一段注册表监控驱动代码

最新推荐文章于 2022-10-27 10:56:43 发布
最新推荐文章于 2022-10-27 10:56:43 发布
阅读量510 收藏
点赞数
文章标签: 操作系统
原文链接:http://www.cnblogs.com/xuyi5918/articles/2336048.html
版权
这是一个Windows内核驱动程序,用于监控注册表事件。代码定义了结构体和宏以处理不同版本信息,实现了注册表事件的捕获、存储和清理。主要函数包括设备创建、关闭、IOCTL处理和定时器回调,用于检查用户空间连接状态并清除过期事件。
摘要由CSDN通过智能技术生成

#define SUBVERSION_MASK     0x000000FF
//
// macros to extract various version fields from the NTDDI version
//
#define OSVER(Version) ((Version) &OSVERSION_MASK)
#define SPVER(Version) (((Version) &SPVERSION_MASK) >>8)
#define SUBVER(Version) (((Version) &SUBVERSION_MASK) )
//#define NTDDI_VERSION   NTDDI_WINXPSP2
#include <ntifs.h>
#include <wdm.h>
#include <ntstrsafe.h>
#define FILE_DEVICE_UNKNOWN 0x00000022
#define IOCTL_UNKNOWN_BASE FILE_DEVICE_UNKNOWN
#define IOCTL_CAPTURE_GET_REGEVENTS CTL_CODE(FILE_DEVICE_UNKNOWN, 0x803, METHOD_NEITHER,FILE_READ_DATA | FILE_WRITE_DATA)
#define USERSPACE_CONNECTION_TIMEOUT 10
#define REGISTRY_POOL_TAG 'pRE'
typedef unsigned int UINT;
typedef char * PCHAR;
typedef PVOID POBJECT;
/* Registry event */
typedef struct _REGISTRY_EVENT {
REG_NOTIFY_CLASS eventType;
TIME_FIELDS time;
HANDLE processId;
ULONG dataType;
ULONG dataLengthB;
ULONG registryPathLengthB;
/* Contains path and optionally data */
UCHAR registryData[];
} REGISTRY_EVENT, * PREGISTRY_EVENT;
/* Storage for registry event to be put into a linked list */
typedef struct _REGISTRY_EVENT_PACKET {
   LIST_ENTRY     Link;
PREGISTRY_EVENT pRegistryEvent;
} REGISTRY_EVENT_PACKET, * PREGISTRY_EVENT_PACKET;
/* Context stuff */
typedef struct _CAPTURE_REGISTRY_MANAGER
{
   PDEVICE_OBJECT deviceObject;
BOOLEAN bReady;
LARGE_INTEGER registryCallbackCookie;
LIST_ENTRY lQueuedRegistryEvents;
KTIMER connectionCheckerTimer;
KDPC connectionCheckerFunction;
KSPIN_LOCK lQueuedRegistryEventsSpinLock;
ULONG lastContactTime;
} CAPTURE_REGISTRY_MANAGER , *PCAPTURE_REGISTRY_MANAGER;
/* Methods */
NTSTATUS KDispatchIoctl(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);
NTSTATUS KDispatchCreateClose(IN PDEVICE_OBJECT DeviceObject, IN PIRP Irp);
VOID UnloadDriver(PDRIVER_OBJECT DriverObject);
NTSTATUS RegistryCallback(INPVOID CallbackContext, IN PVOID Argument1, IN PVOID Argument2);
//BOOLEAN GetRegistryObjectCompleteName(PREGISTRY_EVENT pRegistryEvent, PUNICODE_STRING pPartialObjectName, PVOID pRegistryObject);
//VOID QueueRegistryEvent(PREGISTRY_EVENT pRegistryEvent);
VOID UpdateLastContactTime();
ULONG GetCurrentTime();
NTSTATUS HandleIoctlGetRegEvents(IN PDEVICE_OBJECT DeviceObject, PIRP Irp,
    PIO_STACK_LOCATION pIoStackIrp, UINT *pdwDataWritten);
VOID ConnectionChecker(
   IN struct _KDPC *Dpc,
   IN PVOID DeferredContext,
   IN PVOID SystemArgument1,
   IN PVOID SystemArgument2
   );
/* Global values */
PDEVICE_OBJECT gpDeviceObject;
/* Main entry point into the driver, is called when the driver is loaded */
NTSTATUS DriverEntry(
IN PDRIVER_OBJECT DriverObject,
IN PUNICODE_STRING RegistryPath
)
{
   NTSTATUS status;
   UNICODE_STRING uszDriverString;
   UNICODE_STRING uszDeviceString;
LARGE_INTEGER registryEventsTimeout;
   PDEVICE_OBJECT pDeviceObject;
   PCAPTURE_REGISTRY_MANAGER pRegistryManager;
  
// Point uszDriverString at the driver name
   RtlInitUnicodeString(&uszDriverString, L"\\Device\\RegistryMonitor");
   // Create and initialize device object
status = IoCreateDevice(
DriverObject,
       sizeof(CAPTURE_REGISTRY_MANAGER),
       &uszDriverString,
       FILE_DEVICE_UNKNOWN,
       0,
       FALSE,
       &pDeviceObject
);
   if(!NT_SUCCESS(status))
{
DbgPrint("RegistryMonitor: ERROR IoCreateDevice -> \\Device\\RegistryMonitor - %08x\n", status);
      return status;
}
  
/* Set global device object to newly created object */
gpDeviceObject = pDeviceObject;
/* Get the registr manager from the extension of the device */
pRegistryManager = gpDeviceObject->DeviceExtension;
pRegistryManager->bReady = FALSE;
  
/* Point uszDeviceString at the device name */
   RtlInitUnicodeString(&uszDeviceString, L"\\DosDevices\\RegistryMonitor");
/* Create symbolic link to the user-visible name */
   status = IoCreateSymbolicLink(&uszDeviceString, &us

最低0.47元/天 解锁文章
bachazei1614
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用python+selenium谷歌浏览器驱动查排名
wei042的博客
10-11 1621
使用python+selenium+谷歌模拟器查看百度收录情况,SEO好帮手,大家用了都说好
windows内核情景分析---设备驱动
maomao171314的专栏
04-04 1807
设备驱动 设备栈:从上层到下层的顺序依次是:过滤设备、类设备、过滤设备、小端口设备【过、类、过滤、小端口】 驱动栈:因设备堆栈原因而建立起来的一种堆栈  老式驱动:指不提供AddDevice的驱动,又叫NT式驱动 Wdm驱动:指提供了AddDevice的驱动 驱动初始化:指IO管理器加载驱动后,调用驱动的DriverEntry、AddDevice函数 设备栈中上层设备与下层设备的绑定关
14.driverbase-字符串、文件、注册表相关函数
hgy413的专栏
02-07 1287
ANSI_STRING字符串和UNICOCE_STRING 用KdPrint表示分别%Z和%wZ表示 如: extern "C" NTSTATUS DriverEntry ( IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING pRegistryPath ) { NTSTATUS status; KdPrint(("E
想用就用,VB基础代码
Welcome to Toll's Blog
12-19 1619
作者:Cooly 出处:http://search.csdn.net/expert/topic/51/5101/2003/3/20/1555609.htm=======================================================一、如何使用ADODC控件绑定数据到DataGrid和DataList============================
用Visual studio11在Windows8上开发驱动实现注册表监控和过滤
lionzl的专栏
10-22 747
用Visual studio11在Windows8上开发驱动实现注册表监控和过滤 分类: Visual C++2010编程技术 VC++编程技术 Visual Studio2012 Windows82012-10-24 15:26 1738人阅读 评论(1) 收藏 举报 在Windows NT中,80386保护模式的“保护”比Windows 95中更坚固,这个“镀金的笼子”
MiniFilter进程运行监控
02-26
通过注册表监控,该程序可以跟踪并记录对注册表键值的修改,这对于排查问题或防止恶意软件更改关键系统设置非常有用。注册表是Windows存储系统配置信息的地方,包括软件设置、硬件配置等,因此对它的保护至关重要。 ...
系统注册表,进程启动,驱动加载,过主动防御源代
11-13
开发者可能会在`src`中找到关于系统注册表操作、进程管理、驱动加载以及主动防御实现的相关代码,而`bin`目录下的文件则是编译后的程序,可以直接运行在系统上。 总的来说,系统注册表、进程启动、驱动加载和主动...
STM32虚拟串口驱动.rar
11-13
在这个案例中,stmcdc.inf可能包含了关于STM32 CDC驱动的信息,包括设备描述、驱动版本、注册表设置和安装指令等。 2. "文件说明.txt":这个文件很可能是驱动安装或使用的详细说明,指导用户如何正确配置和使用STM32...
驱动器隐藏与禁用
03-26
- 第三方工具可能会提供更高级的功能,例如基于时间的禁用,允许在特定时间段内自动禁用某些驱动器。 3. **安全性考虑**: - 驱动器隐藏与禁用可以作为保护企业敏感数据的手段,防止员工误操作或故意泄露数据。 ...
C++监控注册表代码
06-25
C++监控注册表代码 包含,detours.lib(1.5版) 以及C#调用Dll的试验代码
注册表过滤驱动
05-28
注册表过滤驱动,回调监控注册表监控,界面输出控制台
某知名注册表监控软件源代码,牛逼.zip
12-27
某知名注册表监控软件源代码,牛逼.zip 包括:驱动代码,exe界面源代码 提到注册表监控软件,我能想到的只有一家,它家的其它windows监控类软件都是程序员的常用工具
DLL驱动内核注入源码
最新发布
03-22
驱动内核注入是一种高级的系统编程技术,常用于软件开发中的调试、监控或者恶意软件活动中。在Windows操作系统中,DLL(动态链接库)是程序共享功能的一种方式,而驱动则是操作系统核心层的程序模块,拥有更高的权限...
驱动开发:内核监控Register注册表回调
热门推荐
CSDN
10-27 1万+
中实现了对注册表的枚举,本章将实现对注册表监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监控函数,通过这两个函数可以在不劫持内核API的前提下实现对注册表增加,删除,创建等事件的有效监控注册表监视通常会通过。其中对于注册表最常用的监控项为以下几种类型,当然为了实现监控则我们必须要使用之前,如果使用之后则只能起到监视而无法做到监控的目的。需传入三个参数,参数一回调函数地址,参数二空余,参数三回调句柄,微软定义如下。,那么只有当注册表被创建才会拦截,此时就会变成拦截创建。
x64回调监控注册表
kernweak的博客
07-18 803
x86下可以使用hook技术,x64下使用回调监控。 主要函数CmRegisterCallback(RegistryCallback, NULL, &CmHandle); 原型 NTSTATUS CmRegisterCallback( PEX_CALLBACK_FUNCTION Function, PVOID Context, PLARG...
监控注册表
qq_41071646的博客
01-16 847
也是经过微软的函数 然后直接调用的  设置回调即可~~~~~~~~~~~~~ #include &lt;ntddk.h&gt; #include &lt;ntimage.h&gt; #include &lt;windef.h&gt; #include &lt;stdlib.h&gt; #include &lt;ntimage.h&gt; #define REGISTRY_POOL_TAG 'p...
注册表R0监控
zyorz的博客
05-17 633
函数//注册一个可监控注册表操作的函数 CmRegisterCallback(回调函数地址,NULL,&返回的handle);//或CmRegisterCallbackEx,可设置高度NTSTATUS MyRegistryCallback( __in PVOID CallbackContext, __in_opt PVOID Argument1,//标识操作类型 REG_NOTIFY_CLA
一段修改注册表数值的代码
05-31
这里提供一个修改注册表数值的示例代码,您可以根据需要进行修改和调整: ``` import winreg # 定义要修改的键值路径和名称 key_path = r'Software\Microsoft\Windows\CurrentVersion\Policies\System' key_name =...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值