浅析HIVE法过注册表监控

最新推荐文章于 2024-07-14 20:27:57 发布
最新推荐文章于 2024-07-14 20:27:57 发布
阅读量536 收藏
点赞数
分类专栏: 编程相关 文章标签: token null query

 HIVE法过注册表监控很早就已经出现了   首先提出的是EST的xyzreg  下面我就和各位分享一下我对HIVE法的一些认识
  现在注册表监控大多是挂RegSetValueEx这个函数,在攻击 者修改某些特定键值的时候拦截,那我们就想办法使用其他的注册表操作函数达到同样的效果,HIVE法目前对于绝大部分注册表监控都是能突破的,因为总是有在规则外的键。
  操作Hive法要用的核心函数分别是RegSaveKey,RegRestoreKey,RegLoadKey这三个。作用用法大家可以自己去MSDN上查。我就不累赘了。
  在使用这些函数前首先要提权,提权的函数是个模板,如下:

i nt enable_privilege(char *priv_name)
{
  DWORD res=0;
  HANDLE tok;
  LUID luid;
  TOKEN_PRIVILEGES privs;

  if (!OpenProcessToken(GetCurrentProcess(),TOKEN_ADJUST_PRIVILEGES | TOKEN_QUERY,&tok)) return 0;
  if (LookupPrivilegeValue(NULL,priv_name,&luid))
  {
    privs.PrivilegeCount=1;
    privs.Privileges[0].Luid=luid;
    privs.Privileges[0].Attributes=SE_PRIVILEGE_ENABLED;
    DWORD ret_len;
    res=AdjustTokenPrivileges(tok,0,&privs,sizeof(TOKEN_PRIVILEGES),NULL,&ret_len);
    CloseHandle(tok);
  }
  return res;
}

int enable_backup_privilege(void)        //RegSaveKey的权限
{
  return enable_privilege(SE_BACKUP_NAME);
}

int enable_restore_privilege(void)        //RegRestoreKey的权限
{
  return enable_privilege(SE_RESTORE_NAME);
}

 

machack
关注
专栏目录
注册表文件读写,解析HIVE文件方式
04-02
注册表文件读写,解析HIVE文件方式 NT Registry Hive access library, constants & structures 以直接读写注册表所属文件方式读写注册表,可以避开注册表监控软件. 支持系统:win2ksp4,winxp sp2, winxp sp3
恶意样本分析手册——API函数篇
zzkk_的博客
09-04 1386
文件类、网络类、注册表与服务类、进程线程类、注入类、驱动类、加密与解密、消息传递等各种类别恶意样本分析。 文件类 kernel32!CreateFile 功能:这是一个多功能的函数,可打开或创建以下对象,并返回可访问的句柄:控制台,通信资源,目录(只读打开),磁盘驱动器,文件,邮槽,管道 函数原型: HANDLE WINAPI CreateFile( _In_ LP
备份注册表新方法
mr_vc_bccd的专栏
09-11 636
<br />在windows api函数中有几个是用来备份和还原注册表的:<br /> <br />RegLoadKey 读取文件中的信息<br />RegReplaceKey 用新的注册表信息更新注册表项<br />RegRestoreKey 从文件中恢复注册表项或子项信息<br />RegSaveKey 保存注册表项或子项中的信息<br /><br />笔者今天对RegSaveKey函数研究了一下,果然可以将注册表中的数据保存到文件中。<br />嘻嘻,下面是主要的代码<br />static HAND
CDH6.3.1监控界面Hive修改参数
象在舞的技术专栏
04-25 3289
草稿
Hive SQL运行状态监控HiveSQLMonitor)
遥望......
10-05 7208
引言   目前数据平台使用Hadoop构建,为了方便数据分析师的工作,使用Hive对Hadoop MapReduce任务进行封装,我们面对的不再是一个个的MR任务,而是一条条的SQL语句。数据平台内部通过类似JDBC的接口与HiveServer进行交互,仅仅能够感知到一条SQL的开始与结束,而中间的这个过程通常是漫长的(两个因素:数据量、SQL复杂度),某些场景下用户需要了解这条SQL语句的执...
Hive科学技术法转换
xiaoleilei666的博客
12-01 3872
一、需求描述 今日下午在对hive库表进行数值统计,发生一件很有意思的一件事,统计求和的结果出现科学技术法。 出现的原因待核查,因为主要是我的字段设置是字符串类型string。所以有点费解其实… 二、解决方案 我这边主要利用的是Hive函数中regexp_extract、regexp_replace以及rpad三个组合完成本次的科学技术法转换操作。 函数语法介绍 ·函数名称:正则表达式解析函数 ·语法1:regexp_extract(string subject, string pattern, in
读取注册表hive文件
12-30 1440
今天看到一篇文章说读取hive文件,结构在windows7上试,发现不行。搞了半天才知道,人家分析的也不是system32\config下的原始 HIVE文件。至少在windows7下,hive额外年间是不可读的,居所内核独占。那如何过去hive文件。gg了下还真有,reg命令就有save功能把数据以二进制的格式打开,扩展名为.dat文件。reg save hklm\software ./softw
HIVE科学计数法
qq_40963977的博客
06-08 4929
HIVE科学计数法1.hive 中数值类型和字符串类型string运算2.hive中使用联结union all3.hive中int double float string出现科学计数法 1.hive 中数值类型和字符串类型string运算 hive中数值类型可以和和字符串类型string运算,其中字符串为纯数字类型,都转为了浮点类型double.若字符串不为纯数字类型,计算结果则为NULL. 1、数值和数值 --> int 2、数值和数值型字符 3、数值和非纯数字 2.hive中使用联结unio
Hive建表及插入数据浅析
mypowerhere的专栏
04-26 4331
通过已有表创建新表(仅创建表结构) create table new_table like old_table; 通过已有表创建新表,并复制已有表数据 create table new_table as select * from old_table; 建表后,直接插入数据 --建表 create table table_name ( id int ,name string ) --插入数据 insert into table_name values(1,'colin'); 建表后,通过
C++解析windows注册表hive文件
07-08
而“Hive”是注册表的物理存储单元,主要有几个核心的Hive文件,如HKEY_LOCAL_MACHINE (HKLM) 和 HKEY_CURRENT_USER (HKCU)。本篇将探讨如何使用C++编程语言直接解析Windows注册表Hive文件,而不依赖于系统提供的...
注册表HIVE操作
06-25
在本主题“注册表HIVE操作”中,我们将探讨Hive如何与Windows注册表进行交互,以及这种交互的底层细节。 注册表是Windows操作系统中存储系统和应用程序设置的关键数据库。Hive在这里提到的“注册表HIVE”可能是指它...
出厂设置的恢复—HIVE注册表
01-19
Hive组件具有保存注册表功能,使用了hive注册表修改后可以保存。  相信大家对Windows系统的注册表(regiSTry)一定都不陌生了,我们可以用系统提供的注册表编辑器(regedit)来访问和修改注册表中的数据。在...
HIVE操作注册表.rar
09-18
"HIVE操作注册表.rar"这个压缩包可能包含了与在Hive环境中操作或管理Windows注册表相关的资料。注册表是Windows操作系统中的一个重要数据库,存储了系统和应用程序的配置信息。在Hive中操作注册表可能涉及到数据导入...
基于Hive注册表
02-06
### 基于Hive注册表:原理与操作 #### 一、基于Hive注册表概述 在深入探讨之前,我们先了解基于Hive注册表的基本概念及其重要性。 **基于Hive注册表**是Windows CE 5.0引入的一种新的注册表管理机制,它...
数仓工具—Hive语法之正则表达式函数
热门推荐
07-14 3万+
在我的其他文章中,我们已经看到了如何使用Hive正则表达式从字符串中提取日期值。正则表达式的另一个常见用途是提取数值,例如从字符串数据中提取区号或电话号码。当您处理不同的数据源时,可能需要从给定的字符串类型列中提取数字值,如电话号码或区号。例如,考虑下面的Hive示例,使用函数中的不同表达式从字符串中提取数字。例如,考虑以下示例,使用Hive正则表达式从字符串中仅获取3位数字。这些关键字,都是和匹配有关的,今天我们介绍一下hive 的。例如,以下示例中的正则表达式仅从字符串中提取6位数字。
rhino grasshoper 框内物体排列(附视频).gh
最新发布
10-18
【闭合线内物体按方向移动/排列】https://www.bilibili.com/video/BV1z1WfeSEWu?vd_source=b420114c993138474d2e93d83ead77a5
kwant-1.4.3-cp38-cp38-win_amd64.whl
10-18
kwant-1.4.3-cp38-cp38-win_amd64.whl
rhino grasshoper 景观椅(附视频).gh
10-18
【rhino@grasshoper 曲线金属座椅景观案例(文件获取/见简介)】https://www.bilibili.com/video/BV1Dx4y147Lr?vd_source=b420114c993138474d2e93d83ead77a5
Windows CE注册表详解:RAM与Hive基础
- **基于Hive注册表**:这种注册表将数据存储在文件系统中,即使系统断电,数据也能被持久化。这种方式更适合那些有外部存储且频繁进行冷启动的设备。 对于基于RAM的注册表,Windows CE提供了两个API函数来处理...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值