注册表的监控(一) (转)

最新推荐文章于 2024-05-30 00:20:27 发布
最新推荐文章于 2024-05-30 00:20:27 发布
阅读量140 收藏
点赞数
文章标签: 操作系统
注册表的监控(一) (转)[@more@]

 

CSDN上的好帖子比较多,但关于注册表 监控方面的似乎少见,于是兄弟便来
补缺了。

 一、windows9X 部分

  目前有关注册表监控的例子大多需要VTOOLSD的支持,在没有VTOOLSD的
情况下,编此类程序就需要一点汇编知识了,本文就没有使用VTOOLSD,本人也不太
喜欢使用它。

  监控注册表实际上就是拦截如下几个系统服务:(具体参数见DDK DOCUMENTS)。
Begin_Hook_table:
  RegOpenKey
  RegCloseKey
  RegCreateKey
  RegDeleteKey
  RegEnumKey
  RegEnumValue
  RegFlushKey
  RegQueryInfoKey
  RegQueryValue
  RegQueryValueEx
  RegSetValue
  RegSetValueEx
  RegRemapPreDefKey
  RegQueryMultipleValues
  RegCreateDynKey
End_Hook_table:

  微软编译器提供了一套接管VMM服务例程的标准, 例如接管RegOpenKey,:

1、首先声明准备接管函数HookRegOpenKey
BeginProc HookRegOpenKey, service, hook_proc, RealRegOpenKey, locked
  ArgVar hkey, Dword
  ArgVar lpszSubKey, DWORD
  ArgVar phkResult, DWORD

  EnterProc

  push dword ptr phkResult ;
  push dword ptr lpszSubKey ;
  push dword ptr hkey ;= invoke RealRegOpenKey,  hkey, lpszSubKey, phkResult
  call [RealRegOpenKey] ;
  ;;  add  esp, 12
 
  LeaveProc
  Return

EndProc HookRegOpenKey

2、用VMM服务Hook_Device_Service来联上我们的函数

  GetVxdServiceOrdinal eax, _RegOpenKey
  mov  esi, OFFSET32 HookRegOpenKey  ; points to the hook procedure to install
  VMMCall Hook_Device_Service
  jc  @F  ;;fail
  mov  RealRegOpenKey, esi  ;for safe
@@:

3、用VMM服务Unhook_Device_Service来卸载我们的函数
  getvxdserviceordinal eax, _RegOpenKey
  mov  esi, OFFSET32 HookRegOpenKey  ; points to the hook procedure to install
  VMMCall Unhook_Device_Service


一、工程文件
  与标准工程没有太多差别,采用C与汇编混合编程, DEF文件略;

#  Requires:
#  VC++ 5.0以上的编译器
#  98ddk
#  VXDWRAPS.CLB (from Beta-3 DDK or newer), 如不用sprintf之类的函数则不需。

DEVICE  = RegMon
OBJS  = devctl.obj regmon.obj hook.obj msg.obj

CVXDFLAGS = -Zdp -Gs -Zp -c -DIS_32 -Zl -DDEBLEVEL=1 -DDEbug
ASM  = ml
AFLAGS = -coff -dbLD_COFF -DIS_32 -nologo -W3 -Zd -c -Cx -DMASM6 -DINITLOG -DDEBLEVEL=1 -DDEBUG
ASMENV = ML

all: $(DEVICE).vxd

regmon.obj: regmon.c
  cl $(CVXDFLAGS) %s

.asm.obj:
  set $(ASMENV)=$(AFLAGS)
  $(ASM) -Fo$*.obj $<

$(DEVICE).sym: $(DEVICE).map
  mapsym -s $(DEVICE).map

$(DEVICE).map: $(DEVICE).vxd

$(DEVICE).vxd: $(OBJS)
  link @</VXD /NOD
/OUT:$(DEVICE).vxd
/MAP:$(DEVICE).map
$(OBJS) vxdwraps.clb

二、hook.asm, 由于较多,只列举几个:
BeginProc HookRegOpenKey, service, hook_proc, RealRegOpenKey, locked
  ArgVar hkey, DWORD
  ArgVar lpszSubKey, DWORD
  ArgVar phkResult, DWORD

  EnterProc
  push dword ptr phkResult
  push dword ptr lpszSubKey
  push dword ptr hkey
  call [RealRegOpenKey]

  LeaveProc
  Return

EndProc HookRegOpenKey

BeginProc HookRegCloseKey, service, hook_proc, RealRegCloseKey, locked
  ArgVar hKey, DWORD

  EnterProc
  push dword ptr hKey
  call [RealRegCloseKey]

  LeaveProc
  Return

EndProc HookRegCloseKey

BeginProc HookRegCreateKey, service, hook_proc, RealRegCreateKey, locked

  jmp [RealRegCreateKey]

EndProc HookRegCreateKey

BeginProc HookRegDeleteKey, service, hook_proc, RealRegDeleteKey, locked

  jmp [RealRegDeleteKey]

EndProc HookRegDeleteKey

 ........
 ........

starthook proc public C uses ebx ecx edx
  getvxdserviceordinal eax, _RegOpenKey
  mov  esi, OFFSET32 HookRegOpenKey  ; points to the hook procedure to install
  VMMCall Hook_Device_Service
  jc  @F  ;;fail
  mov  RealRegOpenKey, esi
@@:
  getvxdserviceordinal eax, _RegCloseKey
  mov  esi, OFFSET32 HookRegCloseKey  ; points to the hook procedure to install
  VMMCall Hook_Device_Service
  jc  @F  ;;fail
  mov  RealRegCloseKey, esi
@@:
  getvxdserviceordinal eax, _RegCreateKey
  mov  esi, OFFSET32 HookRegCreateKey  ; points to the hook procedure to install
  VMMCall Hook_Device_Service
  jc  @F  ;;fail
  mov  RealRegCreateKey, esi

 ..............
 ..............

@@:
  getvxdserviceordinal eax, _RegCreateDynKey
  mov  esi, OFFSET32 HookRegCreateDynKey  ; points to the hook procedure to install
  VMMCall Hook_Device_Service
  jc  @F
  mov  RealRegCreateDynKey, esi
@@:

 ret
starthook endp

stophook proc public C uses ebx ecx edx

  .if RealRegOpenKey != 0
  getvxdserviceordinal eax, _RegOpenKey
  mov  esi, OFFSET32 HookRegOpenKey  ; points to the hook procedure to install
  VMMCall Unhook_Device_Service
  .endif

  .if RealRegCloseKey != 0
  getvxdserviceordinal eax, _RegCloseKey
  mov  esi, OFFSET32 HookRegCloseKey  ; points to the hook procedure to install
  VMMCall Unhook_Device_Service
  .endif

 ...... 
 ......
  ret

stophook endp

三、regmon.c, 部分:

DWORD OnDeviceIoControl(PDIOCPARAMETERS p)
{
  DWORD retc=0;
 
  switch (p->dwIoControlCode)
  {
  case CMD_GET_VERSION: 
  {
  break;
  }
  case CMD_START_HOOK:
  {
  starthook();
  break;
  }
  case CMD_STOP_HOOK:
 {
  stophook();
  break;
 } 
  default:
  break;
  }
  return 0;
}

OnSysDynamicDeviceInit()
{
  return TRUE;
}

OnSysDynamicDeviceExit()
{
  stophook();
  return TRUE;
}

其它文件略。写文章较累,就不多加注释了,希望可以看的懂。
至于NT部分改天补上。


来自 “ ITPUB博客 ” ,链接:http://blog.itpub.net/10752043/viewspace-990025/,如需转载,请注明出处,否则将追究法律责任。

转载于:http://blog.itpub.net/10752043/viewspace-990025/

csd3176
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用Process Monitor工具监测进程对注册表和文件的操作(常用分析工具)
dvlinker的技术专栏
06-23 1万+
本文详细介绍了如何使用Process Monitor工具监测进程对注册表和文件的操作活动,并给出了对应的监测范例。
深入注册表监控
hongduilanjun的博客
11-01 1355
注册表是windows的重要数据库,存放了很多重要的信息以及一些应用的设置,对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了这个回调函数来实时监控注册表的操作,那么既然这里微软提供了这么一个方便的接口,病毒木马自然也会利用,这里我们就来探究其实现的原理和如何利用这个回调函数进行对抗。
注册表监控 -- WIN9X
weixin_34413065的博客
01-14 130
一、WINDOWS9X 部分         目前有关注册表监控的例子大多需要VTOOLSD的支持,在没有VTOOLSD的 情况下,编此类程序就需要一点汇编知识了,本文就没有使用VTOOLSD,本人也不太 喜欢使用它。         监控注册表实际上就是拦截如下几个系统服务:(具体参数见DDK DOCUMENTS)。 Begin_Hook_table:         RegOpen...
注册表监视的4种方式
最新发布
05-30 412
这个库的32位版本可以从微软官网上免费下载,而且有相关商业开发的限制,具体可以看微软的说明,64位版的,只能付费得到。优点:平台兼容性好,98以后的系统基本都适用,与RegSaveKey、RegRestoreKey进行关联使用,实现注册表指定项的恢复。此种方法的缺点:注册表事件的跟踪直到windows server 2008和vista版本才具有,在其他低版本中,这种方式不起作用。此种方法的缺点:可以直接获取的注册表改变信息少之又少,如果是要获取比如修改项、修改时间、修改方式等,要通过其他方式来获取。
注册表处理之注册表监控
Huaerge的专栏
05-30 3485
<br /> <br />需求:<br />     监控指定的注册表项包括其子项和键项的变化,当变化发生时根据策略进行处理(添加/删除/修改子项, 添加/删除/修改键值)<br />思路:<br />    1)程序启动,存储需要监控注册表项包括其子项和键项的值<br />    2)监控注册表,当变化发生时再次去取注册表项包括其子项和键项的值,将前后两次进行比较,找出不同,根据用户的策略进行处理<br />       知识点:<br />           监控注册表<br />        
注册表监控程序_注册表监控_behaviorkk9_Vc_
10-04
注册表监控程序是一种用于跟踪和记录系统注册表更改的实用工具。在Windows操作系统中,注册表是存储系统和应用程序设置的关键数据库。它包含了系统配置、软件安装信息、用户设置等重要数据。`SkMonitor`是这样一款...
易语言监控注册表
08-21
例如,可以创建一个单独的线程来执行注册表监控任务,以免影响主程序的运行。同时,应适当地处理可能出现的错误,如无法打开注册表项、权限不足等问题,避免程序因异常而崩溃。 至于压缩包内的文件...
监控注册表变化工具RegShot
01-08
总之,RegShot作为一款免费且强大的注册表监控工具,它在系统管理、软件测试、安全分析等方面都有广泛的应用。通过熟练掌握RegShot的使用,IT专业人士可以更有效地管理和维护他们的系统,提升工作效率。
注册表监控程序注册表监控程序
05-15
注册表监控程序是一种重要的系统工具,它通过跟踪和记录注册表中的变化来提供对计算机运行状态的深入洞察。注册表是Windows操作系统的核心组件,存储着系统配置、应用程序设置以及硬件设备信息等关键数据。监控...
如何监控注册表所做的修改
weixin_34362875的博客
01-13 929
服务器出现问题,最终检查出是注册表被修改造成?有什么方法可以对注册表进行监控呢?告诉大家一个很简单的方法——注册表审计功能: 1. 以管理员身份登陆计算机2. 运行gpedit.msc3. 在本地组策略编辑器中,找到计算机配置-〉Windows设定-〉安全设定-〉本地策略-〉审计策略,启用“审计对象存取”4. 在本地组策略编辑器中,找到计算机配置-〉Windows设定-〉安...
用API监控注册表的改变.注册表监控
03-30
用API监控注册表的改变.zip
C++监控注册表信息
MusicMan
02-28 1924
首先,监控注册表信息的作用在于防止他人篡改数据,因为多数木马程序都是通过修改注册表信息来对电脑进行攻击,在WindowsAPI中,系统提供了RegNotifyChangeKeyValue这个函数方法来实现对注册表相关信息的监控。 RegNotifyChangeKeyValue ( __in HKEY hKey, __in BOOL bWatchSubtree, __i...
ProcessMonitor实现进程文件和注册表监控
weixin_38526093的博客
05-14 7012
对于文件、网络等监控亦是如此,进程的启动和执行离不开对于文件的读写,,相信很多人都碰到DLL文件找不到但是却又不知道DLL放在哪个路径的问题,而这个工具能捕获进程的所有文件读写信息,正好解决了这种问题。一般我们监控指定进程可以使用processName和PID,以谷歌浏览器为例,它的进程名是chrome.exe,那么就可以根据 "processName is chrome.exe"来监控所有的chrome.exe进程了,因为chrome.exe一般是多进程模式,如果定位单个进程,那么就需要指定PID了。
监视注册表变化 - Registry Auditing
tiandyoin的专栏
01-05 3281
Registry Auditing 监视注册表变化 审核策略
CmRegisterCallback监控注册表框架
Cosmopolitan的博客
09-28 1602
首先用CmRegisterCallback注册注册表回调 记得在Unload函数里面释放注册的回调 RegNtPreDeleteKey: RegNtPreDeleteValueKey: 这里我只监控了上面两个动作 #include <ntddk.h> #define REGISTRY_POOL_TAG 'lxw' LARGE_INTEGER cookie; NTKERNELAPI...
regshot_如何使用Regshot监视注册表
culinxia2707的博客
09-14 1965
regshotRegshot is a great utility that you can use to compare the amount of registry entries that have been changed during an installation or a change in your system settings. While most PC users will...
【Procmon教程2】如何揪出篡改注册表的元凶?
sunriver2000的专栏
02-14 1675
windows系统 默认Web浏览器 经常被监控软件等第三方软件修改,作为windows系统运维存在获取篡改软件名称的需求 。本文介绍:如何使用Procmon监控特定注册表项抓取修改该注册表项进程名称。
深入解析微软Windows注册表
8. **第三方工具**:可能提及一些第三方实用程序,帮助管理和保护注册表,如注册表清理工具和监控工具。 9. **案例研究**:书中可能包含实例,演示如何解决实际问题,如修复损坏的系统设置,或者通过修改注册表优化...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值