谈谈注册表项信息隐藏

最新推荐文章于 2024-04-27 04:34:30 发布
最新推荐文章于 2024-04-27 04:34:30 发布
阅读量1k 收藏 1
点赞数
文章标签: 配置管理 windows descriptor security integer 存储
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/levellee/article/details/4311398
版权
本文深入探讨了Windows注册表的工作原理,包括hive文件结构、注册表隐藏技术及其常见实现方式。通过分析注册表的内存结构和数据存储,揭示了如何通过修改特殊指针hook来隐藏注册表项。此外,还介绍了配置管理器如何加载和管理hive文件,以及注册表数据在内存中的映射机制。最后,提到了关键结构如_HBASE_BLOCK和_CELL_DATA在隐藏技术中的作用。
摘要由CSDN通过智能技术生成

理论:
注册表是Windows系统存储关于计算机配置信息的数据库,包括了系统运行时需要调用的运行方式的设置,是系统的核心。操作系统是用特殊的文件(Hive文件)来存储注册表的内容,并提供给用户相关的编程接口(APIs)来进行注册表的操作,例如Advapi32.dll中的Registry Functions(如:RegEnumKey)。在Windows操作系统中,函数的调用有着极其规范的层次结构,如下图所示是系统实现RegEnumKey函数的调用体系。

正常情况下,函数调用返回的结果应该是操作系统提供的实际信息,但是随着间谍软件和Rootkit等恶意代码技术的发展,越来越多的恶意程序都具备了隐藏自身存在信息的功能,这其中最重要就是对注册表项信息的隐藏。注册表隐藏就是将系统呈现给用户的注册表信息进行修改,使得用户或检测工具无法直观地发现事实上存在的注册表内容。目前的注册表隐藏,大都采用的是Hook技术。根据它们不同的运行环境和模式,把常见的注册表隐藏技术称为用户态下注册表隐藏技术和核心态下注册表隐藏技术。它们通常是利用IAT Hook, Inline Hook、远程线程注入、SSDT Hook、中断调度表挂钩、IRP函数表挂钩、原始内核代码修改和特殊指针修改等方式来实现。网上比较多见的核心态隐藏技术是ssdt hook NtEnumerateKey 和inline hook CmEnumerateKey。然而这些方法已经很容易被防御体系发现。

本文是通过修改hive内存结构中的特殊指针hook实现注册表项的隐藏。关于hive文件结构,论坛中曾经有两人写过相关的文章,一篇是炉子大牛写的《HIVE格式解析》,另一篇是HSQ大牛写的《注册表监控弱点演示程序 v0.2 逆向ASM源码及相关资料》,另外,Petter Nordahl-Hagen写过一个hive文件存取库,我整理了下,也附在本篇文章之后,方便大家查阅。

相信看过网上这几篇的朋友一定还有些疑虑,到底注册表的工作原理是怎样的呢?我们今天通过一个驱动代码来揭开它神秘的面纱。

1. 在磁盘上,注册表并不是简单的一个大文件,而是一组称为hive的单独文件。每个hive文件包含了一颗注册表树。有一个键作为该树的根。子键和他们的值存储在根的下面。

当配置管理器(注册表的执行体子系统)加载hive的时候,会在HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/hivelist子键下的注册表值中记录下每个hive的路径。下面是本机注册表hivelist子键导出的信息:

 

[HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet/Control/hivelist]

"//REGISTRY//MACHINE//HARDWARE"=""

"//REGISTRY//MACHINE//SECURITY"="//Device//HarddiskVolume1//WINDOWS//system32//config//SECURITY"

"//REGISTRY//MACHINE//SOFTWARE"="//Device//HarddiskVolume1//WINDOWS//system32//config//SOFTWARE"

"//REGISTRY//MACHINE//SYSTEM"="//Device//HarddiskVolume1//WINDOWS//system32//config//SYSTEM"

"//REGISTRY//USER//.DEFAULT"="//Device//HarddiskVolume1//WINDOWS//system32//config//DEFAULT"

"//REGISTRY//MACHINE//SAM"="//Device//HarddiskVolume1//WINDOWS//system32//config//SAM"

"//REGISTRY//USER//S-1-5-20"="//Device//HarddiskVolume1//Documents and Settings//NetworkService//NTUSER.DAT"

"//REGISTRY//USER//S-1-5-20_Classes"="//Device//HarddiskVolume1//Documents and Settings//NetworkService//Local Settings//Application Data//Microsoft//Windows//UsrClass.dat"

"//REGISTRY//USER//S-1-5-19"="//Device//HarddiskVolume1//Documents and Settings//LocalService//NTUSER.DAT"

"//REGISTRY//USER//S-1-5-19_Classes"="//Device//HarddiskVolume1//Documents and Settings//LocalService//Local Settings//Application Data//Microsoft//Windows//UsrClass.dat"

"//REGISTRY//USER//S-1-5-21-1550111154-316279633-4274931122-1006"="//Device//HarddiskVolume1//Documents and Settings//Jason//NTUSER.DAT"

"//REGISTRY//USER//S-1-5-21-1550111154-316279633-4274931122-1006_Classes"="//Device//HarddiskVolume1//Documents and Settings//Jason//Local Settings//Application Data//Microsoft//Windows//UsrClass.dat"

最低0.47元/天 解锁文章
levellee
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
隐藏注册表键代码
04-16 1261
#include #define CM_KEY_INDEX_ROOT      0x6972         // ir#define CM_KEY_INDEX_LEAF      0x696c         // il#define CM_KEY_FAST_LEAF       0x666c         // fl#define CM_KEY_HASH_LEAF       0x686c 
一段隐藏注册表的代码
08-22 849
发一段隐藏注册表的驱动代码,可以过目前最新的IceSword1.22。以前驱动开发网悬赏挑战IceSword时的,不过最后没公开。那时流氓软件势头正劲,我可不想火上浇油。现在反流氓软件日渐成熟,也就没关系了。知道了原理,防御是非常容易的。原理很简单,实现的代码也很短,啥都不用说,各位直接看示例代码吧。#include #define GET_PTR(ptr, offset) (
显示隐藏文件——注册表
weixin_30471561的博客
07-02 251
工作中我们常常遇到文件被隐藏,也有可能是病毒所致,这里不再赘述病毒的种种,说明一下如何显示这些隐藏的文件: 1.打开文件夹选 详细设置如下: 2.打开注册表regedit 找到如下键值: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidde...
注册表隐藏
黑客CN博客
02-08 689
1. 使用系统工具:在Windows操作系统中,可以使用组策略编辑器(gpedit.msc)来隐藏注册表。打开组策略编辑器后,导航到“用户配置”>“管理模板”>“系统”,然后找到“阻止访问注册表编辑器”选,将其启用。2. 修改注册表权限:通过修改注册表的权限设置,可以限制用户对注册表的访问权限。- 单击“编辑”按钮,然后在“基本权限”中撤消“查看”权限。- 在“高级安全设置”窗口中,选择当前用户的权限。- 在“安全”选卡中,选择“高级”。- 右键单击该,选择“权限”。- 导航到需要隐藏的注册表
Windows注册表隐藏 实验
chenhuan20123的博客
01-16 1920
源代码下载地址:http://download.csdn.net/download/chenhuan20123/10208956 百度云:链接:https://pan.baidu.com/s/1ViZ4wvSPDr8HrFYgWrYTjg 密码:ksop 城通网盘:https://tc5.us/file/19714638-417238555 实验目的和要求: 使用驱动程序隐藏注...
也谈rootkit 注册表信息隐藏
06-24 1454
注册表Windows系统存储关于计算机配置信息的数据库,包括了系统运行时需要调用的运行方式的设置,是系统的核心。操作系统是用特殊的文件 (Hive文件)来存储注册表的内容,并提供给用户相关的编程接口(APIs)来进行注册表的操作,例如Advapi32.dll中的Registry Functions(如:RegEnumKey)。在Windows操作系统中,函数的调用有着极其规范的层次结构,如下图所
谈谈组策略在注册表中的位置--巨细讲解-大牛编程吧
大牛编程吧
10-15 1024
经常使用Windows的用户都知道组策略和注册表,这两个功能是我们经常使用的,而组策略修改的本质就是在修改注册表的键值。小编对此收集了一些组策略对应的注册表位置详解。为了方便进行Ctrl+F查找,这边就不分页了,有需要的朋友可以收藏起来,留着备用。 程序员编程入门圣地–大牛编程吧请添加链接描述 什么是组策略? 组策略(Group Policy)是Microsoft Windows系统管理员为用户和...
详解Windows 8的隐藏功能开启方法.docx
09-27
这些隐藏功能通常需要通过修改注册表或使用专门的辅助工具来开启。本文将详细介绍如何开启Windows 8的隐藏功能,特别是内置PDF阅读器、Ribbon UI界面和摄像头应用。 首先,我们来谈谈Windows 8内置的PDF阅读器。在...
信息安全概论(期末知识点复习)_信息安全8个安全目标与需求可存活性内容
最新发布
2401_84281712的博客
04-27 844
1)非授权可执行性2)隐蔽性3)传染性4)潜伏性5)表现性(破坏性)6)可触发性在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表,隐藏端口.zip
01-27
ring0驱动内核级的ROOTKIT实现隐藏文件,隐藏注册表,隐藏端口.zip
渗透技巧——”隐藏”注册表的创建
weixin_33704234的博客
12-19 591
2019独角兽企业重金招聘Python工程师标准>>> ...
通过注册表彻底隐藏文件
Uchiha Itachi 的专栏
05-06 1330
    通常隐藏的文件(夹)都可以通过“工具”》文件夹选中勾选显示隐藏文件(夹)和系统文件夹来显示出来,通过修改注册表HKEY_LOCAL_MACHINE/software/microsoft/windows/currentversion/explorer/advanced/folder/hiden/showall/下的CheckedValue的值,默认是1改为0即可,然后在回去,发现刚才
通过修改explorer.exe内存隐藏文件及注册表
晴天的专栏
12-09 2184
记录今天分析的一个隐藏自身及注册表的病毒。 1.概述: (1)此病毒文件为路径为:C:\Windows7\4D525EC1C14.exe,且注册了自启动: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run  [UU5DUD3ZUFYW3W5YYPBNVTTD]   C:\Windows7\4D525EC1C14
将应用配置信息注册表
一点点进步
08-31 1831
由于要实现每次打开应用程序,根据配置信息设置界面,之前将配置信息在文件中,但是由于是安装程序,在c盘中不好使,所以研究了下将配置信息保存到注册表中,每次从注册表中读取程序。 使用SetRegistryKey,GetProfileInt,WriteProfileInt,GetProfileString,WriteProfileString这五个函数将配置文件保存到注册表中。 1、在BOOL C
转:简单的隐藏注册表键值的驱动源码
创造神话,实现梦想!
12-21 2161
//简单的隐藏注册表键值的驱动,通过HOOK
隐藏任意进程,目录/文件,注册表,端口
goingup的专栏
04-15 1790
[转载]隐藏任意进程,目录/文件,注册表,端口Author : sinister Email   : sinister@whitecell.org HomePage: http://www.whitecell.org   查找进程,目录/文件,注册表等操作系统将最终调用 ZwQueryDirectoryFile,ZwQuerySystem
进程句柄
zhuhuibeishadiao
04-04 1588
时隔2个月 发现下面有部分理论是错的 句柄表是有三层 在WRK中已有明确定义 EPROCESS下有一个ObjectType保存的这个进程的句柄表 ObjectType的值为_HANDER_TABLE  这个结构中有一个TableCode成员  如果TableCode里的成员值最后三位不为0 则表示是多维数组,我们只需要第一层 第一层直接指向了Object_header 结构 得到的方
注册表位置_详解windows注册表分析取证
weixin_36023909的博客
01-16 1765
什么是注册表注册表是用于存储Windows系统用户,硬件和软件的存储配置信息的数据库。虽然注册表是为了配置系统而设计的,但它可以跟踪用户的活动,连接到系统的设备,什么时间什么软件被使用过等都将被记录在案。所有这些都可用于取证人员,分析溯源用户的恶意或非恶意行为。注册表的配置单元在注册表中,有根文件夹。这些根文件夹被称为蜂巢。 以下是5个注册表的配置单元:HKEY_USERS:包含所有加载...
谈谈数字医学技术与医学信息系统
06-02
数字医学技术和医学信息系统是医疗领域数字化转型的重要组成部分,它们可以提升医疗服务的质量和效率,促进医疗行业的发展。 数字医学技术包括但不限于以下几个方面: 1.医学影像处理技术:医学影像是医生进行疾病诊断和治疗的重要依据,医学影像处理技术可以对医学影像进行分析、识别和分类,辅助医生更快速、准确的做出诊断。 2.医学数据采集和管理技术:医学数据是医学研究和诊疗过程中的重要资源,医学数据采集和管理技术可以帮助医疗机构实现数据的实时采集、统计和管理,并为医生提供更好的决策支持。 3.医学人工智能技术:医学人工智能技术可以通过分析大量的医学数据,辅助医生进行疾病诊断和治疗,提高医疗服务的效率和准确性。 医学信息系统包括但不限于以下几个方面: 1.电子病历系统:电子病历系统可以将患者的病历信息电子化,实现患者病历信息的快速、准确、全面地记录和管理。 2.医药信息系统:医药信息系统可以统计和管理医疗机构中的药品信息,包括药品名称、规格、库存等信息,帮助医疗机构更好地管理药品信息。 3.医学影像信息系统:医学影像信息系统可以管理医学影像数据,并提供多种功能,例如影像存储、影像检索、影像分析等,帮助医生更好地进行疾病诊断和治疗。 数字医学技术和医学信息系统的发展面临以下几个挑战: 1.安全性和隐私保护:医疗数据涉及到大量的个人隐私信息,必须保证数据的安全和隐私保护。 2.标准化和互操作性:医学信息系统之间的互操作性和标准化是关键问题,需要建立统一的数据标准和接口协议,以便不同系统之间的数据交换和共享。 3.人才和培训:数字医学技术和医学信息系统需要相关领域的专业人才,因此需要加强培训和人才引进。 综上所述,数字医学技术和医学信息系统是医疗行业数字化转型的重要组成部分,它们可以提升医疗服务的质量和效率,但是也面临着一些挑战和问题,需要我们通过不断的研究和探索来解决。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值