C++监控注册表信息

最新推荐文章于 2023-05-16 17:41:05 发布
最新推荐文章于 2023-05-16 17:41:05 发布
阅读量1.9k 收藏 16
点赞数 3
分类专栏: C++
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Giser_D/article/details/104552606
版权
  • 首先,监控注册表信息的作用在于防止他人篡改数据,因为多数木马程序都是通过修改注册表信息来对电脑进行攻击,在WindowsAPI中,系统提供了RegNotifyChangeKeyValue这个函数方法来实现对注册表相关信息的监控。
RegNotifyChangeKeyValue (
    __in HKEY hKey,
    __in BOOL bWatchSubtree,
    __in DWORD dwNotifyFilter,
    __in_opt HANDLE hEvent,
    __in BOOL fAsynchronous
    );

的API各个参数的含义如下:

  • ·hKey:指的是注册表项,这个可以通过RegOpenKeyEx去获取注册表项的句柄
  • bWatchSubtree指的是是否监控子注册表项的内容 可选参数为true或false
  • dwNotifyFilter:指的是监控项的监控方式,可选的参数有:
#define REG_NOTIFY_CHANGE_NAME          (0x00000001L) //监控名称是否发生改变
#define REG_NOTIFY_CHANGE_ATTRIBUTES    (0x00000002L) //监控属性值是否改变
#define REG_NOTIFY_CHANGE_LAST_SET      (0x00000004L) // time stamp
#define REG_NOTIFY_CHANGE_SECURITY      (0x00000008L)
  • hEvent:指的是创建事件的句柄
  • fAsynchronous:False 表示监听到变化才返回,True:则是会立即返回,但是还会监听,本质上就是异步和同步的区别,然后可以通过监控事件hEvent的方式。这个参数一般情况下True即可
  • 实现步骤:
    1.创建事件
    2.打开注册表对应位置
    3.使用RegNotifyChangeKeyValue进行监控
  • 实现代码:
#include <Windows.h>
#include <iostream>
#include <string>

using namespace std;
bool RegeditNotifyChanged(HKEY hKey_,std::wstring path_)
{
	// 1.创建事件
	HANDLE hNotify = CreateEvent(NULL,FALSE,TRUE,L"RegeditNotifyChanged");
	if (hNotify == INVALID_HANDLE_VALUE)
	{
		cout << "监控事件创建失败" << endl;
		CloseHandle(hNotify);
		return false;
	}

	//2. 打开注册表对应位置
	HKEY hRegKey ;
	if (RegOpenKeyEx(hKey_,path_.c_str(),0,KEY_NOTIFY,&hRegKey)!=ERROR_SUCCESS)
	{
		cout << "打开注册表失败" << endl;
		CloseHandle(hNotify);
		RegCloseKey(hRegKey);
		return false;
	}

	//3.使用RegNotifyChangeKeyValue进行监控
	if (RegNotifyChangeKeyValue(hRegKey,TRUE,REG_NOTIFY_CHANGE_NAME|REG_NOTIFY_CHANGE_ATTRIBUTES|REG_NOTIFY_CHANGE_LAST_SET,hNotify,TRUE)!=ERROR_SUCCESS)
	{
		cout << "监控失败" << endl;
		CloseHandle(hNotify);
		RegCloseKey(hRegKey);
		return false;
	}

	if (WaitForSingleObject(hNotify,INFINITE)!=WAIT_FAILED)
	{
		cout << "监控项发生改变" << endl;
		CloseHandle(hNotify);
		RegCloseKey(hRegKey);
		return true;
	}
	CloseHandle(hNotify);
	RegCloseKey(hRegKey);
	return false;
}
Music 爱好者
关注
专栏目录
C++监控注册表源代码
06-25
标题中的"C++监控注册表源代码"涉及到的是使用C++编程语言来实现对Windows系统注册表监控功能。注册表Windows操作系统中的一个重要组件,存储了系统和应用程序的各种配置信息。通过监控注册表,开发者可以追踪...
RegNotifyChangeKeyValue函数---监听注册表
zxl_1996的博客
11-08 3683
RegNotifyChangeKeyValue( HKEY hKey, BOOL bWatchSubtree, DWORD dwNotifyFilter,HANDLE hEvent, BOOL fAsynchronous);   函数参数说明: hKey:监测的注册表项   bWatchSubtree:是否监测注册表项子项   dwNotifyFilter:通常有以下几种 REG_...
反病毒工具之注册表监视器(VC DLL源码)
热门推荐
chenhui530的专栏
02-02 1万+
核心HOOK API类,理论上可以HOOK 任何使用STDCALL声明的API函数// HookInfo.h: interface for the CHookInfo class.////////////////////////////////////////////////////////////////////////#if !defined(AFX_HOOKINFO_H__D44F1
ProcessMonitor实现进程文件和注册表监控
weixin_38526093的博客
05-14 7303
对于文件、网络等监控亦是如此,进程的启动和执行离不开对于文件的读写,,相信很多人都碰到DLL文件找不到但是却又不知道DLL放在哪个路径的问题,而这个工具能捕获进程的所有文件读写信息,正好解决了这种问题。一般我们监控指定进程可以使用processName和PID,以谷歌浏览器为例,它的进程名是chrome.exe,那么就可以根据 "processName is chrome.exe"来监控所有的chrome.exe进程了,因为chrome.exe一般是多进程模式,如果定位单个进程,那么就需要指定PID了。
RegNotifyChangeKeyValue 监听注册表
程序开发技术博客
10-12 2904
RegNotifyChangeKeyValue The RegNotifyChangeKeyValue function notifies the caller about changes to the attributes or contents of a specifi
通过注册表查看电脑是否安装Microsoft Visual C++
最新发布
chqaz123的博客
05-16 2902
可以看到左边的VC,redist.x86,x86,14.28,bundle中的“14”和“28”图2.1是对应的,不同版本,不同的VC++范围可能数值都不一样。WIN7这个系统安装了Microsoft Visual C++ 2015-2019这个运行时库。2.NSIS判断操作系统是x64位还是x86(32位)系统。左边是32位WIN7,右边是64位WIN10。
用API监控注册表的改变.注册表监控
03-30
在IT领域,尤其是在系统编程和软件开发中,监控注册表的改变是一项重要的任务。注册表Windows操作系统中的核心组件,存储着系统配置、应用程序设置等关键信息。通过API(Application Programming Interface)来...
VC HOOK注册表监控源码
10-27
通过监控注册表,可以获取到系统或应用程序的实时状态变化。这部分源码可能利用了Windows注册表API,如RegNotifyChangeKeyValue或ReadKey,来实时捕获读写操作。监控功能可能会包括记录更改的键值、时间戳、触发...
注册表监控程序_注册表监控_behaviorkk9_Vc_
10-04
总的来说,`SkMonitor`作为一个开源的注册表监控程序,为开发者提供了一个学习和实践注册表操作、行为分析和C++编程的宝贵资源。同时,对于IT专业人士来说,这样的工具也提供了更高级别的系统洞察和安全防护能力。
注册表监控程序注册表监控程序
05-15
监控注册表有助于理解系统内部动态,及时发现潜在的问题,如恶意软件活动、性能下降或配置错误。 在【描述】中提到,注册表监控程序可以用来实时监控本机的进程状况。这是因为许多系统操作,包括启动和关闭程序、...
监视注册表变化 - Registry Auditing
tiandyoin的专栏
01-05 3424
Registry Auditing 监视注册表变化 审核策略
注册表监视的4种方式
yupei881027的专栏
06-08 9450
注册表监视,总结说来,可行的方法有以下四种,有其他做法,欢迎指出: 1.使用RegNotifyChangeKeyValue 这个函数可以监视注册表某一项及其子项的变化(包括添加、删除、修改等)。 此种方法的缺点:可以直接获取的注册表改变信息少之又少,如果是要获取比如修改项、修改时间、修改方式等,要通过其他方式来获取。 优点:平台兼容性好,98以后的系统基本都适用,与RegS
使用RegNotifyChangeKeyValue监测注册表内容是否被修改,需要注意的事项
zjq9931的专栏
08-22 777
这两天需要做一项工作,监测自己程序的一些注册表项是否被修改。 先说一下电脑环境: 操作系统:win7 64位, 开发环境:VS2008 第一步:使用微软的例子,简单修改。 第二步:监测服务的注册表项是否被修改,程序有效。 第三步:监测ShellIconOverlayIdentifiers,相关注册表项,是否被修改,发现无效。 无法确定原因,不断的试验都无法监测到被修改。 后来尝试监测Wow643...
用Visual studio11在Windows8上开发驱动实现注册表监控和过滤
weixin_30432179的博客
10-24 115
Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”更加结实,更加难以打破。在Windows 95中,至少应用程序I/O操作是不受限制的,而在Windows NT中,我们的应用程序连这点权限都被剥夺了。在NT中几乎不太可能进入真正的ring0层。在Windows NT中,存在三种Device Driver: 1.“Virtual devi...
用RegNotifyChangeKeyValue函数监视注册表
-源码交流区
06-22 9611
上一编文章我们谈到了怎么样不让自己的进程被别个强行关闭掉,实现了进程不被强行关闭,但如果自己程序在注册表里面写的开机自己运行,别人就算不能强行结束自己的进程,但他可以从注册表里面把你程序写的东西删除,下一次开机时你的程序就不能运行,同样可以将软件从机子里面清除,今天我们来讲一下监视注册表的一种简单的方法. 我们先来看一下RegNotifyChangeKeyValue这个API函数.LONG W
VC++实现注册表监控
weixin_30546933的博客
10-24 191
//监视HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run项 #include <windows.h> //定义一个监视注册表启动项的函数 int reg() { HANDLE hNotify; HKEY hKeyx; //DWORD dwRes; hNotify = Cre...
c语言监视,c语言编程之监视注册表
weixin_42137022的博客
05-19 167
#include #include #define REG_ONE_KEY "SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"int main(){DWORD dwFilter = REG_NOTIFY_CHANGE_NAME | REG_NOTIFY_CHANGE_ATTRIBUTES | REG_NOTIFY_CHANGE_LAST_SET...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Music 爱好者

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值