注册表回调与注册表保护

已于 2022-10-26 21:44:45 修改
阅读量807 收藏 2
点赞数
分类专栏: 内核安全编程
于 2021-01-30 23:21:06 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41490873/article/details/108277554
版权

驱动程序 注册表回调 内核级保护 进程检查 注册表操作
关键词由CSDN通过智能技术生成 
#include <ntifs.h>
#include<ntddk.h>
#include <stdio.h>
#include<stdlib.h>
#include< Ntstrsafe.h>


NTKERNELAPI
PCHAR
PsGetProcessImageFileName(
	IN PEPROCESS Process
);

NTSTATUS GetRegistryObjectCompleteName(
	OUT PUNICODE_STRING* RegistryPath,
	IN PVOID RegistryObject
)
{
	NTSTATUS		Status;
	ULONG			NeededLength;
	POBJECT_NAME_INFORMATION	ObjectName = NULL;


	// 确保对象内存可访问
	if ((!MmIsAddressValid(RegistryObject)) ||
		(RegistryObject == NULL))
	{
		return STATUS_UNSUCCESSFUL;
	}

	// 先获取注册表对象名所占用的内存大小
	Status = ObQueryNameString(RegistryObject, NULL, 0, &NeededLength);

	if (Status == STATUS_INFO_LENGTH_MISMATCH)
	{
		// 申请内存 多2个字节方便比对
		ObjectName = ExAllocatePoolWithTag(PagedPool, (ULONG64)NeededLength + 2, 'reg');

		if (!ObjectName)
		{
			return STATUS_UNSUCCESSFUL;
		}
		RtlZeroMemory(ObjectName, (ULONG64)NeededLength + 2);

		// 获取名字
		Status = ObQueryNameString(RegistryObject, (POBJECT_NAME_INFORMATION)ObjectName, NeededLength, &NeededLength);
		*RegistryPath = &ObjectName->Name;
	}
	return Status;
}

NTSTATUS RegNtSetValueKeyCallBak(IN PVOID Argument2)
{
	NTSTATUS Status = 0;
	PREG_SET_VALUE_KEY_INFORMATION 	SetKey = (PREG_SET_VALUE_KEY_INFORMATION)Argument2;
	PUNICODE_STRING					RegistryFullPath = NULL;
	WCHAR* Path = NULL;

	do
	{
		if (PsGetCurrentProcessId() == (HANDLE)4)
		{
			return 0;
		}
		if (strstr(PsGetProcessImageFileName(PsGetCurrentProcess()), "mute") == NULL)
		{
			return 0;
		}

		if (!NT_SUCCESS(GetRegistryObjectCompleteName(&RegistryFullPath, SetKey->Object)))
		{
			break;
		}

		//加上0结尾
		ULONG64 Length = (ULONG64)RegistryFullPath->Length + 2;
		Path = ExAllocatePoolWithTag(PagedPool, Length, 'reg');
		if (!Path)
		{
			break;
		}
		RtlZeroMemory(Path, Length);
		RtlCopyMemory(Path, RegistryFullPath->Buffer, RegistryFullPath->Length);

		switch (SetKey->Type)
		{
		case REG_DWORD:
		{
			ULONG Data = 0;
			Data = *(ULONG*)SetKey->Data;
			DbgPrint("REG_DWORD 当前进程名:%s  设置注册表项:%wZ 键值:%wZ  设置的值 %d\n", PsGetProcessImageFileName(PsGetCurrentProcess()), RegistryFullPath, SetKey->ValueName, Data);
			break;	
		}
		case REG_SZ:
		{
			DbgPrint("REG_SZ 当前进程名:%s  设置注册表项:%wZ 键值:%wZ  设置的值 %S\n", PsGetProcessImageFileName(PsGetCurrentProcess()), RegistryFullPath, SetKey->ValueName, (WCHAR*)SetKey->Data);
			break;
		}

		default:
			DbgPrint("未处理类型 %d\n", SetKey->Type);
			break;
		}
		
	} while (FALSE);

	if (Path)
	{
		ExFreePool(Path);
		Path = NULL;
	}
	if (RegistryFullPath)
	{
		ExFreePool(RegistryFullPath);
		RegistryFullPath = NULL;
	}
	return Status;
}

// 注册表回调函数的处理 即注册表保护的实现
NTSTATUS
RegistryCallback(
	IN PVOID CallbackContext,
	IN PVOID Argument1,
	IN PVOID Argument2
)
{
	REG_NOTIFY_CLASS	Type;
	NTSTATUS			Status = STATUS_SUCCESS;

	UNREFERENCED_PARAMETER(CallbackContext);

	// 获取操作类型
	Type = (REG_NOTIFY_CLASS)Argument1;

	switch (Type)
	{
	case RegNtSetValueKey:
	{
		RegNtSetValueKeyCallBak(Argument2);
	}
	break;
	}
	return Status;
}
LARGE_INTEGER Cookie;
VOID DriverUnload(IN PDRIVER_OBJECT pDriverObject)
{

	CmUnRegisterCallback(Cookie);
	KdPrint(("驱动卸载成功\n"));
}

NTSTATUS DriverEntry(IN PDRIVER_OBJECT pDriverObject, IN PUNICODE_STRING RegistryPath)
{
	NTSTATUS status = STATUS_SUCCESS;
	pDriverObject->DriverUnload = DriverUnload;
	DbgPrint("驱动加载成功");

	UNICODE_STRING Attitude = RTL_CONSTANT_STRING(L"310000");
	status = CmRegisterCallbackEx(RegistryCallback, &Attitude, pDriverObject, NULL, &Cookie, NULL);
	if (!NT_SUCCESS(status))
	{
		KdPrint(("注册表回调函数注册失败\n"));
		return status;
	}
	return status;
}
qq_857305819
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
WDK驱动开发之路——注册表回调
AuddyTab的博客
11-22 377
//当有注册表行为时进行回调 进行注册表保护 #include <wdm.h> #include <ntddk.h> #include <ntifs.h> LARGE_INTEGER cookies = {0}; //参数1决定操作类型 参数2决定操作数据 NTSTATUS RegisterCallBack(PVOID context,PVOID arg1,PVOID arg2) { NTSTATUS status = STATUS_SUCCESS; DbgP.
注册表保护
dingchangkejigongsi的博客
05-18 693
注册表保护(对指定的键值和项:禁止修改、删除、添加,支持xp\win7\win8\win8.1)。这里面用的技术主要采用的是主流的callback。 探讨加QQ:2740458587
利用CmRegisterCallback函数在Windows下保护注册表
diveintokernel的专栏
03-31 4330
<br />一般在Windows下保护注册表有以下几种方法:<br /> <br />1. Ring3 hook <br /> 实现简单。可利用微软的Detour库,第三方的mhook库,或者自己实现。<br /> 但是如果是做产品的话不得不考虑兼容性的问题,纵使周知,大量的病毒、木马和恶意程序使用同样的方法来隐藏或者保护自身<br /> 的注册表项和键值,基本上所有基于行为监控的安全类软件都会向用户报告此类程序为恶意程序。<br />2. Ring0 hook<br /> 原理和Ring3 hook基本上
Windows 文件保护注册表设置
Purpleendurer@CSDN
02-26 1517
http://support.microsoft.com/kb/q222473/察看本文应用于的产品function loadTOCNode(){} 文章编号 : 222473 最后修改
windows 驱动开发基础(三) 注册表回调
pureman_mega的博客
02-19 947
参考工程路径:C:\WinDDK\7600.16385.1\src\general\registry\regfltr 关于 Transaction (事务),Enlistment(登记)对象的介绍https://docs.microsoft.com/zh-cn/windows-hardware/drivers/kernel/handling-rollback-operations 1.注册表回调使用 // // Register the callback // 函数原型 ...
注册表过滤驱动
05-28
回调函数可以检查、修改或阻止注册表操作,从而实现对注册表访问的精细控制。回调函数的类型可能包括RegCreateKey、RegOpenKey、RegSetValue等,对应不同的注册表操作。 注册表监控则是注册表过滤驱动的另一个重要...
易语言监控注册表
08-21
这通常通过调用WinAPI中的“RegNotifyChangeKeyValue”函数实现,该函数允许程序订阅注册表项的变化,并在发生变化时触发指定的回调函数。回调函数可以是易语言定义的自定义过程,用于处理接收到的事件。 在实际...
用API监控注册表的改变.注册表监控
03-30
当你注册一个通知,一旦指定的键或其子键的任何部分发生改变,系统将通过异步事件或线程回调通知你的应用程序。 - **ReadDirectoryChangesW**:虽然主要设计用于文件系统,但通过适当的设置,也可以用来监控注册表...
通过修改注册表建立Windows自定义协议
03-01
当中最为实用的例子将介绍如何通过"安装项目"修改注册表建立自定义协议,在页面通过ajax方式发送路径请求,并在回调函数中调用自定义协议。最后一节还将介绍如何调用自定义协议去保持数据的保密性。希望本篇文章能对...
遍历注册表回调函数(仿PCHunter CmpBack)
09-28 157
遍历注册表回调函数(仿PCHunterCmpBack) typedefstruct_CAPTURE_REGISTRY_MANAGER { PDEVICE_OBJECTdeviceObject; BOOLEANbReady; LARGE_INTEGERregistryCallbackCookie; LIST_ENTRYlQueuedRegistryEven...
禁止修改注册表 保护注册表的软件
05-03
禁止修改注册表 保护注册表的软件,可以防止病毒的侵袭,很实用的,有时候杀毒软件不一定好过他!
实时监视注册表变化源代码
06-15
模拟监视注册表指定项,比如监视SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce的值的添加及变化。
Win64 驱动内核编程-32.枚举与删除注册表回调
天使也掉毛
04-04 2500
枚举与删除注册表回调 注册表回调是一个监控注册表读写的回调,它的效果非常明显,一个回调能实现在SSDT上HOOK十几个API的效果。部分游戏保护还会在注册表回调上做功夫,监控service 键的子键,实现双层拦截驱动加载(在映像回调那里还有一层)。而在卡巴斯基等HIPS类软件里,则用来监控自启动等键值。 注册表回调在XP系统上貌似是一个数组,但是从WIN...
Win64 驱动内核编程-15.回调监控注册表
天使也掉毛
03-13 4739
回调监控注册表     在 WIN32 平台上,监控注册表的手段通常是 SSDT HOOK。不过用 SSDT HOOK 的方式监控注册表实在是太麻烦了,要 HOOK 一大堆函数,还要处理一些 NT6 系统有而 NT5 系统没有的函数。下面我就来介绍一种完胜 SSDT HOOK 监控注册表的方法,效果跟 SSDT HOOK 一样好。这个方法就是使用微软推荐的注册表监控函数:CmRegisterC
注册表回调笔记
kernweak的博客
06-05 765
NTSTATUS CmRegisterCallbackEx( PEX_CALLBACK_FUNCTION Function,//回调函数 PCUNICODE_STRING Altitude,//高度 PVOID Driver, PVOID Context, PLARGE_INTEGER C...
注册表安全防护工具
npu_nazi的博客
03-20 315
本次实验主要通过编程实现注册表子键的创建、删除,以及子键键值查询和 修改功能,加深对注册表的理解。同时了解注册表在微软系统安全方面的作用, 深入分析注册表部分关键键值的功能(如系统启动项,文件关联等注册表键值)。 深刻理解在注册表安全防护方面的实现原理后,设计注册表安全防护工具。
驱动开发:内核枚举Registry注册表回调
CSDN
10-21 9364
函数基址,然后在该函数起始位置向下搜索,找到这个链表节点,并将其后面的基地址取出来,在上一篇。得到了注册表回调入口地址,接着直接循环遍历输出这个链表即可得到所有的注册表回调。目前系统中有两个回调函数,这一点在第一张图片中也可以得到,枚举是正确的。注册表系统回调的枚举需要通过特征码搜索来实现,首先我们可以定位到。文章中已经介绍了定位方式此处跳过介绍,具体实现代码如下。即可得到数据,如果要遍历下一个链表则只需要。要想得到此处的链表地址,需要先通过。链表节点,取出这个链表地址。注册表通知消息的枚举,与。
驱动编程:注册表回调,进程回调,文件回调,进程隐藏断链,窗口保护
追逐光芒,追随内心
10-28 1834
#include "struct.h" #define debug_pott_offset 0x298 //#define debug_pott_offset 0x1f0 DWORD changge_size_NtClose = 0; //NtClose被修改了N字节 PUCHAR ori_head_NtClose = NULL; //NtClose的前N字节数组 PVOID ori_addr_NtClose = NULL; //NtCl..
Windows的事件通知机制
qq_42814021的博客
10-14 1675
Windows系统内核提供了一系列的事件通知(Notify)机制以及回调(Callback)机制。 事件通知机制:用于监控系统内某一事件的操作。 回调机制:用来反映系统内某一个部件的状态,也可以被用来实现多个内核模块之间的通信。 本文主要介绍一下事件通知机制! 事件通知机制 常见的事件通知有: 创建进程通知(CreateProcessNotify) 创建线程通知(CreateThreadNotify) 加载模块通知(LoadImageNotify) 注册表操作通知 注意:一旦事件通知被成
c语言函数注册与回调函数详细
最新发布
05-12
C语言函数注册与回调函数是一种常用的编程技巧,它可以让我们在程序运行过程中动态地调用其他函数,以实现更加灵活的功能。下面我将详细介绍这两个概念。 1. 函数注册 函数注册是指将一个函数与一个特定的事件相...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值