爆料之注册表也LINK

最新推荐文章于 2018-12-26 10:30:21 发布
最新推荐文章于 2018-12-26 10:30:21 发布
阅读量1.5k 收藏
点赞数
分类专栏: windows底层核心編程 文章标签: attributes string object
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/iiprogram/article/details/3076036
版权

 NTFS有HARDLINK~ 注册表也有个REG_LINK类型

顾名思义,就是可以把一个真实存在的注册表映射成一个symbolic link类似的注册表~

实际过程是使用ZwCreateKey创建一个REG_OPTION_CREATE_LINK的注册表键,然后给其设置SymbolicLinkValue 键值,DATA即是要创建连接的注册表名,然后就能自动link上了,操作被LINK的注册表项同操作原注册表项实质上一样,系统的SAM ControlSet等映射都是通过这个实现的~

原理说了.下[面附上创建注册表Services键到注册表System/123的LINK的代码,能干什么就不用我说了吧~~

 

参考 软件regln

Copy code
    HMODULE hlib = LoadLibrary("ntdll.dll");
    PVOID p = GetProcAddress(hlib , "RtlInitUnicodeString");
    PVOID p2 = GetProcAddress(hlib , "ZwCreateKey");
    PVOID p3 = GetProcAddress(hlib , "ZwSetValueKey");
    WCHAR KeyName1[] = L"//Registry//Machine//System//123";
    LPCWSTR pKeyName1 = KeyName1 ;
    UNICODE_STRING KeyString ;
    OBJECT_ATTRIBUTES oba ;

    __asm
    {
        push pKeyName1
        lea eax , KeyString
        push eax
        call p
    }

    InitializeObjectAttributes(&oba , &KeyString , 0X40 , 0 ,0 );

    ULONG dispostion ;
    HANDLE linkhandle ;
    LONG stat ;


    __asm{
        lea eax , dispostion
        push eax

        push 3

        push 0

        push 0

        lea eax , oba

        push eax

        push 0x22

        lea eax , linkhandle

        push eax

        call p2
   
        mov stat ,eax
    }

    CHAR xxx[100];

    sprintf(xxx , "create stat = %08x/n" , stat);
    MessageBox(xxx , 0 , 0 );


    WCHAR KeyName2[] = L"//Registry//Machine//System//CurrentControlSet//Services";
    PVOID pdata = KeyName2 ;
    ULONG len = wcslen(KeyName2) * sizeof(WCHAR);
    WCHAR ValueName[]= L"SymbolicLinkValue";
    LPCWSTR pvaluename = ValueName ;
    UNICODE_STRING valuestring ;

    __asm
    {
        push pvaluename
        lea eax , valuestring
        push eax
        call p
    }
    __asm{
        push len
        push pdata
        push 6
        push 0
        lea eax , valuestring
        push eax

        push linkhandle
        call p3
        mov stat ,eax
    }
    sprintf(xxx , "setvalue stat = %08x/n" , stat);
    MessageBox(xxx , 0 , 0 );
iiprogram
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
利用REG_LINK绕过360等注册表监控
weixin_33849942的博客
02-15 875
利用REG_LINK绕过360等注册表监控 一.测试环境 鉴于XP和360的市场占有率,故本次测试所采用的操作系统为中文版Windows XP SP3(使用360安全卫士更新了所有补丁),360安全卫士 7.7(备用***库2011-03-21),360杀毒软件2.0.0.1330(病毒库日期2011-03-22 02:57),计算机处于联网状态,360安全卫士、3...
在右键创建硬链接
江州山农的记录
10-09 1426
/*<2016-10-09 14:03:32> 近期在看Win下文件链接,发现在硬链接挺好的,就是每次创建一个硬链接都要打开一个CMD打命令,太麻烦了。在网上也找了两个工具,一个是VoliCopyLink_1.0,可以在右键复制得到快捷方式的源文件,第二是HardlinkShellExt.dll,用来创建硬链接。前者问题是太麻烦,后者问题是用不了。受后者启发,硬链接就一条命令,...
符号链接 Symbolic Link.
11-05
绿色软件操作简单,建立目录的符号链接 (symbolic link)
创建软链接(symbolic link)
weixin_44153121的博客
12-26 6790
Linux ln命令是一个非常重要命令,它的功能是为某一个文件在另外一个位置建立一个同步的链接。类似windows下的快捷方式。 Linux文件系统中,有所谓的链接(link),我们可以将其视为档案的别名,而链接又可分为两种 : 硬链接(hard link)与软链接(symbolic link),硬链接的意思是一个档案可以有多个名称,而软链接的方式则是产生一个特殊的档案,该档案的内容是指向另一个档...
注册表之天下无敌chm格式
07-22
资源名称:注册表之天下无敌 chm格式内容简介: 注册表是Windows系统存储关于计算机配置信息的数据库,包括了系统运行时需要调用的运行方式的设置。但其烦琐的芝麻型结构导致我们”望表而退”。所以,在这里我们...
我教你学之注册表清理
09-16
注册表是Windows操作系统中的核心数据库,存储着系统和应用程序的各种配置信息。随着时间的推移,尤其是在频繁地安装、卸载软件或遭受恶意软件攻击后,注册表中可能会积累大量无用、冗余或损坏的条目,这可能导致...
老生常谈PHP面向对象之注册表模式
10-19
与请求级别的注册表类似,会话级别的注册表也是通过instance()方法实现单例模式,这样确保了整个会话过程中只有一个实例在运行。此类通过$_SESSION数组来保存和获取数据。 3. **应用程序级别注册表...
google浏览器注册表配置
最新发布
11-07
标题中的“google浏览器注册表配置”指的是在Windows操作系统中,通过修改注册表来实现Google浏览器的顺利安装或优化其运行环境。...然而,这也提醒用户要谨慎对待注册表操作,避免造成不必要的系统问题。
C#HTTP代理的实现之注册表实现
12-22
HTTP代理的实现形式,可以通过修改注册表项,然后启动浏览器来实现,也可以通过SOCKET通信,构造HTTP头实现。下面是关于注册表实现的方式。  注册表实现,只需要修改几个关键的注册表项可以了。  第一项:启用...
ZwQuerySymbolicLinkObject routine
死胖子的博客
02-06 1897
ZwQuerySymbolicLinkObject routine ZwQuerySymbolicLinkObject 返回包含符号链接目标的一个字符串。 Syntax C++ NTSTATUS ZwQuerySymbolicLinkObject( _In_ HANDLE LinkHandle, _Inout_ PUNICODE_STRING
NTFS之HARDLINK攻防
ljmwork的专栏
10-14 736
NTFS之HARDLINK攻防 引用: http://www.debugman.com/thread/2061/1/1 http://www.debugman.com/thread/2062/1/1 http://huaidan.org/archives/2398.html http://huaidan.org/archives/2399.html ----------
C/C++ Windows API——注册表
司马懿的西山居
10-19 2775
// RegDemo.cpp : 定义控制台应用程序的入口点。 //#include "stdafx.h" #include <locale.h> #include <Windows.h> //system()int main() { setlocale(LC_ALL, "chs"); LSTATUS errorCode; HKEY rootHKey = HKEY_CURREN
【Window内核驱动开发】——通过符号链接获取真实设备
zcr214的博客
11-28 4119
【我的】Window驱动开发——通过符号链接获取真实设备 作者:zcr214 时间:2016/5/5   我们想要把驱动绑定到指定的盘符,实际是绑定到它对应的真实设备卷,实际上windows用户看到的C盘D盘只是符号链接名,而真实设备通常是/Device/HarddiskVolume2,/Device/HarddiskVolume3等,符号链接名可以任意更改,但是真实设备卷却是不变的。而实际
【sysfs_create_link】创建内核连接
勿于浮沙筑高台
07-05 3437
转自:https://www.cnblogs.com/metootxy/archive/2013/06/03/3116027.html之前做传感器之类,因为注册的是input设备,所以其文件接口都是以/sys/class/input/input1(2...n);这样就有一个问题,因为input生成的序列式随机的,所以如果一个设备注册不成功,那么input的序列号将会被打乱,如果上层读的input接...
Windows驱动开发之注册表操作
enjoy5512的博客
07-06 5089
内核驱动开发之注册表操作
电脑高手之路:深入解析注册表
本文旨在帮助读者深入理解和掌握Windows系统中的注册表,无论是初学者还是已经具有一定技术背景的电脑高手,都将从中受益匪浅。首先,文章介绍了注册表的历史背景,自Windows 9x以来,注册表作为系统的核心组成部分...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值