过程 一、CPU的内部支持 1. int 0x2e 进入 iret返回 (中断门切换) ★.利用中断进入内核,0x2e对应的是KiSystemService ★.每个处理器有一个任务环境,初始化时系统会给CPU在GDT中构造TSS段,并且记录在KPCR中,其中记录着内核栈的地址。线程切换的时候会把处理器的TSS.ESP0 设置为当前的内核栈地址    所以r
patchguard v3
Returns' Station
07-26 4761
纯理论的看完了三篇PG的文章,还没看代码,还没入手调试.第三代是vista的版本 win7 sp1的PG肯定跟uniformed的文章不一样了。回头再研究了。反正到win7的时候貌似已经没有人写一大堆文档在内核里对抗pg了,直接给nt打patch了= = 对于x64也是刚接触没几天,资料也不是很系统,还需要进一步学习。 原文见http://uninformed.org
内存管理(3)用户空间内存管理&内存区对象
Returns' Station
05-13 3898
进程内存管理 MmCreateProcessAddressSpace 初始化进程的系统空间部分 1.先做一些检查,检查系统是否有足够的页面 2.申请四个物理页面分别用于:页目录,超空间页表,VAD位图,工作集链表 3.初始化EPROCESS中的一些结构_MMSUPPORT Vm.MinimumWorkingSetSize; DirectoryTableBase WorkingSet
X64的调用约定
Returns' Station
07-23 3652
接触x64之后继续看PG的文章,今天开始读msdn上有关x64的解释 http://msdn.microsoft.com/zh-cn/library/7kcdt6fy 调用约定简化了:一律使用__fastcall,前四个参数用 RCX、RDX、R8 和 R9传递,除了这四个外加RAX、R10、R11,其他寄存器都是非易失的。 比如下面这段NtCreateFile的代码:
patchGuard v2
Returns' Station
07-25 3255
算是对http://www.uninformed.org/?v=6&a=1&t=sumry 的一个中文摘要,理解还不一定全对 PG2一些改动: cmp cs:KdDebuggerNotPresent, r12b jnz short continue_initialization_1 infinite_loop_1: jmp short infinite_loop_1 s
windows内核访问控制机制
Returns' Station
06-27 3228
主要看了下面两部分:     1.进程对系统进行特权操作需要有一个权限(Privilege),所以进程有特权集表示进程拥有的权限,内核会在执行这些权限时检查进程是否有权执行此操作。      2.进程对于每个内核对象的操作权限不同,内核对象有一个访问控制列表(ACL)来标示某个用户启动的进程有如何的访问权。进程对对象执行操作时,会检查相应的权限是否符合。 一、SID:用来表示系统
内存管理(4)页面错误异常处理&物理内存管理&其他组件
Returns' Station
05-13 3151
这篇是Mm的最后一篇~18号po上来就一直设为私有状态,没时间修正... 忙得都是一些恶心事情,比如说恶心的物理实验。。就是在不知原理的情况下拿着些古怪的仪器去测出一堆即使自己瞎编也不会被发现的实现数据,然后老师签字,附带大篇幅手抄的预习报告和数据处理还有课后习题,一套流程下来需要10~15个小时,真装B啊~~~ 额,这学期开始的时候非常有兴趣将内核一些关键组件详细的研究一下,一直最搞

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值