利用CmRegisterCallback函数在Windows下保护注册表项

最新推荐文章于 2022-11-01 20:51:52 发布
最新推荐文章于 2022-11-01 20:51:52 发布
阅读量4.2k 收藏 1
点赞数
分类专栏: Windows驱动/内核 文章标签: windows hook 微软 产品 xp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/diveintokernel/article/details/6291468
版权

一般在Windows下保护注册表有以下几种方法:

 

1. Ring3 hook 

 实现简单。可利用微软的Detour库,第三方的mhook库,或者自己实现。

 但是如果是做产品的话不得不考虑兼容性的问题,纵使周知,大量的病毒、木马和恶意程序使用同样的方法来隐藏或者保护自身

 的注册表项和键值,基本上所有基于行为监控的安全类软件都会向用户报告此类程序为恶意程序。

2. Ring0 hook

 原理和Ring3 hook基本上一致,但是因为实现在内核层,不用插入动态链接库到每一个进程中,所以一般的安全类软件都不会

 提示用户。但是从VISTA64位开始,微软在64位系统的内核中加入了PatchGuard机制,来保护系统关键代码和位置不被修改

 和破坏。而需要hook的SSDT表就在PatchGuard的保护之下,虽然已经有办法绕过PatchGuard, 但是考虑到兼容性问题,

 不建议采用这种办法。

 有关绕过patchguard的文章,可参考

 http://www.codeproject.com/KB/vista-security/bypassing-patchguard.aspx

 

3. 利用CmRegisterCallback或者CmRegisterCallbackEx注册回调函数,推荐使用这种方法。支持XP以后的系统,同时支持

   32位和64位。

 

diveintokernel
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
隐藏注册表键代码
04-16 1245
#include #define CM_KEY_INDEX_ROOT      0x6972         // ir#define CM_KEY_INDEX_LEAF      0x696c         // il#define CM_KEY_FAST_LEAF       0x666c         // fl#define CM_KEY_HASH_LEAF       0x686c 
ntoskrnl.exe.c 导出函数 常用2000 个内核函数
05-14
//CmRegisterCallback 监控注册表 //CmRegisterCallbackEx 监控注册表 //PsRemoveCreateThreadNotifyRoutine //取消线程拦截 取消线程监控 //PsRemoveLoadImageNotifyRoutine //取消模块拦截 取消模块监控 //...
ntoskrnl ntoskrnl.exe Win2003系统文件
12-28
ntoskrnl ntoskrnl.exe Win2003系统文件
windows驱动 - 注册表回调
qq726232111的博客
12-27 886
0x00 函数 CmRegisterCallbackEx() //回调函数绑定 CmUnRegisterCallback() //注销注册表回调 NTSTATUS ExCallbackFunction(PVOID CallbackContext,PVOID Argument1,PVOID Argument2) //注册表回调,具体内容看文档 0x01 代码 #include <ntifs.h> #include <ntddk.h> #include <wdm...
注册表回调笔记
kernweak的博客
06-05 743
NTSTATUS CmRegisterCallbackEx( PEX_CALLBACK_FUNCTION Function,//回调函数 PCUNICODE_STRING Altitude,//高度 PVOID Driver, PVOID Context, PLARGE_INTEGER C...
windows 驱动开发基础(三) 注册表回调
pureman_mega的博客
02-19 892
参考工程路径:C:\WinDDK\7600.16385.1\src\general\registry\regfltr 关于 Transaction (事务),Enlistment(登记)对象的介绍https://docs.microsoft.com/zh-cn/windows-hardware/drivers/kernel/handling-rollback-operations 1.注册表回调使用 // // Register the callback // 函数原型 ...
精选_枚举并删除系统上CmRegisterCallback回调_源码打包
03-12
枚举并删除系统上CmRegisterCallback回调
枚举系统映像回调跟Phunt一样
05-29
枚举系统回调,进程回调,线程回调,关机回调,错误回调,映像回调,适用于win7-win10 x86-x64
window内核监控工具源代码
09-26
Ntfs网上删除这些操作的代码不多,就是sudami大大的利用ntfs-3g来实现的,看了下,太多了,充满了结构。然后自己对照着系统删除文件时目录的变化来自己实现的。只处理了$BITMAP对应的位清除,父目录的对应文件的索引...
内核回调函数
maomao171314的专栏
07-05 686
Kernel Callback Functions
windows xp 原版ntoskrnl.exe
01-20
windows xp原版的ntoskrnl.exe,提取他原版的开机图片替换到你的SERVER2003系统
Nt内核函数大全
10-07
windows内核下的NT函数,包括函数的原型,参数介绍,参数功能,内核开发参考工具。
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4514
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
WindowsCmRegisterCallback简单分析
操作系统内核与逆向工程
07-23 815
IDA看一下 进入Internal函数 signed __int64 __fastcall CmpRegisterCallbackInternal(__int64 Function, __int64 Context, const void **CmLegacyAltitude, char c_1, _QWORD *Cookie) { __int64 _Context; // rsi __int6...
Windows系统通用回调
做一个快乐学习者
06-29 2048
本文将针对Windows操作系统所提供系统回调操作做逐一分析,以了解每个回调所能达成什么样的功能及效果。比如部分回调只是用于通知,我们只能通过此回调来了解某一类型事件的发生,只能做审计,拦截动作需要通过其它途径实现;也有回调可以实现即时拦截,通过回调即可阻止恶意程序的攻击企图。 Windows系统在内核及应用层均有提供回调机制,下面分为两部分作介绍: 1 内核回调 内核回调机制 OS版本 功能描述 备注 PsSetCreateProcessNotifyRoutine
驱动开发:内核监控Register注册表回调
热门推荐
CSDN
10-27 1万+
中实现了对注册表的枚举,本章将实现对注册表的监控,不同于32位系统在64位系统中,微软为我们提供了两个针对注册表的专用内核监控函数,通过这两个函数可以在不劫持内核API的前提下实现对注册表增加,删除,创建等事件的有效监控,注册表监视通常会通过。其中对于注册表最常用的监控为以下几种类型,当然为了实现监控则我们必须要使用之前,如果使用之后则只能起到监视而无法做到监控的目的。需传入三个参数,参数一回调函数地址,参数二空余,参数三回调句柄,微软定义如下。,那么只有当注册表被创建才会拦截,此时就会变成拦截创建。
深入注册表监控
最新发布
hongduilanjun的博客
11-01 1300
注册表windows的重要数据库,存放了很多重要的信息以及一些应用的设置,对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了这个回调函数来实时监控注册表的操作,那么既然这里微软提供了这么一个方便的接口,病毒木马自然也会利用,这里我们就来探究其实现的原理和如何利用这个回调函数进行对抗。
x64回调监控注册表
kernweak的博客
07-18 786
x86下可以使用hook技术,x64下使用回调监控。 主要函数CmRegisterCallback(RegistryCallback, NULL, &CmHandle); 原型 NTSTATUS CmRegisterCallback( PEX_CALLBACK_FUNCTION Function, PVOID Context, PLARG...
注册表回调整体框架
zhuhuibeishadiao
04-26 1970
注册表回调整体框架 这个就不多说了,想详细了解的可以自行百度,网上有很多相关内容 NTSTATUS DriverEntry(IN PDRIVER_OBJECT DriverObject, IN PUNICODE_STRING RegistryPath) { NTSTATUS ntStatus; ntStatus = CmRegisterCallback(MyRegistryCallbac
CmRegisterCallback监控注册表框架
Cosmopolitan的博客
09-28 1564
首先用CmRegisterCallback注册注册表回调 记得在Unload函数里面释放注册的回调 RegNtPreDeleteKey: RegNtPreDeleteValueKey: 这里我只监控了上面两个动作 #include <ntddk.h> #define REGISTRY_POOL_TAG 'lxw' LARGE_INTEGER cookie; NTKERNELAPI...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值