深入注册表监控

最新推荐文章于 2024-05-30 00:20:27 发布
最新推荐文章于 2024-05-30 00:20:27 发布
阅读量1.3k 收藏 3
点赞数
文章标签: microsoft windows c# 开发语言 系统安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hongduilanjun/article/details/127641197
版权

前言

注册表是windows的重要数据库,存放了很多重要的信息以及一些应用的设置,对注册表进行监控并防止篡改是十分有必要的。在64位系统下微软提供了CmRegisterCallback这个回调函数来实时监控注册表的操作,那么既然这里微软提供了这么一个方便的接口,病毒木马自然也会利用,这里我们就来探究其实现的原理和如何利用这个回调函数进行对抗

CmRegisterCallback

要想更好的进行对抗,就是深入底层去看这个函数到底做了什么事情,无论是监控还是反监控,这样我们才能够更好的进行利用

首先我们去msdn里面看一下它的结构

NTSTATUS CmRegisterCallback(
  [in]           PEX_CALLBACK_FUNCTION Function,
  [in, optional] PVOID                 Context,
  [out]          PLARGE_INTEGER        Cookie
);

image-20220501100957527.png

第一个参数指向RegistryCallback,它这里其实是通过EX_CALLBACK_FUNCTION这个回调函数实现,结构如下

EX_CALLBACK_FUNCTION ExCallbackFunction;

NTSTATUS ExCallbackFunction(
  [in]           PVOID CallbackContext,
  [in, optional] PVOID Argument1,
  [in, optional] PVOID Argument2
)
{...}

image-20220501101203532.png

主要是看第三个参数,REG_NOTIFY_CLASS结构如下

typedef enum _REG_NOTIFY_CLASS {
    RegNtDeleteKey,
    RegNtPreDeleteKey = RegNtDeleteKey,
    RegNtSetValueKey,
    RegNtPreSetValueKey = RegNtSetValueKey,
    RegNtDeleteValueKey,
    RegNtPreDeleteValueKey = RegNtDeleteValueKey,
    RegNtSetInformationKey,
    RegNtPreSetInformationKey = RegNtSetInformationKey,
    RegNtRenameKey,
    RegNtPreRenameKey = RegNtRenameKey,
    RegNtEnumerateKey,
    RegNtPreEnumerateKey = RegNtEnumerateKey,
    RegNtEnumerateValueKey,
    RegNtPreEnumerateValueKey = RegNtEnumerateValueKey,
    RegNtQueryKey,
    RegNtPreQueryKey = RegNtQueryKey,
    RegNtQueryValueKey,
    RegNtPreQueryValueKey = RegNtQueryValueKey,
    RegNtQueryMultipleValueKey,
    RegNtPreQueryMultipleValueKey = RegNtQueryMultipleValueKey,
    RegNtPreCreateKey,
    RegNtPostCreateKey,
    RegNtPreOpenKey,
    RegNtPostOpenKey,
    RegNtKeyHandleClose,
    RegNtPreKeyHandleClose = RegNtKeyHandleClose,
    //
    // .Net only
    //    
    RegNtPostDeleteKey,
    RegNtPostSetValueKey,
    RegNtPostDeleteValueKey,
    RegNtPostSetInformationKey,
    RegNtPostRenameKey,
    RegNtPostEnumerateKey,
    RegNtPostEnumerateValueKey,
    RegNtPostQueryKey,
    RegNtPostQueryValueKey,
    RegNtPostQueryMultipleValueKey,
    RegNtPostKeyHandleClose,
    RegNtPreCreateKeyEx,
    RegNtPostCreateKeyEx,
    RegNtPreOpenKeyEx,
    RegNtPostOpenKeyEx,
    //

    //
    RegNtPreFlushKey,
    RegNtPostFlushKey,
    RegNtPreLoadKey,
    RegNtPostLoadKey,
    RegNtPreUnLoadKey,
    RegNtPostUnLoadKey,
    RegNtPreQueryKeySecurity,
    RegNtPostQueryKeySecurity,
    RegNtPreSetKeySecurity,
    RegNtPostSetKeySecurity,
    //
    // per-object context cleanup
    //
    RegNtCallbackObjectContextCleanup,
    //
    // new in Vista SP2 
    //
    RegNtPreRestoreKey,
    RegNtPostRestoreKey,
    RegNtPreSaveKey,
    RegNtPostSaveKey,
    RegNtPreReplaceKey,
    RegNtPostReplaceKey,

    MaxRegNtNotifyClass //should always be the last enum
} REG_NOTIFY_CLASS;

这里有几个比较常见的类型

  • • RegNtPreCreateKey 创建注册表 对应的Argument2PREG_CREATE_KEY_INFORMATION

  • • RegNtPreOpenKey 打开注册表 对应的Argument2PREG_CREATE_KEY_INFORMATION

  • • RegNtPreDeleteKey 删除键 对应的Argument2PREG_DELETE_KEY_INFORMATION

  • • RegNtPreDeleteValueKey 删除键值 对应的Argument2PREG_DELETE_VALUE_KEY_INFORMATION

  • • RegNtPreSetValueKey 修改键值 对应的Argument2PREG_SET_VALUE_KEY_INFORMATION

这里RegNtPreCreateKeyRegNtPreOpenKeyArgument2都是使用到PREG_CREATE_KEY_INFORMATION这个结构体,我们看下结构

其中两个关键的参数就是CompleteName表示指向路径的指针,以及RootObject表示指向注册表项的指针

typedef struct _REG_CREATE_KEY_INFORMATION {
    PUNICODE_STRING     CompleteName; // IN
    PVOID               RootObject;   // IN
    PVOID               ObjectType;   
    ULONG               CreateOptions;
    PUNICODE_
最低0.47元/天 解锁文章
红队蓝军
关注
  • 0
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
如何才能监控查看出注册表更改情况,本地组策略设置更改了哪些注册表对应值?
玩人工智能的辣条哥的博客
03-02 3602
Win11 专业版HP480G7。
语言监控注册表
08-21
如果能够查看并理解这份代码,将有助于深入学习易语言注册表监控的技术细节。代码中可能包括了如何打开注册表、设置监控、处理事件以及与用户界面交互的相关逻辑。 总的来说,“易语言监控注册表”涉及的知识点...
ProcessMonitor实现进程文件和注册表监控
weixin_38526093的博客
05-14 6671
对于文件、网络等监控亦是如此,进程的启动和执行离不开对于文件的读写,,相信很多人都碰到DLL文件找不到但是却又不知道DLL放在哪个路径的问题,而这个工具能捕获进程的所有文件读写信息,正好解决了这种问题。一般我们监控指定进程可以使用processName和PID,以谷歌浏览器为例,它的进程名是chrome.exe,那么就可以根据 "processName is chrome.exe"来监控所有的chrome.exe进程了,因为chrome.exe一般是多进程模式,如果定位单个进程,那么就需要指定PID了。
注册表监视的4种方式
最新发布
05-30 289
这个库的32位版本可以从微软官网上免费下载,而且有相关商业开发的限制,具体可以看微软的说明,64位版的,只能付费得到。优点:平台兼容性好,98以后的系统基本都适用,与RegSaveKey、RegRestoreKey进行关联使用,实现注册表指定项的恢复。此种方法的缺点:注册表事件的跟踪直到windows server 2008和vista版本才具有,在其他低版本中,这种方式不起作用。此种方法的缺点:可以直接获取的注册表改变信息少之又少,如果是要获取比如修改项、修改时间、修改方式等,要通过其他方式来获取。
注册表处理之注册表监控
Huaerge的专栏
05-30 3464
<br /> <br />需求:<br />     监控指定的注册表项包括其子项和键项的变化,当变化发生时根据策略进行处理(添加/删除/修改子项, 添加/删除/修改键值)<br />思路:<br />    1)程序启动,存储需要监控注册表项包括其子项和键项的值<br />    2)监控注册表,当变化发生时再次去取注册表项包括其子项和键项的值,将前后两次进行比较,找出不同,根据用户的策略进行处理<br />       知识点:<br />           监控注册表<br />        
8.3 使用注册表
qq_36314864的博客
07-12 551
8.3 使用注册表
读取注册表监控当前操作系统已安装的软件变化
wang4978的专栏
09-23 2782
      项目需要做一个软件安装卸载记录。找了好久的资料才找到用读取注册表的方法来监控。但对于不写注册表的绿色软件,还不知道如何进行监控。对于绿色软件,据说可以用钩子程序进行监控。可是对C++已经遗忘了......            解决方案:使用Timer控件,每个10s,读取一边注册表,将当前系统中已安装的程序记录一下。然后前后比较记录,如果记录增加了,则是安装了新软件。如记录减
注册表监控程序_注册表监控_behaviorkk9_Vc_
10-04
`SkMonitor`的源代码公开,这意味着开发者和IT专业人员可以深入研究其内部机制,学习如何实现注册表监控功能。源代码基于C++编程语言,这是一种广泛使用的、面向对象的编程语言,特别适合开发高性能的应用程序。通过...
c#注册表监控
03-31
本文将深入探讨如何使用C#进行注册表监控,以便在注册表发生更改时,能够及时获取到相关信息并作出响应。 注册表Windows操作系统的核心组件,存储了系统和应用程序的各种配置数据。对注册表监控可以帮助开发者...
注册表监控程序注册表监控程序
05-15
注册表监控程序是一种重要的系统工具,它通过跟踪和记录注册表中的变化来提供对计算机运行状态的深入洞察。注册表Windows操作系统的核心组件,存储着系统配置、应用程序设置以及硬件设备信息等关键数据。监控...
实现注册表监控的软件
08-21
压缩包打包了目前常用的注册表监控类软件,如Regmon_fix7.03、regsnap7.0、regshot(包含源代码),能实时监控任意进程对注册表的任意操作,也能制作注册表的多次快照实现对比,能方便大家进行程序调试或软件行为跟踪、分析。个人感觉前两种好用一些,希望能对大家有所帮助。
注册表监视和文件监视工具
11-22
注册表监视和文件监视工具Filemon.exe+Regmon.exe
监视所有程序对注册表的读写
02-23
如果你想要查看别人的软件对你的注册表进行了什么操作或者想看像超级兔子优化大师等的某些功能,(它来自于注册表某项)比如说禁止Ctrl+Alt+Del 键等,它个软件就会全部记录下来,吐血推荐!!!!!!!!!!!!!!!!!!!!
[系统安全] 三十五.Procmon工具基本用法及文件进程、注册表查看
神棍之路
12-07 2376
该系列文章将系统整理和深入学习系统安全、逆向分析和恶意代码检测,文章会更加聚焦,更加系统,更加深入,也是作者的慢慢成长史。漫漫长征路,偏向虎山行。享受过程,一起加油~前文尝试了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进行溯源,但也存在局限性。本文将分享Procmon软件基本用法及文件进程、注册表查看,这是一款微软推荐的系统监视工具,功能非常强大可用来检测恶意软件。基础性文章,希望对您有所帮助~作者作为网络安全的小白,分享一些自学基础教程给大家,主要是关于安全工具和实践操作的在
x64回调监控注册表
kernweak的博客
07-18 801
x86下可以使用hook技术,x64下使用回调监控。 主要函数CmRegisterCallback(RegistryCallback, NULL, &CmHandle); 原型 NTSTATUS CmRegisterCallback( PEX_CALLBACK_FUNCTION Function, PVOID Context, PLARG...
注册表监控 -- WIN9X
weixin_34413065的博客
01-14 129
一、WINDOWS9X 部分         目前有关注册表监控的例子大多需要VTOOLSD的支持,在没有VTOOLSD的 情况下,编此类程序就需要一点汇编知识了,本文就没有使用VTOOLSD,本人也不太 喜欢使用它。         监控注册表实际上就是拦截如下几个系统服务:(具体参数见DDK DOCUMENTS)。 Begin_Hook_table:         RegOpen...
RegistryCallback routine(CmRegisterCallback 注册表操作监控介绍)
whatday的专栏
09-22 4541
RegistryCallback routine 过滤器驱动程序的常规RegistryCallback可以监视,阻止或修改一个注册表操作。 句法 C ++ EX_CALLBACK_FUNCTION RegistryCallback; NTSTATUS RegistryCallback( 标签:APIWinHTTP PVO
49.Procmon软件基本用法及文件进程、注册表查看1
08-03
Procmon是一款强大的工具,尤其在网络安全领域,它的深度监控能力使得用户能够深入理解系统的运作,并及时发现潜在的安全问题。通过学习和实践Procmon的使用,不仅可以提升自我保护能力,也为进一步探索网络安全...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值